Aktualisiert
10. April 2023: Aktualisierung der „Dritten Bereitstellungsphase“ vom 11. April 2023 bis 13. Juni 2023 im Abschnitt „Zeitplan für Aktualisierungen zur Behebung von CVE-2022-37967“.
Inhalt
Zusammenfassung
Die Windows-Updates vom 8. November 2022 behandeln Sicherheitsumgehungen und Rechteerweiterungen mit PAC-Signaturen (Privilege Attribute Certificate). Dieses Sicherheitsupdate behebt Kerberos-Sicherheitsrisiken, bei denen ein Angreifer PAC-Signaturen digital ändern und so seine Berechtigungen erhöhen kann.
Installieren Sie dieses Windows-Update auf allen Geräten, einschließlich Windows-Domänencontrollern, um Ihre Umgebung zu schützen. Alle Domänencontroller in Ihrer Domäne müssen zuerst aktualisiert werden, bevor das Update in den Erzwungenen Modus gewechselt wird.
Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie unter CVE-2022-37967.
Handeln Sie
Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir Ihnen, die folgenden Schritte auszuführen:
-
AKTUALISIEREN Sie Ihre Windows-Domänencontroller mit einem Windows-Update, das am oder nach dem 8. November 2022 veröffentlicht wurde.
-
VERSCHIEBEN Sie Ihre Windows-Domänencontroller mithilfe des Abschnitts Einstellung für Registrierungsschlüssel in den Überwachungsmodus.
-
ÜBERWACHEN Sie Ereignisse, die im Überwachungsmodus gespeichert werden, um Ihre Umgebung zu schützen.
-
AKTIVIERENErzwingungsmodus zur Behebung von CVE-2022-37967 in Ihrer Umgebung.
Hinweis In Schritt 1 der Installation von Updates, die am oder nach dem 8. November 2022 veröffentlicht wurden, werden die Sicherheitsprobleme in CVE-2022-37967 für Windows-Geräte standardmäßig NICHT behoben. Um das Sicherheitsproblem für alle Geräte vollständig zu beheben, müssen Sie so schnell wie möglich auf allen Windows-Domänencontrollern in den Überwachungsmodus (in Schritt 2 beschrieben) und dann in den erzwungenen Modus (wie in Schritt 4 beschrieben) wechseln.
Wichtig Ab Juli 2023 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten. Zu diesem Zeitpunkt können Sie das Update nicht deaktivieren, aber möglicherweise zur Einstellung Überwachungsmodus zurückkehren. Der Überwachungsmodus wird im Oktober 2023 entfernt, wie im Abschnitt Zeitpunkt von Updates zur Behebung des Kerberos-Sicherheitsrisikos CVE-2022-37967 beschrieben.
Zeitpunkt der Updates für CVE-2022-37967
Die Updates werden in mehreren Phasen veröffentlicht: die erste Phase für Updates, die am oder nach dem 8. November 2022 veröffentlicht werden, und die Durchsetzungsphase für Updates, die am oder nach dem 13. Juni 2023 veröffentlicht werden.
Die erste Bereitstellungsphase beginnt mit dem am 8. November 2022 veröffentlichten Windows-Update und wird mit einem späteren Windows-Update für die Erzwingungsphase fortgesetzt. Dieses Update fügt dem Kerberos-PAC-Puffer Signaturen hinzu, während der Authentifizierung wird jedoch nicht auf Signaturen überprüft. Daher ist der sichere Modus standardmäßig deaktiviert.
Dieses Update:
-
Fügt dem Kerberos-PAC-Puffer PAC-Signaturen hinzu.
-
Fügt Maßnahmen zum Beheben von Sicherheitsumgehungsrisiken im Kerberos-Protokoll hinzu.
Die zweite Bereitstellungsphase beginnt mit Updates, die am 13. Dezember 2022 veröffentlicht wurden. Diese und spätere Updates nehmen Änderungen am Kerberos-Protokoll vor, um Windows-Geräte zu überwachen, indem Windows-Domänencontroller in den Überwachungsmodus verschoben werden.
Mit diesem Update befinden sich alle Geräte standardmäßig im Überwachungsmodus:
-
Wenn die Signatur entweder fehlt oder ungültig ist, ist die Authentifizierung zulässig. Darüber hinaus wird ein Überwachungsprotokoll erstellt.
-
Wenn die Signatur fehlt, lösen Sie ein Ereignis aus, und lassen Sie die Authentifizierung zu.
-
Wenn die Signatur vorhanden ist, überprüfen Sie sie. Wenn die Signatur falsch ist, lösen Sie ein Ereignis aus, und lassen Sie die Authentifizierung zu.
Die am oder nach dem 13. Juni 2023 veröffentlichten Windows-Updates führen folgende Aktionen aus:
-
Entfernen Sie die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, indem Sie den Unterschlüssel KrbtgtFullPacSignature auf den Wert 0 festlegen.
