Muudatuste logi
1. muudatus: 5. aprill 2023: Teisaldas registrivõtme etapi "Jõustamine vaikimisi" 11. aprillilt 2023 13. juunini 2023 jaotises "CVE-2022-38023 värskenduste ajastus". 2. muudatus: 20. aprill 2023: Eemaldati jaotises "Registrivõtme sätted" rühmapoliitika objekti (GPO) ebatäpne viide "Domeenikontroller: Luba haavatavad Netlogoni turvalised kanaliühendused". 3. muudatus: 19. juuni 2023:
|
Selle artikli teemad
Kokkuvõte
8. novembril 2022 ja uuemates Windowsi värskendustes käsitletakse Netlogoni protokolli nõrkusi, kui RPC-allkirja kasutatakse RPC pitseerimise asemel. Lisateavet leiate artiklist CVE-2022-38023 .
Netlogon Remote Protocol remote protocol remote procedure call (RPC) liidest kasutatakse peamiselt seadme ja selle domeeni vahelise seose säilitamiseks ning seoste säilitamiseks domeenikontrollerite (DC) ja domeenide vahel.
See värskendus kaitseb Windowsi seadmeid vaikimisi CVE-2022-38023 eest. Muude tootjate klientide ja muude tootjate domeenikontrollerite jaoks on värskendus vaikimisi ühilduvusrežiimis ja võimaldab selliste klientide haavatavaid ühendusi. Jõustamisrežiimi aktiveerimise juhised leiate jaotisest Registrivõtme sätted .
Oma keskkonna turvalisuse tagamiseks installige Windowsi värskendus, mis on välja lülitatud 8. novembril 2022 või uuem Windowsi värskendus kõigile seadmetele, sh domeenikontrolleritele.
Oluline Alates juunist 2023 on jõustamisrežiim kõigis Windowsi domeenikontrollerites lubatud ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest. Sel ajal ei saa te värskendust keelata, kuid võite naasta ühilduvusrežiimi sättele. Ühilduvusrežiim eemaldatakse juulis 2023, nagu on kirjeldatud jaotises Netlogoni nõrkuse CVE-2022-38023 värskenduste ajastus .
CVE-2022-38023 värskenduste ajastus
Teabevärskendused antakse välja mitmes etapis: 8. novembril 2022 või hiljem välja antud värskenduste algetapp ja 11. juulil 2023 või hiljem välja antud värskenduste jõustamise etapp.
Algne juurutusetapp algab 8. novembril 2022 välja antud värskendustega ja jätkab hilisemate Windowsi värskendustega kuni jõustamisetapini. Windowsi värskendused 8. novembril 2022 või hiljem lahendavad CVE-2022-38023 turbeeralduse nõrkuse, jõustades RPC sulgemise kõigis Windowsi klientrakendustes.
Vaikimisi seatakse seadmed ühilduvusrežiimis. Windowsi domeenikontrollerid nõuavad, et Netlogoni kliendid kasutaksid RPC pitserit, kui neil on Windows või kui nad tegutsevad domeenikontrollerite või usalduskontodena.
Windowsi värskendused, mis anti välja 11. aprillil 2023 või hiljem, eemaldavad võimaluse keelata RPC pitseerimine, määrates väärtuse 0 registri alamvõtmeks RequireSeal .
Registri alamvõti RequireSeal teisaldatakse jõustatud režiimi, välja arvatud juhul, kui administraatorid on selgesõnaliselt konfigureerinud olema ühilduvusrežiimis. Kõigi klientrakenduste, sh kolmandate osapoolte haavatavate ühenduste autentimine keelatakse. Vt muudatust 1.
11. juulil 2023 välja antud Windowsi värskendused eemaldavad võimaluse seada väärtuse 1 registri alamvõtmele RequireSeal . See võimaldab CVE-2022-38023 jõustamisfaasi.
Registrivõtme sätted
Pärast Windowsi värskenduste installimist, mis on kuupäevaga 8. novembril 2022 või hiljem, on Windowsi domeenikontrollerite Netlogoni protokolli jaoks saadaval järgmine registri alamvõti.
OLULINE See värskendus ja tulevased jõustamismuudatused ei lisa ega eemalda automaatselt registri alamvõtit "RequireSeal". Selle registri alamvõtme lugemiseks tuleb see käsitsi lisada. Vt Muudatus 3.
RequireSeal subkey
Registrivõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Väärtus |
RequireSeal |
Andmetüüp |
REG_DWORD |
Andmed |
0 – keelatud 1 – ühilduvusrežiim. Windowsi domeenikontrollerid nõuavad, et Netlogoni kliendid kasutaksid RPC-tihendit, kui neil on Windows või kui nad tegutsevad domeenikontrollerite või usalduskontodena. 2 – jõustamisrežiim. Kõik kliendid on nõutavad RPC pitseri kasutamiseks. Vt muudatust 2. |
Kas taaskäivitamine on nõutav? |
Ei |
CVE-2022-38023ga seotud Windowsi sündmused
MÄRKUS Järgmistel sündmustel on 1-tunnine puhver, kus sama teavet sisaldavad duplikaatsündmused hüljatakse selle puhvri ajal.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
NETLOGON |
Sündmuse ID |
5838 |
Sündmuse tekst |
Netlogoni teenuses ilmnes klient RPC-allkirjaga, mitte RPC pitseerimisega. |
Kui leiate sündmuselogidest selle tõrketeate, peate süsteemitõrke lahendamiseks tegema järgmist.
-
Veenduge, et seadmes töötaks Windowsi toetatud versioon.
