Änderungsprotokoll
Änderung 1: 5. April 2023: Die Phase "Standardmäßige Erzwingung" des Registrierungsschlüssels wurde vom 11. April 2023 auf den 13. Juni 2023 im Abschnitt "Zeitpunkt der Updates für CVE-2022-38023" verschoben. Änderung 2: 20. April 2023: Ungenauer Verweis auf das Gruppenrichtlinienobjekt „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ im Abschnitt „Einstellungen von Registrierungsschlüssel“ entfernt. Änderung 3: 19. Juni 2023:
|
Inhalt
Zusammenfassung
Die Windows-Updates vom 8. November 2022 und höher beheben Schwachstellen im Netlogon-Protokoll, wenn RPC-Signatur anstelle der RPC-Versiegelung verwendet wird. Weitere Informationen finden Sie unter CVE-2022-38023.
Die RPC-Schnittstelle (Remote Procedure Call) des Netlogon-Remoteprotokolls wird hauptsächlich verwendet, um die Beziehung zwischen einem Gerät und seiner Domäne sowie die Beziehungen zwischen Domänencontrollern (DCs) und Domänen aufrechtzuerhalten.
Dieses Update schützt Windows-Geräte standardmäßig vor CVE-2022-38023. Bei Drittanbieterclients und Domänencontrollern von Drittanbietern befindet sich das Update standardmäßig im Kompatibilitätsmodus und lässt anfällige Verbindungen von solchen Clients zu. Schritte zum Wechseln in den Erzwingungsmodus finden Sie im Abschnitt Einstellungen für Registrierungsschlüssel.
Um Ihre Umgebung zu schützen, installieren Sie das Windows-Update vom 8. November 2022 oder ein späteres Windows-Update auf allen Geräten, einschließlich Domänencontrollern.
Wichtig Ab Juni 2023 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten. Zu diesem Zeitpunkt können Sie das Update nicht deaktivieren, aber möglicherweise zur Einstellung Kompatibilitätsmodus zurückkehren. Der Kompatibilitätsmodus wird im Juli 2023 entfernt, wie im Abschnitt Zeitpunkt von Updates zur Behebung des Netlogon-Sicherheitsrisikos CVE-2022-38023 beschrieben.
Zeitpunkt der Updates für CVE-2022-38023
Aktualisierungen werden in mehreren Phasen veröffentlicht: in der ersten Phase für Updates, die am oder nach dem 8. November 2022 veröffentlicht wurden, und in der Phase Durchsetzung für Updates, die am oder nach dem 11. Juli 2023 veröffentlicht wurden.
Die erste Bereitstellungsphase beginnt mit dem am 8. November 2022 veröffentlichten Windows-Update und wird mit einem späteren Windows-Update für die Erzwingungsphase fortgesetzt. Windows-Updates am oder nach dem 8. November 2022 beheben das Sicherheitsrisiko der Umgehung von CVE-2022-38023 durch Erzwingen der RPC-Versiegelung auf allen Windows-Clients.
Standardmäßig werden Geräte im Kompatibilitätsmodus festgelegt. Windows-Domänencontroller erfordern, dass Anmeldeclients RPC-Versiegelung verwenden, wenn sie Windows ausführen oder wenn sie entweder als Domänencontroller oder als Vertrauenskonten fungieren.
Mit den am oder nach dem 11. April 2023 veröffentlichten Windows-Updates wird die Möglichkeit zum Deaktivieren der RPC-Versiegelung entfernt, indem der Wert 0 für den Registrierungsunterschlüssel RequireSeal festgelegt wird.
Der Registrierungsunterschlüssel RequireSeal wird in den erzwungenen Modus versetzt, es sei denn, Administratoren konfigurieren ausdrücklich den Kompatibilitätsmodus. Anfällige Verbindungen von allen Clients, einschließlich Drittanbietern, werden die Authentifizierung verweigert. Siehe Änderung 1.
Mit den am 11. Juli 2023 veröffentlichten Windows-Updates wird die Möglichkeit entfernt, den Wert 1 für den Registrierungsunterschlüssel RequireSealfestzulegen. Dadurch wird die Erzwingungsphase von CVE-2022-38023 aktiviert.
