Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Uuendatud

10. aprill 2023: värskendati jaotise "CVE-2022-37967 värskenduste ajastus" kolmas juurutamise etapp 11. aprillilt 2023 kuni 13. juunini 2023.

Selle artikli teemad

Kokkuvõte

8. novembril 2022 värskendab Windows õiguste serdiga (PAC) allkirjadega turbeeralduse ja õiguste laiendamise nõrkusi. See turbevärskendus lahendab Kerberose nõrkused, mille korral ründaja võis PAC-signatuuri digitaalselt muuta, suurendades nende õigusi.

Oma keskkonna turvalisuse tagamiseks installige see Windowsi värskendus kõigisse seadmetesse, sh Windowsi domeenikontrolleritesse. Enne värskendamise jõustatud režiimi aktiveerimist tuleb esmalt värskendada kõik teie domeenikontrollerid.

Lisateavet nende nõrkuste kohta leiate teemast CVE-2022-37967.

Toiming

Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.

  1. Värskendage oma Windowsi domeenikontrollereid Windowsi värskendusega, mis anti välja 8. novembril 2022 või hiljem.

  2. Windowsi domeenikontrollerite viimine auditirežiimi, kasutades jaotist Registrivõtme säte .

  3. JÄLGIB auditirežiimis esitatud sündmusi teie keskkonna turvalisuse tagamiseks.

  4. LUBAJõustamisrežiim CVE-2022-37967 lahendamiseks teie keskkonnas.

Märkus 8. novembril 2022 või hiljem välja antud värskenduste installimise 1. juhis EI lahenda vaikimisi Windowsi seadmete CVE-2022-37967 turbeprobleeme. Kõigi seadmete turbeprobleemi täielikuks leevendamiseks peate kõikides Windowsi domeenikontrollerites esimesel võimalusel üle minema auditirežiimile (kirjeldatud 2. etapis) ja seejärel jõustatud režiimile (kirjeldatud 4. juhises).

Tähtis Alates juulist 2023 on jõustamisrežiim kõigis Windowsi domeenikontrollerites lubatud ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest.  Sel ajal ei saa te värskendust keelata, kuid võite minna tagasi auditirežiimi sättele. Auditirežiim eemaldatakse oktoobris 2023, nagu on kirjeldatud jaotises Kerberose nõrkuse CVE-2022-37967 värskenduste ajastus .

CVE-2022-37967 värskenduste ajastus

Teabevärskendused antakse välja etappidena: 8. novembril 2022 või hiljem välja antud värskenduste algetapp ja 13. juunil 2023 või hiljem välja antud värskenduste jõustamise etapp.

Algne juurutusetapp algab 8. novembril 2022 välja antud värskendustega ja jätkab hilisemate Windowsi värskendustega kuni jõustamisetapini. See värskendus lisab signatuurid Kerberose PAC-puhvrisse, kuid ei kontrolli autentimise ajal allkirju. Seega on turvarežiim vaikimisi keelatud.

See värskendus:

  • Lisab Kerberose PAC-puhvrisse PAC-allkirjad.

  • Lisab mõõdud Kerberose protokolli turbeerandi nõrkuse kõrvaldamiseks.

Teine juurutamise etapp algab värskendustega, mis on välja antud 13. detsembril 2022. Need ja uuemad värskendused muudavad Kerberose protokolli, et auditeerida Windowsi seadmeid , teisaldades Windowsi domeenikontrollerid auditirežiimi.

Selle värskendusega on kõik seadmed vaikimisi auditirežiimis.

  • Kui allkiri puudub või ei sobi, on autentimine lubatud. Lisaks luuakse auditilogi. 

  • Kui allkiri puudub, tõstke sündmus ja lubage autentimine.

  • Kui allkiri on olemas, kinnitage see. Kui allkiri on vale, tõstke sündmus esile ja lubage autentimine.

13. juunil 2023 või hiljem välja antud Windowsi värskendused teevad järgmist. 

  • Eemaldage PAC-allkirja lisamise keelamise võimalus, määrates alamvõtme KrbtgtFullPacSignature väärtuseks 0.

11. juulil 2023 või hiljem välja antud Windowsi värskendused teevad järgmist. 

