Αλλαγή αρχείου καταγραφής
Αλλαγή 1: 5 Απριλίου 2023: Μετακινήθηκε η φάση "Επιβολή από προεπιλογή" του κλειδιού μητρώου από τις 11 Απριλίου 2023 στις 13 Ιουνίου 2023 στην ενότητα "Χρονισμός ενημερώσεων για την αντιμετώπιση του CVE-2022-38023". Αλλαγή 2: 20 Απριλίου 2023: Καταργήθηκε ανακριβής αναφορά στο αντικείμενο πολιτικής ομάδας (GPO) "Ελεγκτής τομέα: Να επιτρέπονται οι ευπαθείς ασφαλείς συνδέσεις καναλιού Netlogon" στην ενότητα "Ρυθμίσεις κλειδιού μητρώου". Αλλαγή 3: 19 Ιουνίου 2023:
|
Σε αυτό το άρθρο
Σύνοψη
Οι ενημερώσεις της 8ης Νοεμβρίου 2022 και νεότερων ενημερώσεων των Windows αντιμετωπίζουν αδυναμίες στο πρωτόκολλο Netlogon όταν χρησιμοποιείται υπογραφή RPC αντί για σφράγιση RPC. Μπορείτε να βρείτε περισσότερες πληροφορίες στο CVE-2022-38023 .
Το περιβάλλον εργασίας κλήσης απομακρυσμένης διαδικασίας (RPC) του Απομακρυσμένου πρωτοκόλλου Netlogon χρησιμοποιείται κυρίως για τη διατήρηση της σχέσης μεταξύ μιας συσκευής και του τομέα της και των σχέσεων μεταξύ ελεγκτών τομέα (DCs) και τομέων.
Αυτή η ενημέρωση προστατεύει τις συσκευές Windows από το CVE-2022-38023 από προεπιλογή. Για υπολογιστές-πελάτες τρίτων κατασκευαστών και τρίτους ελεγκτές τομέα, η ενημέρωση βρίσκεται σε κατάσταση λειτουργίας συμβατότητας από προεπιλογή και επιτρέπει ευπαθείς συνδέσεις από αυτά τα προγράμματα-πελάτες. Ανατρέξτε στην ενότητα ρυθμίσεων κλειδιού μητρώου για τα βήματα που πρέπει να ακολουθήσετε για να μεταβείτε στη λειτουργία επιβολής.
Για να προστατεύσετε το περιβάλλον σας, εγκαταστήστε την ενημέρωση των Windows με ημερομηνία 8 Νοεμβρίου 2022 ή νεότερη ενημέρωση των Windows σε όλες τις συσκευές, συμπεριλαμβανομένων των ελεγκτών τομέα.
Σημαντικό Από τον Ιούνιο του 2023, η λειτουργία επιβολής θα ενεργοποιείται σε όλους τους ελεγκτές τομέα των Windows και θα αποκλείει τις ευάλωτες συνδέσεις από μη συμβατές συσκευές. Εκείνη τη στιγμή, δεν θα μπορείτε να απενεργοποιήσετε την ενημέρωση, αλλά ενδέχεται να επιστρέψετε στη ρύθμιση Λειτουργία συμβατότητας. Η κατάσταση λειτουργίας συμβατότητας θα καταργηθεί τον Ιούλιο του 2023, όπως περιγράφεται στην ενότητα Χρονισμός ενημερώσεων για την αντιμετώπιση της ευπάθειας Netlogon CVE-2022-38023 .
Χρονισμός ενημερώσεων για την αντιμετώπιση του CVE-2022-38023
Ενημερώσεις θα κυκλοφορήσει σε διάφορες φάσεις: την αρχική φάση για τις ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 και τη φάση επιβολής για ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023.
Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022 και συνεχίζεται με μεταγενέστερες ενημερώσεις των Windows μέχρι τη φάση επιβολής. Οι ενημερώσεις των Windows στις ή μετά τις 8 Νοεμβρίου 2022 αντιμετωπίζουν την ευπάθεια παράκαμψης ασφαλείας CVE-2022-38023 επιβάλλοντας σφράγιση RPC σε όλα τα προγράμματα-πελάτες Windows.
Από προεπιλογή, οι συσκευές θα ορίζονται σε κατάσταση λειτουργίας συμβατότητας. Οι ελεγκτές τομέα των Windows θα απαιτήσουν από τους υπολογιστές-πελάτες Του Netlogon να χρησιμοποιούν σφραγίδα RPC εάν εκτελούν τα Windows ή εάν ενεργούν είτε ως ελεγκτές τομέα είτε ως λογαριασμοί αξιοπιστίας.
