Uuendatud
10. aprill 2023: värskendati jaotise "CVE-2022-37967 värskenduste ajastus" kolmas juurutamise etapp 11. aprillilt 2023 kuni 13. juunini 2023.
Selle artikli teemad
Kokkuvõte
8. novembril 2022 värskendab Windows õiguste serdiga (PAC) allkirjadega turbeeralduse ja õiguste laiendamise nõrkusi. See turbevärskendus lahendab Kerberose nõrkused, mille korral ründaja võis PAC-signatuuri digitaalselt muuta, suurendades nende õigusi.
Oma keskkonna turvalisuse tagamiseks installige see Windowsi värskendus kõigisse seadmetesse, sh Windowsi domeenikontrolleritesse. Enne värskendamise jõustatud režiimi aktiveerimist tuleb esmalt värskendada kõik teie domeenikontrollerid.
Lisateavet nende nõrkuste kohta leiate teemast CVE-2022-37967.
Toiming
Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.
-
Värskendage oma Windowsi domeenikontrollereid Windowsi värskendusega, mis anti välja 8. novembril 2022 või hiljem.
-
Windowsi domeenikontrollerite viimine auditirežiimi, kasutades jaotist Registrivõtme säte .
-
JÄLGIB auditirežiimis esitatud sündmusi teie keskkonna turvalisuse tagamiseks.
-
LUBAJõustamisrežiim CVE-2022-37967 lahendamiseks teie keskkonnas.
Märkus 8. novembril 2022 või hiljem välja antud värskenduste installimise 1. juhis EI lahenda vaikimisi Windowsi seadmete CVE-2022-37967 turbeprobleeme. Kõigi seadmete turbeprobleemi täielikuks leevendamiseks peate kõikides Windowsi domeenikontrollerites esimesel võimalusel üle minema auditirežiimile (kirjeldatud 2. etapis) ja seejärel jõustatud režiimile (kirjeldatud 4. juhises).
Tähtis Alates juulist 2023 on jõustamisrežiim kõigis Windowsi domeenikontrollerites lubatud ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest. Sel ajal ei saa te värskendust keelata, kuid võite minna tagasi auditirežiimi sättele. Auditirežiim eemaldatakse oktoobris 2023, nagu on kirjeldatud jaotises Kerberose nõrkuse CVE-2022-37967 värskenduste ajastus .
CVE-2022-37967 värskenduste ajastus
Teabevärskendused antakse välja etappidena: 8. novembril 2022 või hiljem välja antud värskenduste algetapp ja 13. juunil 2023 või hiljem välja antud värskenduste jõustamise etapp.
Algne juurutusetapp algab 8. novembril 2022 välja antud värskendustega ja jätkab hilisemate Windowsi värskendustega kuni jõustamisetapini. See värskendus lisab signatuurid Kerberose PAC-puhvrisse, kuid ei kontrolli autentimise ajal allkirju. Seega on turvarežiim vaikimisi keelatud.
See värskendus:
-
Lisab Kerberose PAC-puhvrisse PAC-allkirjad.
-
Lisab mõõdud Kerberose protokolli turbeerandi nõrkuse kõrvaldamiseks.
Teine juurutamise etapp algab värskendustega, mis on välja antud 13. detsembril 2022. Need ja uuemad värskendused muudavad Kerberose protokolli, et auditeerida Windowsi seadmeid , teisaldades Windowsi domeenikontrollerid auditirežiimi.
Selle värskendusega on kõik seadmed vaikimisi auditirežiimis.
-
Kui allkiri puudub või ei sobi, on autentimine lubatud. Lisaks luuakse auditilogi.
-
Kui allkiri puudub, tõstke sündmus ja lubage autentimine.
-
Kui allkiri on olemas, kinnitage see. Kui allkiri on vale, tõstke sündmus esile ja lubage autentimine.
13. juunil 2023 või hiljem välja antud Windowsi värskendused teevad järgmist.
-
Eemaldage PAC-allkirja lisamise keelamise võimalus, määrates alamvõtme KrbtgtFullPacSignature väärtuseks 0.
11. juulil 2023 või hiljem välja antud Windowsi värskendused teevad järgmist.