  • Eemaldab alamvõtme KrbtgtFullPacSignature väärtuse 1 määramise võimaluse.

  • Teisaldab värskenduse jõustamisrežiimi (vaikesäte) (KrbtgtFullPacSignature = 3), mille administraator saab konkreetse auditisättega alistada.

10. oktoobril 2023 või hiljem välja antud Windowsi värskendused teevad järgmist. 

  • Eemaldab registri alamvõtme KrbtgtFullPacSignature toe.

  • Eemaldab auditirežiimi toe.

  • Kõigi uue PAC-allkirjata teenusepiletite autentimine keelatakse.

Juurutamisjuhised

Windowsi värskenduste juurutamiseks, mis on välja antud 8. novembril 2022 või uuemates versioonides, tehke järgmist.

  1. Värskendage oma Windowsi domeenikontrollereid värskendusega, mis anti välja 8. novembril 2022 või hiljem.

  2. Teisaldage domeenikontrollerid auditirežiimi, kasutades jaotises Registrivõti sätet.

  3. JÄLGIB auditirežiimis esitatud sündmusi, mis aitavad teie keskkonda kaitsta.

  4. LUBA Jõustamisrežiim CVE-2022-37967 lahendamiseks teie keskkonnas.

1. TOIMING: VÄRSKENDAMINE 

Juurutage 8. novembri 2022 või uuemad värskendused kõigile kohaldatavatele Windowsi domeenikontrolleritele . Pärast värskenduse juurutamist lisatakse värskendatud Windowsi domeenikontrollerite signatuurid Kerberose PAC-puhvrisse ja need on vaikimisi ebaturvalised (PAC-allkirja ei valideerita).

  • Värskendamisel veenduge, et registriväärtus KrbtgtFullPacSignature jääks vaikeolekusse, kuni kõik Windowsi domeenikontrollerid on värskendatud.

2. TOIMING: TEISALDAMINE 

Kui Windowsi domeenikontrollerid on värskendatud, aktiveerige auditirežiim, muutes väärtuse KrbtgtFullPacSignature väärtuseks 2.  

3. TOIMING: OTSING/KUVAR 

Tehke kindlaks alad, kus PAC-signatuurid puuduvad või millel on PAC-allkirjad, mille valideerimine nurjub auditirežiimis käivitatud sündmuselogide abil.   

  • Enne jõustamisrežiimi aktiveerimist veenduge, et domeeni funktsionaalne tase oleks vähemalt 2008 või suurem. 2003. aasta domeeni funktsionaalsusega domeenide jõustamisrežiimi aktiveerimine võib põhjustada autentimistõrkeid.

  • Auditisündmused kuvatakse siis, kui teie domeen pole täielikult värskendatud või kui teie domeenis on veel pooleliolevaid varem väljastatud teenusepileteid.

  • Jätkake selliste täiendavate sündmuselogide jälgimist, mis osutavad puuduvatele PAC-allkirjadele või olemasolevate PAC-allkirjade valideerimistõrgetele.

  • Kui kogu domeen on värskendatud ja kõik väljapaistvad piletid on aegunud, ei tohiks auditisündmusi enam kuvada. Seejärel peaksite saama ilma tõrgeteta üle minna jõustamisrežiimile.

4. TOIMING: LUBAMINE 

Jõustamisrežiimi lubamine CVE-2022-37967 lahendamiseks teie keskkonnas.

  • Kui kõik auditisündmused on lahendatud ja neid enam ei kuvata, teisaldage oma domeenid jõustamisrežiimi, värskendades registriväärtust KrbtgtFullPacSignature , nagu on kirjeldatud jaotises Registrivõtme sätted.

  • Kui teenusepiletil on sobimatu PAC-allkiri või PAC-allkirjad puuduvad, siis valideerimine nurjub ja tõrkesündmus logitakse.

Registrivõtme sätted

Kerberose protokoll

Pärast 8. novembril 2022 või hiljem välja antud Windowsi värskenduste installimist on Kerberose protokolli jaoks saadaval järgmine registrivõti:

  • KrbtgtFullPacSignature Seda registrivõtit kasutatakse Kerberose muudatuste juurutamiseks. See registrivõti on ajutine ja seda ei loeta enam pärast täielikku jõustamiskuupäeva 10. oktoobril 2023. 