-
Veenduge, et kõik seadmed oleksid ajakohased.
-
Veenduge, et domeeniliige: domeeni liige Krüpti digitaalselt või allkirjasta turvalised kanaliandmed (alati) oleks määratud väärtuseks Lubatud .
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
NETLOGON |
Sündmuse ID |
5839 |
Sündmuse tekst |
Netlogoni teenuses ilmnes usaldus RPC-allkirjaga, mitte RPC pitseerimisega. |
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
NETLOGON |
Sündmuse ID |
5840 |
Sündmuse tekst |
Netlogoni teenus lõi RC4-ga kliendiga turvalise kanali. |
Kui leiate sündmuse 5840, on see märk sellest, et teie domeeni klient kasutab nõrka krüptograafiat.
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
NETLOGON |
Sündmuse ID |
5841 |
Sündmuse tekst |
Netlogoni teenus keelas kliendi RC4 kasutamise sätte RejectMd5Clients tõttu. |
Kui leiate sündmuse 5841, on see märk sellest, et sätte RejectMD5Clients väärtuseks on seatud TRUE .
Klahv RejectMD5Clients on Netlogoni teenuses olemasolev võti. Lisateavet leiate artiklist Abstraktse andmemudeliKorduma kippuvad küsimused (KKK)
See CVE mõjutab kõiki domeeniga liidetud arvutikontosid. Sündmused näitavad, keda see probleem kõige rohkem mõjutab pärast 8. novembri 2022 või uuemate Windowsi värskenduste installimist. Probleemi lahendamiseks vaadake läbi jaotis Sündmuselogi tõrked .
Et aidata tuvastada vanemaid kliente, kes ei kasuta kõige tugevamat saadaolevat krüptovaluutat, tutvustab see värskendus RC4 kasutavate klientide sündmuselogisid.
RPC allkirjastamine on siis, kui Netlogoni protokoll kasutab juhtmega saadetavate sõnumite allkirjastamiseks RPC-t. RPC pitseerimine on siis, kui Netlogoni protokoll allkirjastab ja krüptib sõnumid, mida see juhtmega saadab.
Windowsi domeenikontroller määratleb, kas Netlogoni klientrakendus käitab Windowsi, tehes Netlogoni kliendi Active Directorys päringu atribuudile "OperatingSystem" ja otsides järgmisi stringe.
-
"Windows", "Hyper-V Server" ja "Azure Stack HCI"
Me ei soovita ega toeta, et Netlogon kliendid või domeeni administraatorid muudaks seda atribuuti selliseks väärtuseks, mis ei esinda Netlogoni klientrakenduse töötavat operatsioonisüsteemi (OS). Võtke arvesse, et võime otsingukriteeriume igal ajal muuta. Vt Muudatus 3.
Jõustamisetapis ei hüljata Netlogoni kliente, mis põhinevad klientide kasutatava krüptimise tüübil. See hülgab Netlogoni kliendid ainult siis, kui nad teevad RPC allkirjastamise asemel RPC pitseerimist. RC4 Netlogoni klientide hülgamine põhineb Windows Server 2008 R2 ja uuemate Windowsi domeenikontrollerite jaoks saadaoleval registrivõtmel "RejectMd5Clients". Selle värskenduse jõustamise etapp ei muuda väärtust "RejectMd5Clients". Soovitame klientidel lubada oma domeenide suurema turvalisuse huvides väärtus RejectMd5Clients. Vt Muudatus 3.
Sõnastik
Advanced Encryption Standard (AES) on ploki šifr, mis asendab andmekrüptimise standardi (DES). AES-i saab kasutada elektrooniliste andmete kaitsmiseks. AES-algoritmi saab kasutada teabe krüptimiseks (kodeerimiseks) ja dekrüptimiseks (dešifriks). Krüptimine teisendab andmed soovimatuks vormiks nimega šifrtekst; šifriteksti dekrüptimine teisendab andmed tagasi algseks vormiks ,mida nimetatakse lihttekstiks. AES-i kasutatakse sümmeetrilise võtme krüptograafias, mis tähendab, et sama võtit kasutatakse krüptimis- ja dekrüptimistoimingute jaoks. See on ka ploki šifr, mis tähendab, et see töötab fikseeritud suurusega plokkide plaintext ja šifritekstiga ning nõuab lihtteksti ja šifriteksti suurust, et see oleks selle ploki suuruse täpne kordne. AES-i tuntakse ka Rijndaeli sümmeetrilise krüptimise algoritmina [FIPS197] .
Windows NT operatsioonisüsteemiga ühilduvas võrguturbekeskkonnas vastutab esmase domeenikontrolleri (PDC) ja varundusdomeenikontrollerite (BDC) sünkroonimis- ja hooldusfunktsioonide eest vastutav komponent. Netlogon on kataloogi tiražeerimisserveri (DRS) protokolli eelkäija. Netlogon Remote Protocol remote protocol remote procedure call (RPC) liidest kasutatakse peamiselt seadme ja selle domeeni vahelise seose säilitamiseks ning seoste säilitamiseks domeenikontrollerite (DC) ja domeenide vahel. Lisateavet leiate teemast Netlogon Remote Protocol.
RC4-HMAC (RC4) on muutuv võtmepikkusega sümmeetriline krüptimisalgoritm. Lisateavet leiate [SCHNEIER] 17.1.
Autenditud kaugprotseduurikutse (RPC) ühendus domeeni kahe arvuti vahel, millel on kehtestatudturbekontekst , mida kasutatakse RPC pakettide allkirjastamiseks ja krüptimiseks.