Die Windows-Updates, die am oder nach dem 11. Juli 2023 veröffentlicht werden, führen folgende Aktionen aus:
-
Entfernt die Möglichkeit, den Wert 1 für den Unterschlüssel KrbtgtFullPacSignature festzulegen.
-
Verschiebt das Update in den Erzwingungsmodus (Standard) (KrbtgtFullPacSignature = 3), der von einem Administrator mit einer expliziten Überwachungseinstellung überschrieben werden kann.
Die Windows-Updates, die am oder nach dem 10. Oktober 2023 veröffentlicht werden, führen folgende Aktionen aus:
-
Entfernt die Unterstützung für den Registrierungsunterschlüssel KrbtgtFullPacSignature.
-
Die Unterstützung für den Überwachungsmodus wird entfernt.
-
Für alle Diensttickets ohne die neuen PAC-Signaturen wird die Authentifizierung verweigert.
Bereitstellungsrichtlinien
Führen Sie die folgenden Schritte aus, um die Windows-Updates vom 8. November 2022 oder höher bereitzustellen:
-
AKTUALISIEREN Sie Ihre Windows-Domänencontroller mit einem Update, das am oder nach dem 8. November 2022 veröffentlicht wurde.
-
VERSCHIEBEN Sie Ihre Domänencontroller mithilfe des Abschnitts Einstellung für Registrierungsschlüssel in den Überwachungsmodus.
-
ÜBERWACHEN Sie Ereignisse, die im Überwachungsmodus gespeichert wurden, um Ihre Umgebung zu schützen.
-
AKTIVIEREN Erzwingungsmodus zur Behebung von CVE-2022-37967 in Ihrer Umgebung.
SCHRITT 1: AKTUALISIEREN
Stellen Sie die Updates vom 8. November 2022 oder höher für alle anwendbaren Windows-Domänencontroller (DCs) bereit. Nach der Bereitstellung des Updates werden auf Windows-Domänencontrollern, die aktualisiert wurden, Dem Kerberos-PAC-Puffer Signaturen hinzugefügt und sind standardmäßig unsicher (PAC-Signatur wird nicht überprüft).
-
Achten Sie beim Aktualisieren darauf, den Registrierungswert KrbtgtFullPacSignature im Standardzustand beizubehalten, bis alle Windows-Domänencontroller aktualisiert werden.
SCHRITT 2: VERSCHIEBEN
Nachdem die Windows-Domänencontroller aktualisiert wurden, wechseln Sie in den Überwachungsmodus, indem Sie den KrbtgtFullPacSignature-Wert in 2 ändern.
SCHRITT 3: SUCHEN/ÜBERWACHEN
Identifizieren Sie Bereiche, in denen PAC-Signaturen fehlen oder PAC-Signaturen vorhanden sind, die über die während des Überwachungsmodus ausgelösten Ereignisprotokolle nicht überprüft werden.
-
Stellen Sie sicher, dass die Domänenfunktionsebene auf mindestens 2008 festgelegt ist, bevor Sie in den Erzwingungsmodus wechseln. Der Wechsel in den Erzwingungsmodus mit Domänen in der Domänenfunktionsebene 2003 kann zu Authentifizierungsfehlern führen.
-
Überwachungsereignisse werden angezeigt, wenn Ihre Domäne nicht vollständig aktualisiert wurde oder wenn in Ihrer Domäne noch ausstehende, zuvor ausgestellte Diensttickets vorhanden sind.
-
Überwachen Sie weiterhin, ob zusätzliche Ereignisprotokolle gespeichert wurden, die entweder auf fehlende PAC-Signaturen oder Validierungsfehler vorhandener PAC-Signaturen hinweisen.
-
Nachdem die gesamte Domäne aktualisiert wurde und alle ausstehenden Tickets abgelaufen sind, sollten die Überwachungsereignisse nicht mehr angezeigt werden. Anschließend sollten Sie in der Lage sein, ohne Fehler in den Erzwingungsmodus zu wechseln.
SCHRITT 4: AKTIVIEREN
Aktivieren Sie den Erzwingungsmodus, um CVE-2022-37967 in Ihrer Umgebung zu behandeln.
-
Sobald alle Überwachungsereignisse aufgelöst wurden und nicht mehr angezeigt werden, verschieben Sie Ihre Domänen in den Erzwingungsmodus, indem Sie den Registrierungswert KrbtgtFullPacSignature aktualisieren, wie im Abschnitt Einstellungen für Registrierungsschlüssel beschrieben.
-
Wenn ein Dienstticket eine ungültige PAC-Signatur aufweist oder PAC-Signaturen fehlen, schlägt die Überprüfung fehl, und ein Fehlerereignis wird protokolliert.