Einstellungen von Registrierungsschlüssel
Nachdem die Windows-Updates vom oder nach dem 8. November 2022 installiert wurden, ist der folgende Registrierungsunterschlüssel für das Netlogon-Protokoll auf Windows-Domänencontrollern verfügbar.
WICHTIG Mit diesem Update und zukünftigen Erzwingungsänderungen wird der Registrierungsunterschlüssel "RequireSeal" nicht automatisch hinzugefügt oder entfernt. Dieser Registrierungsunterschlüssel muss manuell hinzugefügt werden, damit er ausgelesen werden kann. Siehe Änderung 3.
RequireSeal-Unterschlüssel
Registrierungsschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Wert |
RequireSeal |
Datentyp |
REG_DWORD |
Daten |
0 – Deaktiviert 1 – Kompatibilitätsmodus Windows-Domänencontroller erfordern, dass Netlogon-Clients RPC Seal verwenden, wenn sie Windows ausführen oder als Domänencontroller oder Vertrauenskonten fungieren. 2 – Erzwingungsmodus Alle Clients müssen RPC Seal verwenden. Siehe Änderung 2. |
Neustart erforderlich? |
Nein |
Windows-Ereignisse im Zusammenhang mit CVE-2022-38023
HINWEIS Für die folgenden Ereignisse gilt ein einstündiger Puffer. Während dieses Zeitpuffers werden doppelte Ereignisse, die die gleichen Informationen enthalten, verworfen werden.
Ereignisprotokoll |
System |
Ereignistyp |
Fehler |
Ereignisquelle |
NETLOGON |
Ereignis-ID |
5838 |
Ereignistext |
Der Netlogon-Dienst hat einen Client gefunden, der RPC-Signatur anstelle einer RPC-Versiegelung verwendet. |
Wenn Sie diese Fehlermeldung in Ihren Ereignisprotokollen finden, müssen Sie die folgenden Aktionen ausführen, um den Systemfehler zu beheben:
-
Vergewissern Sie sich, dass auf dem Gerät eine unterstützte Version von Windows ausgeführt wird.
-
Stellen Sie sicher, dass alle Geräte auf dem neuesten Stand sind.
-
Stellen Sie sicher, dass Domänenmitglied: Domänenmitglied Sichere Kanaldaten digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist.
Ereignisprotokoll |
System |
Ereignistyp |
Fehler |
Ereignisquelle |
NETLOGON |
Ereignis-ID |
5839 |
Ereignistext |
Der Netlogon-Dienst hat eine Vertrauensstellung gefunden, die RPC-Signatur anstelle von RPC-Versiegelung verwendet hat. |
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
NETLOGON |
Ereignis-ID |
5840 |
Ereignistext |
Der Netlogon-Dienst hat einen sicheren Kanal mit einem Client mit RC4 erstellt. |
Wenn Sie Ereignis 5840 finden, ist dies ein Zeichen dafür, dass ein Client in Ihrer Domäne schwache Kryptografie verwendet.
Ereignisprotokoll |
System |
Ereignistyp |
Fehler |
Ereignisquelle |
NETLOGON |
Ereignis-ID |
5841 |
Ereignistext |
Der Netlogon-Dienst hat einen Client mit RC4 aufgrund der Einstellung "RejectMd5Clients" abgelehnt. |
Wenn das Ereignis 5841 angezeigt wird, ist dies ein Zeichen dafür, dass der RejectMD5Clients-Wert auf TRUE festgelegt ist.
RejectMD5Clients des abstrakten Datenmodells.
Der RejectMD5Clients-Schlüssel ist ein bereits vorhandener Schlüssel im Netlogon-Dienst. Weitere Informationen finden Sie in der Beschreibung vonHäufig gestellte Fragen (FAQ)
Alle in die Domäne eingebundenen Computerkonten sind von dieser CVE betroffen. Ereignisse zeigen an, wer von diesem Problem am meisten betroffen ist, nachdem die Windows-Updates vom 8. November 2022 oder höher installiert wurden. Lesen Sie den Abschnitt Ereignisprotokollfehler, um die Probleme zu beheben.
Um ältere Clients zu erkennen, die nicht die stärkste verfügbare Kryptografie verwenden, werden mit diesem Update Ereignisprotokolle für Clients eingeführt, die RC4 verwenden.