-
Eemaldab alamvõtme KrbtgtFullPacSignature väärtuse 1 määramise võimaluse.
-
Teisaldab värskenduse jõustamisrežiimi (vaikesäte) (KrbtgtFullPacSignature = 3), mille administraator saab konkreetse auditisättega alistada.
10. oktoobril 2023 või hiljem välja antud Windowsi värskendused teevad järgmist.
-
Eemaldab registri alamvõtme KrbtgtFullPacSignature toe.
-
Eemaldab auditirežiimi toe.
-
Kõigi uue PAC-allkirjata teenusepiletite autentimine keelatakse.
Juurutamisjuhised
Windowsi värskenduste juurutamiseks, mis on välja antud 8. novembril 2022 või uuemates versioonides, tehke järgmist.
-
Värskendage oma Windowsi domeenikontrollereid värskendusega, mis anti välja 8. novembril 2022 või hiljem.
-
Teisaldage domeenikontrollerid auditirežiimi, kasutades jaotises Registrivõti sätet.
-
JÄLGIB auditirežiimis esitatud sündmusi, mis aitavad teie keskkonda kaitsta.
-
LUBA Jõustamisrežiim CVE-2022-37967 lahendamiseks teie keskkonnas.
1. TOIMING: VÄRSKENDAMINE
Juurutage 8. novembri 2022 või uuemad värskendused kõigile kohaldatavatele Windowsi domeenikontrolleritele . Pärast värskenduse juurutamist lisatakse värskendatud Windowsi domeenikontrollerite signatuurid Kerberose PAC-puhvrisse ja need on vaikimisi ebaturvalised (PAC-allkirja ei valideerita).
-
Värskendamisel veenduge, et registriväärtus KrbtgtFullPacSignature jääks vaikeolekusse, kuni kõik Windowsi domeenikontrollerid on värskendatud.
2. TOIMING: TEISALDAMINE
Kui Windowsi domeenikontrollerid on värskendatud, aktiveerige auditirežiim, muutes väärtuse KrbtgtFullPacSignature väärtuseks 2.
3. TOIMING: OTSING/KUVAR
Tehke kindlaks alad, kus PAC-signatuurid puuduvad või millel on PAC-allkirjad, mille valideerimine nurjub auditirežiimis käivitatud sündmuselogide abil.
-
Enne jõustamisrežiimi aktiveerimist veenduge, et domeeni funktsionaalne tase oleks vähemalt 2008 või suurem. 2003. aasta domeeni funktsionaalsusega domeenide jõustamisrežiimi aktiveerimine võib põhjustada autentimistõrkeid.
-
Auditisündmused kuvatakse siis, kui teie domeen pole täielikult värskendatud või kui teie domeenis on veel pooleliolevaid varem väljastatud teenusepileteid.
-
Jätkake selliste täiendavate sündmuselogide jälgimist, mis osutavad puuduvatele PAC-allkirjadele või olemasolevate PAC-allkirjade valideerimistõrgetele.
-
Kui kogu domeen on värskendatud ja kõik väljapaistvad piletid on aegunud, ei tohiks auditisündmusi enam kuvada. Seejärel peaksite saama ilma tõrgeteta üle minna jõustamisrežiimile.
4. TOIMING: LUBAMINE
Jõustamisrežiimi lubamine CVE-2022-37967 lahendamiseks teie keskkonnas.
-
Kui kõik auditisündmused on lahendatud ja neid enam ei kuvata, teisaldage oma domeenid jõustamisrežiimi, värskendades registriväärtust KrbtgtFullPacSignature , nagu on kirjeldatud jaotises Registrivõtme sätted.
-
Kui teenusepiletil on sobimatu PAC-allkiri või PAC-allkirjad puuduvad, siis valideerimine nurjub ja tõrkesündmus logitakse.