Einstellungen von Registrierungsschlüssel
Kerberos-Protokoll
Nach der Installation der Windows-Updates vom oder nach dem 8. November 2022 ist der folgende Registrierungsschlüssel für das Kerberos-Protokoll verfügbar:
-
KrbtgtFullPacSignature
Dieser Registrierungsschlüssel wird verwendet, um die Bereitstellung der Kerberos-Änderungen zu sperren. Dieser Registrierungsschlüssel ist temporär und wird nach dem vollständigen Erzwingungsdatum 10. Oktober 2023 nicht mehr gelesen.Registrierungsschlüssel
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Wert
KrbtgtFullPacSignature
Datentyp
REG_DWORD
Daten
0 – Deaktiviert
1 – Neue Signaturen werden hinzugefügt, aber nicht überprüft. (Standardeinstellung)
2 – Überwachungsmodus. Neue Signaturen werden hinzugefügt und überprüft, falls vorhanden. Wenn die Signatur fehlt oder ungültig ist, ist die Authentifizierung zulässig, und Überwachungsprotokolle werden erstellt.
3 – Erzwingungsmodus. Neue Signaturen werden hinzugefügt und überprüft, falls vorhanden. Wenn die Signatur entweder fehlt oder ungültig ist, wird die Authentifizierung verweigert, und Überwachungsprotokolle werden erstellt.
Neustart erforderlich?
Nein
Hinweis Wenn Sie den RegistrierungswertKrbtgtFullPacSignature ändern müssen, fügen Sie den Registrierungsschlüssel manuell hinzu und konfigurieren Sie ihn, um den Standardwert zu überschreiben.
Windows-Ereignisse im Zusammenhang mit CVE-2022-37967
Im Überwachungsmodus finden Sie möglicherweise einen der folgenden Fehler, wenn PAC-Signaturen fehlen oder ungültig sind. Wenn dieses Problem während des Erzwingungsmodus weiterhin besteht, werden diese Ereignisse als Fehler protokolliert.
Wenn Sie einen Fehler auf Ihrem Gerät finden, ist es wahrscheinlich, dass alle Windows-Domänencontroller in Ihrer Domäne mit einem Windows-Update vom 8. November 2022 oder höher nicht auf dem neuesten Stand sind. Um die Probleme zu beheben, müssen Sie Ihre Domäne weiter untersuchen, um Windows-Domänencontroller zu finden, die nicht auf dem neuesten Stand sind.
Hinweis Wenn Sie einen Fehler mit der Ereignis-ID 42 finden, lesen Sie KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966.
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID |
43 |
Ereignistext |
Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, dass die vollständige PAC-Signatur nicht überprüft werden konnte. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2210019. Client: <bereich>/<Name> |
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID |
44 |
Ereignistext |
Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das nicht die vollständige PAC-Signatur enthielt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2210019. Client: <bereich>/<Name> |
Drittanbietergeräte, die das Kerberos-Protokoll implementieren
Bei Domänen mit Domänencontrollern von Drittanbietern werden möglicherweise Fehler im Erzwingungsmodus angezeigt.
Domänen mit Drittanbieterclients können nach der Installation eines Windows-Updates vom 8. November 2022 oder höher länger dauern, bis sie von Überwachungsereignissen vollständig gelöscht werden.
Wenden Sie sich an den Gerätehersteller (OEM), um festzustellen, ob seine Software mit der neuesten Protokolländerung kompatibel ist.
Informationen zu Protokollupdates finden Sie auf der Microsoft-Website im Thema Windows-Protokoll.
Glossar
Kerberos ist ein Computernetzwerkauthentifizierungsprotokoll, das auf "Tickets" basiert, damit Knoten, die über ein Netzwerk kommunizieren, ihre Identität untereinander auf sichere Weise nachweisen können.
Der Kerberos-Dienst, der die im Kerberos-Protokoll angegebenen Authentifizierungs- und Ticketgewährungsdienste implementiert. Der Dienst wird auf Computern ausgeführt, die vom Administrator des Bereichs oder der Domäne ausgewählt wurden. es ist nicht auf jedem Computer im Netzwerk vorhanden. Sie muss Zugriff auf eine Kontodatenbank für den Bereich haben, den sie bedient. KDCs sind in die Domänencontrollerrolle integriert. Es handelt sich um einen Netzwerkdienst, der Tickets für Clients zur Verwendung bei der Authentifizierung bei Diensten bereitstellt.
Privilege Attribute Certificate (PAC) ist eine Struktur, die autorisierungsbezogene Informationen übermittelt, die von Domänencontrollern (DCs) bereitgestellt werden. Weitere Informationen finden Sie unter Datenstruktur des Berechtigungsattributszertifikats.
Ein spezieller Tickettyp, der verwendet werden kann, um andere Tickets zu erhalten. Das Ticket-granting Ticket (TGT) wird nach der ersten Authentifizierung im As-Austausch (Authentication Service) abgerufen; Danach müssen Benutzer ihre Anmeldeinformationen nicht mehr vorlegen, können aber das TGT verwenden, um nachfolgende Tickets zu erhalten.