Die RPC-Signatur ist, wenn das Netlogon-Protokoll RPC verwendet, um die Nachrichten zu signieren, die es über das Netzwerk sendet. RPC-Versiegelung ist, wenn das Netlogon-Protokoll die Nachrichten, die es über das Netzwerk sendet, sowohl signiert als auch verschlüsselt.
Windows-Domänencontroller bestimmen, ob auf einem Anmeldeclient Windows ausgeführt wird, indem sie das “OperatingSystem-Attribut” in Active Directory für den Netlogon-Client abfragen und nach den folgenden Zeichenfolgen suchen:
-
"Windows", "Hyper-V Server" und "Azure Stack HCI"
Es wird weder empfohlen noch unterstützt, dass Netlogon-Clients oder Domänenadministratoren dieses Attribut auf einen Wert ändern, der nicht repräsentativ für das Betriebssystem ist, das auf dem Netlogon-Client ausgeführt wird. Sie sollten sich darüber im Klaren sein, dass wir die Suchkriterien jederzeit ändern können. Siehe Änderung 3.
In der Erzwingungsphase werden Netlogon-Clients nicht basierend auf dem von diesen verwendeten Verschlüsselungstyp abgelehnt. Netlogon-Clients werden nur abgelehnt, wenn sie die RPC-Signierung anstelle der RPC-Versiegelung verwenden. Die Ablehnung von RC4 Netlogon-Clients basiert auf dem Registrierungsschlüssel "RejectMd5Clients", der für Windows Server 2008 R2 und höhere Windows-Domänencontroller verfügbar ist. In der Erzwingungsphase für dieses Update wird der Wert "RejectMd5Clients" nicht geändert. Wir empfehlen Kunden, den Wert "RejectMd5Clients" für eine höhere Sicherheit in ihren Domänen zu aktivieren. Siehe Änderung 3.
Glossar
Advanced Encryption Standard (AES) ist eine Blockchiffre, die den Datenverschlüsselungsstandard (DES) ablöst. AES kann verwendet werden, um elektronische Daten zu schützen. Der AES-Algorithmus kann verwendet werden, um Informationen zu verschlüsseln (verschlüsseln) und zu entschlüsseln (entschlüsseln). Die Verschlüsselung konvertiert Daten in eine unverständliche Form namens Chiffretext. Durch die Entschlüsselung des Chiffretexts werden die Daten wieder in ihre ursprüngliche Form konvertiert, die als Klartext bezeichnet wird. AES wird in der Kryptografie mit symmetrischen Schlüsseln verwendet, was bedeutet, dass derselbe Schlüssel für die Ver- und Entschlüsselungsvorgänge verwendet wird. Es ist auch eine Blockchiffre, was bedeutet, dass es mit Blöcken mit fester Größe von Klartext und Chiffretext arbeitet und erfordert, dass die Größe des Klartexts sowie des Chiffretexts ein genaues Vielfaches dieser Blockgröße ist. AES wird auch als symmetrischer Rijndael-Verschlüsselungsalgorithmus [FIPS197] bezeichnet.
In einer mit dem Windows NT-Betriebssystem kompatiblen Netzwerksicherheitsumgebung ist die Komponente für Synchronisierungs- und Wartungsfunktionen zwischen einem primären Domänencontroller (PDC)und Sicherungsdomänencontrollern (BDC) zuständig. Netlogon ist ein Vorläufer des DRS-Protokolls (Directory Replication Server). Die RPC-Schnittstelle (Remote Procedure Call) des Netlogon-Remoteprotokolls wird hauptsächlich verwendet, um die Beziehung zwischen einem Gerät und seiner Domäne sowie die Beziehungen zwischen Domänencontrollern (DCs) und Domänen aufrechtzuerhalten. Weitere Informationen finden Sie unter Netlogon Remote Protocol.
RC4-HMAC (RC4) ist ein symmetrischer Verschlüsselungsalgorithmus mit variabler Schlüssellänge. Weitere Informationen finden Sie unter [SCHNEIER] Abschnitt 17.1.
Eine authentifizierte RPC-Verbindung (Remote Procedure Call) zwischen zwei Computern in einer Domäne mit einem eingerichteten Sicherheitskontext, der zum Signieren und Verschlüsseln von RPC-Paketen verwendet wird.