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Απριλίου 2023 θα καταργήσουν τη δυνατότητα απενεργοποίησης της σφράγισης RPC ορίζοντας την τιμή 0 στο δευτερεύον κλειδί μητρώου RequireSeal .
Το δευτερεύον κλειδί μητρώου RequireSeal θα μετακινηθεί στην ισχύουσα κατάσταση λειτουργίας, εκτός εάν οι διαχειριστές ρυθμίσουν ρητά τις παραμέτρους ώστε να βρίσκονται σε κατάσταση λειτουργίας συμβατότητας. Δεν θα επιτρέπεται ο έλεγχος ταυτότητας για τις ευάλωτες συνδέσεις από όλους τους υπολογιστές-πελάτες, συμπεριλαμβανομένων των τρίτων. Ανατρέξτε στο θέμα Αλλαγή 1.
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις 11 Ιουλίου 2023 θα καταργήσουν τη δυνατότητα ρύθμισης της τιμής 1 στο δευτερεύον κλειδί μητρώου RequireSeal . Αυτό ενεργοποιεί τη φάση επιβολής του CVE-2022-38023.
Ρυθμίσεις κλειδιού μητρώου
Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022, είναι διαθέσιμο το ακόλουθο δευτερεύον κλειδί μητρώου για το πρωτόκολλο Netlogon στους ελεγκτές τομέα των Windows.
ΣΗΜΑΝΤΙΚΌ Αυτή η ενημέρωση, καθώς και οι μελλοντικές αλλαγές επιβολής, δεν προσθέτουν ή καταργούν αυτόματα το δευτερεύον κλειδί μητρώου "RequireSeal". Αυτό το δευτερεύον κλειδί μητρώου πρέπει να προστεθεί με μη αυτόματο τρόπο για να διαβαστεί. Ανατρέξτε στο θέμα Αλλαγή 3.
Δευτερεύον κλειδί RequireSeal
Κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Τιμή |
RequireSeal |
Τύπος δεδομένων |
REG_DWORD |
Δεδομένα |
0 – Απενεργοποιημένο 1 – Κατάσταση λειτουργίας συμβατότητας. Οι ελεγκτές τομέα των Windows θα απαιτήσουν από τους υπολογιστές-πελάτες Netlogon να χρησιμοποιούν σφραγίδα RPC εάν εκτελούν τα Windows ή εάν ενεργούν είτε ως ελεγκτές τομέα είτε ως λογαριασμοί αξιοπιστίας. 2 - Λειτουργία επιβολής. Όλοι οι πελάτες είναι υποχρεωμένοι να χρησιμοποιήσουν τη σφραγίδα RPC. Ανατρέξτε στο θέμα Αλλαγή 2. |
Απαιτείται επανεκκίνηση; |
Όχι |
Συμβάντα των Windows που σχετίζονται με το CVE-2022-38023
ΣΗΜΕΊΩΣΗ Τα ακόλουθα συμβάντα έχουν buffer 1 ώρας στο οποίο τα διπλότυπα συμβάντα που περιέχουν τις ίδιες πληροφορίες απορρίπτονται κατά τη διάρκεια αυτού του buffer.
Αρχείο καταγραφής συμβάντων |
Σύστημα |
Τύπος συμβάντος |
Σφάλμα |
Προέλευση συμβάντος |
NETLOGON |
Αναγνωριστικό συμβάντος |
5838 |
Κείμενο συμβάντος |
Η υπηρεσία Netlogon συνάντησε έναν υπολογιστή-πελάτη που χρησιμοποιούσε υπογραφή RPC αντί για σφράγιση RPC. |
Εάν βρείτε αυτό το μήνυμα σφάλματος στα αρχεία καταγραφής συμβάντων, πρέπει να κάνετε τις ακόλουθες ενέργειες για να επιλύσετε το σφάλμα συστήματος:
-
Επιβεβαιώστε ότι η συσκευή εκτελεί μια υποστηριζόμενη έκδοση των Windows.
-
Ελέγξτε για να βεβαιωθείτε ότι όλες οι συσκευές είναι ενημερωμένες.