    Registrivõti

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Väärtus

    KrbtgtFullPacSignature

    Andmetüüp

    REG_DWORD

    Andmed

    0 – keelatud  

    1 – lisatakse uued allkirjad, kuid neid ei kontrollita. (Vaikesäte)

    2 – auditirežiim. Lisatakse uued allkirjad ja need kinnitatakse, kui need on olemas. Kui allkiri puudub või ei sobi, on autentimine lubatud ja luuakse auditilogid.

    3 – jõustamisrežiim. Lisatakse uued allkirjad ja need kinnitatakse, kui need on olemas. Kui allkiri puudub või ei sobi, keelatakse autentimine ja luuakse auditilogid.

    Kas taaskäivitamine on nõutav?

    Ei

    Märkus Kui teil on vaja muuta registriväärtust KrbtgtFullPacSignature, lisage ja konfigureerige registrivõti vaikeväärtuse alistamiseks käsitsi.

CVE-2022-37967 seotud Windowsi sündmused

Auditirežiimis võite avastada ühte järgmistest tõrgetest, kui PAC-allkirjad puuduvad või ei sobi. Kui see probleem jätkub jõustamisrežiimis, logitakse need sündmused tõrgetena.

Kui leiate oma seadmest kummagi tõrke, on tõenäoline, et kõik teie domeeni Windowsi domeenikontrollerid ei ole ajakohased 8. novembri 2022 või uuema Windowsi värskendusega. Probleemide leevendamiseks peate oma domeeni veel uurima, et leida Windowsi domeenikontrollerid, mis pole ajakohased.  

Märkus Kui leiate tõrke sündmuse ID-ga 42, lugege artiklit KB5021131: CVE-2022-37966 seotud Kerberose protokolli muudatuste haldamine.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

43

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes pilet, mida ta ei saanud valideerida TÄIELIK PAC-allkiri. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <>/<nimi>

Sündmuselogi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

44

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes pilet, mis ei sisaldanud täielikku PAC-allkirja. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <>/<nimi>

Kerberose protokolli rakendavad kolmanda osapoole seadmed

Muude tootjate domeenikontrolleritega domeenid võivad jõustamisrežiimis tõrkeid näha.

Muude tootjate klientidega domeenide täielikuks kustutamiseks võib pärast 8. novembri 2022 või uuema Windowsi värskenduse installimist kuluda kauem aega.

Võtke ühendust seadme tootja (OEM) või tarkvara tootjaga, et teha kindlaks, kas nende tarkvara ühildub uusima protokollimuudatusega.

Protokollivärskenduste kohta leiate teavet Microsofti veebisaidil teemast Windowsi protokoll .

Sõnastik

Kerberos on arvutivõrgu autentimise protokoll, mis töötab "piletitel", et võrgu kaudu suhtlevad sõlmed saaksid oma identiteeti turvaliselt tõestada.

Kerberose teenus, mis rakendab Kerberose protokollis määratud autentimis- ja piletilubamisteenuseid. Teenus töötab arvutites, mille on valinud valdkonna või domeeni administraator; seda ei kuvata igas võrgus olevas seadmes. Sellel peab olema juurdepääs kontoandmebaasile selle ala jaoks, mida see teenindab. KDC-d on integreeritud domeenikontrolleri rolli. See on võrguteenus, mis tarnib klientidele pileteid teenuste autentimiseks.

Privilege Attribute Certificate (PAC) on struktuur, mis edastab domeenikontrollerite (DC) esitatud autoriseerimisega seotud teavet. Lisateavet leiate teemast Õiguste atribuudi serdi andmestruktuur.

Eritüüpi pilet, mida saab kasutada muude piletite hankimiseks. Piletit andev pilet (TGT) saadakse pärast esmast autentimist autentimisteenuse (AS) vahetuses; pärast seda ei pea kasutajad oma identimisteavet esitama, vaid saavad edaspidiste piletite hankimiseks kasutada TGT-d.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.