Registrivõtme sätted
Kerberose protokoll
Pärast 8. novembril 2022 või hiljem välja antud Windowsi värskenduste installimist on Kerberose protokolli jaoks saadaval järgmine registrivõti:
-
KrbtgtFullPacSignature
Seda registrivõtit kasutatakse Kerberose muudatuste juurutamiseks. See registrivõti on ajutine ja seda ei loeta enam pärast täielikku jõustamiskuupäeva 10. oktoobril 2023.Registrivõti
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Väärtus
KrbtgtFullPacSignature
Andmetüüp
REG_DWORD
Andmed
0 – keelatud
1 – lisatakse uued allkirjad, kuid neid ei kontrollita. (Vaikesäte)
2 – auditirežiim. Lisatakse uued allkirjad ja need kinnitatakse, kui need on olemas. Kui allkiri puudub või ei sobi, on autentimine lubatud ja luuakse auditilogid.
3 – jõustamisrežiim. Lisatakse uued allkirjad ja need kinnitatakse, kui need on olemas. Kui allkiri puudub või ei sobi, keelatakse autentimine ja luuakse auditilogid.
Kas taaskäivitamine on nõutav?
Ei
Märkus Kui teil on vaja muuta registriväärtust KrbtgtFullPacSignature, lisage ja konfigureerige registrivõti vaikeväärtuse alistamiseks käsitsi.
CVE-2022-37967 seotud Windowsi sündmused
Auditirežiimis võite avastada ühte järgmistest tõrgetest, kui PAC-allkirjad puuduvad või ei sobi. Kui see probleem jätkub jõustamisrežiimis, logitakse need sündmused tõrgetena.
Kui leiate oma seadmest kummagi tõrke, on tõenäoline, et kõik teie domeeni Windowsi domeenikontrollerid ei ole ajakohased 8. novembri 2022 või uuema Windowsi värskendusega. Probleemide leevendamiseks peate oma domeeni veel uurima, et leida Windowsi domeenikontrollerid, mis pole ajakohased.
Märkus Kui leiate tõrke sündmuse ID-ga 42, lugege artiklit KB5021131: CVE-2022-37966 seotud Kerberose protokolli muudatuste haldamine.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Sündmuse ID |
43 |
Sündmuse tekst |
Võtmelevituskeskuses (KDC) ilmnes pilet, mida ta ei saanud valideerida TÄIELIK PAC-allkiri. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <>/<nimi> |
Sündmuselogi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Sündmuse ID |
44 |
Sündmuse tekst |
Võtmelevituskeskuses (KDC) ilmnes pilet, mis ei sisaldanud täielikku PAC-allkirja. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <>/<nimi> |
Kerberose protokolli rakendavad kolmanda osapoole seadmed
Muude tootjate domeenikontrolleritega domeenid võivad jõustamisrežiimis tõrkeid näha.
Muude tootjate klientidega domeenide täielikuks kustutamiseks võib pärast 8. novembri 2022 või uuema Windowsi värskenduse installimist kuluda kauem aega.
Võtke ühendust seadme tootja (OEM) või tarkvara tootjaga, et teha kindlaks, kas nende tarkvara ühildub uusima protokollimuudatusega.
Protokollivärskenduste kohta leiate teavet Microsofti veebisaidil teemast Windowsi protokoll .
Sõnastik
Kerberos on arvutivõrgu autentimise protokoll, mis töötab "piletitel", et võrgu kaudu suhtlevad sõlmed saaksid oma identiteeti turvaliselt tõestada.
Kerberose teenus, mis rakendab Kerberose protokollis määratud autentimis- ja piletilubamisteenuseid. Teenus töötab arvutites, mille on valinud valdkonna või domeeni administraator; seda ei kuvata igas võrgus olevas seadmes. Sellel peab olema juurdepääs kontoandmebaasile selle ala jaoks, mida see teenindab. KDC-d on integreeritud domeenikontrolleri rolli. See on võrguteenus, mis tarnib klientidele pileteid teenuste autentimiseks.
Privilege Attribute Certificate (PAC) on struktuur, mis edastab domeenikontrollerite (DC) esitatud autoriseerimisega seotud teavet. Lisateavet leiate teemast Õiguste atribuudi serdi andmestruktuur.
Eritüüpi pilet, mida saab kasutada muude piletite hankimiseks. Piletit andev pilet (TGT) saadakse pärast esmast autentimist autentimisteenuse (AS) vahetuses; pärast seda ei pea kasutajad oma identimisteavet esitama, vaid saavad edaspidiste piletite hankimiseks kasutada TGT-d.