-
Ελέγξτε για να βεβαιωθείτε ότι η επιλογή Μέλος τομέα: Μέλος τομέα Κρυπτογραφήστε ψηφιακά ή υπογράψτε δεδομένα ασφαλούς καναλιού (πάντα) έχει οριστεί σε Ενεργοποιημένο .
Αρχείο καταγραφής συμβάντων |
Σύστημα |
Τύπος συμβάντος |
Σφάλμα |
Προέλευση συμβάντος |
NETLOGON |
Αναγνωριστικό συμβάντος |
5839 |
Κείμενο συμβάντος |
Η υπηρεσία Netlogon αντιμετώπισε μια αξιοπιστία χρησιμοποιώντας υπογραφή RPC αντί για σφράγιση RPC. |
Αρχείο καταγραφής συμβάντων |
Σύστημα |
Τύπος συμβάντος |
Προειδοποίηση |
Προέλευση συμβάντος |
NETLOGON |
Αναγνωριστικό συμβάντος |
5840 |
Κείμενο συμβάντος |
Η υπηρεσία Netlogon δημιούργησε ένα ασφαλές κανάλι με έναν υπολογιστή-πελάτη με RC4. |
Εάν βρείτε το Συμβάν 5840, αυτό είναι ένα σημάδι ότι ένας πελάτης στον τομέα σας χρησιμοποιεί αδύναμη κρυπτογράφηση.
Αρχείο καταγραφής συμβάντων |
Σύστημα |
Τύπος συμβάντος |
Σφάλμα |
Προέλευση συμβάντος |
NETLOGON |
Αναγνωριστικό συμβάντος |
5841 |
Κείμενο συμβάντος |
Η υπηρεσία Netlogon απέρριψε έναν υπολογιστή-πελάτη που χρησιμοποιούσε RC4 λόγω της ρύθμισης "RejectMd5Clients". |
Εάν βρείτε το συμβάν 5841, αυτό είναι ένα σημάδι ότι η τιμή RejectMD5Clients έχει οριστεί σε TRUE .
ανατρέξτε στην περιγραφή RejectMD5Clients του αφηρημένου μοντέλου δεδομένων.
Το κλειδί RejectMD5Clients είναι ένα προϋπάρχον κλειδί στην υπηρεσία Netlogon. Για περισσότερες πληροφορίες,Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)
Όλοι οι λογαριασμοί υπολογιστή που συνδέονται με τομέα επηρεάζονται από αυτό το CVE. Τα συμβάντα θα εμφανίζουν ποιος επηρεάζεται περισσότερο από αυτό το πρόβλημα μετά την εγκατάσταση των ενημερώσεων των Windows στις 8 Νοεμβρίου 2022 ή μεταγενέστερων. Ελέγξτε την ενότητα σφαλμάτων του αρχείου καταγραφής συμβάντων για να αντιμετωπίσετε τα προβλήματα.
Για να βοηθήσει στον εντοπισμό παλαιότερων πελατών που δεν χρησιμοποιούν το ισχυρότερο διαθέσιμο κρυπτονόμισμα, αυτή η ενημέρωση παρουσιάζει αρχεία καταγραφής συμβάντων για υπολογιστές-πελάτες που χρησιμοποιούν RC4.
Η υπογραφή RPC είναι όταν το πρωτόκολλο Netlogon χρησιμοποιεί RPC για την υπογραφή των μηνυμάτων που στέλνει μέσω καλωδίου. Η σφράγιση RPC είναι όταν το πρωτόκολλο Netlogon υπογράφει και κρυπτογραφεί τα μηνύματα που στέλνει μέσω του καλωδίου.
Ο ελεγκτής τομέα των Windows καθορίζει εάν ένας υπολογιστής-πελάτης Netlogon εκτελεί τα Windows, εξετάζοντας το χαρακτηριστικό "Λειτουργικό σύστημα" στην υπηρεσία καταλόγου Active Directory για το πρόγραμμα-πελάτη Netlogon και ελέγχοντας για τις ακόλουθες συμβολοσειρές:
-
"Windows", "Hyper-V Server" και "Azure Stack HCI"
Δεν συνιστάται ούτε υποστηρίζεται η αλλαγή αυτού του χαρακτηριστικού από τους υπολογιστές-πελάτες του Netlogon ή τους διαχειριστές τομέα σε μια τιμή που δεν είναι αντιπροσωπευτική του λειτουργικού συστήματος (ΛΣ) που εκτελείται στο πρόγραμμα-πελάτη Netlogon. Θα πρέπει να γνωρίζετε ότι ενδέχεται να αλλάξουμε τα κριτήρια αναζήτησης ανά πάσα στιγμή. Ανατρέξτε στο θέμα Αλλαγή 3.
Η φάση επιβολής δεν απορρίπτει τα προγράμματα-πελάτες Του Netlogon με βάση τον τύπο κρυπτογράφησης που χρησιμοποιούν οι υπολογιστές-πελάτες. Θα απορρίψει τους πελάτες Netlogon μόνο εάν κάνουν υπογραφή RPC αντί για σφράγιση RPC. Η απόρριψη των πελατών RC4 Netlogon βασίζεται στο κλειδί μητρώου "RejectMd5Clients" που διατίθεται στον Windows Server 2008 R2 και σε μεταγενέστερους ελεγκτές τομέα των Windows. Η φάση επιβολής για αυτήν την ενημέρωση δεν αλλάζει την τιμή "RejectMd5Clients". Συνιστάται στους πελάτες να ενεργοποιήσουν την τιμή "RejectMd5Clients" για μεγαλύτερη ασφάλεια στους τομείς τους. Ανατρέξτε στο θέμα Αλλαγή 3.
Γλωσσάριο
Το Advanced Encryption Standard (AES) είναι ένα κρυπτογράφηση μπλοκ που υπερισχύει του Προτύπου κρυπτογράφησης δεδομένων (DES). Το AES μπορεί να χρησιμοποιηθεί για την προστασία ηλεκτρονικών δεδομένων. Ο αλγόριθμος AES μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση (κρυπτογράφηση) και αποκρυπτογράφηση (αποκρυπτογράφηση) πληροφοριών. Η κρυπτογράφηση μετατρέπει τα δεδομένα σε μια ακατανόητη μορφή που ονομάζεται κρυπτογραφημένο κείμενο. η αποκρυπτογράφηση του κρυπτογραφημένου κειμένου μετατρέπει ξανά τα δεδομένα στην αρχική τους μορφή, που ονομάζεται απλό κείμενο. Το AES χρησιμοποιείται στην κρυπτογράφηση συμμετρικού κλειδιού, που σημαίνει ότι χρησιμοποιείται το ίδιο κλειδί για τις λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης. Είναι επίσης ένα κρυπτογράφηση μπλοκ, που σημαίνει ότι λειτουργεί σε μπλοκ σταθερού μεγέθους απλού κειμένου και κρυπτογράφησης και απαιτεί το μέγεθος του απλού κειμένου καθώς και το κρυπτογραφημένο κείμενο να είναι ένα ακριβές πολλαπλάσιο αυτού του μεγέθους μπλοκ. Το AES είναι επίσης γνωστό ως ο συμμετρικός αλγόριθμος κρυπτογράφησης Rijndael [FIPS197] .
Σε ένα περιβάλλον ασφαλείας δικτύου συμβατό με λειτουργικό σύστημα Windows NT, το στοιχείο που είναι υπεύθυνο για τις λειτουργίες συγχρονισμού και συντήρησης μεταξύ ενός πρωτεύοντα ελεγκτή τομέα (PDC) και των αντιγράφων ασφαλείας ελεγκτών τομέα (BDC). Το Netlogon είναι ένας πρόδρομος του πρωτοκόλλου του διακομιστή αναπαραγωγής καταλόγου (DRS). Το περιβάλλον εργασίας κλήσης απομακρυσμένης διαδικασίας (RPC) του Απομακρυσμένου πρωτοκόλλου Netlogon χρησιμοποιείται κυρίως για τη διατήρηση της σχέσης μεταξύ μιας συσκευής και του τομέα της και των σχέσεων μεταξύ ελεγκτών τομέα (DCs) και τομέων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απομακρυσμένο πρωτόκολλο Netlogon.
Το RC4-HMAC (RC4) είναι ένας μεταβλητός αλγόριθμος συμμετρικής κρυπτογράφησης μήκους κλειδιού. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα [SCHNEIER] 17.1.
Μια σύνδεση κλήσης απομακρυσμένης διαδικασίας (RPC) με έλεγχο ταυτότητας μεταξύ δύο υπολογιστών σε έναν τομέα με ένα καθιερωμένο περιβάλλον ασφαλείας που χρησιμοποιείται για την υπογραφή και την κρυπτογράφηση πακέτων RPC .