מעודכן
10 באפריל 2023: עדכן את "שלב הפריסה השלישי" מה- 11 באפריל 2023 ל- 13 ביוני 2023 בסעיף "תזמון עדכונים כדי לטפל ב- CVE-2022-37967".
במאמר זה
סיכום
עדכוני Windows ב- 8 בנובמבר 2022 כתובות בעקיפת אבטחה ובגובה של פגיעויות הרשאה עם חתימות מסוג Privilege Attribute Certificate (PAC). עדכון אבטחה זה מטפל בפגיעויות של Kerberos שבהן תוקף יכול לשנות חתימות PAC באופן דיגיטלי, וגדל את ההרשאות שלו.
כדי לעזור לאבטח את הסביבה שלך, התקן עדכון זה של Windows לכל המכשירים, כולל בקרי התחום של Windows. יש לעדכן תחילה את כל בקרי התחום בתחום שלך לפני העברת העדכון למצב 'נאכף'.
לקבלת מידע נוסף על פגיעויות אלה, ראה CVE-2022-37967.
בצע פעולה
כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ לבצע את השלבים הבאים:
-
עדכן את בקרי התחום של Windows באמצעות עדכון Windows שפורסם ב- 8 בנובמבר 2022 או לאחר מכן.
-
העבר את בקרי התחום של Windows למצב ביקורת באמצעות המקטע הגדרת מפתח רישום.
-
אירועי MONITOR מתויקים במהלך מצב ביקורת כדי לאבטח את הסביבה שלך.
-
לאפשרמצב אכיפה כדי לטפל ב- CVE-2022-37967 בסביבה שלך.
הערה שלב 1 של התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן לא תפתור את בעיות האבטחה ב- CVE-2022-37967 עבור מכשירי Windows כברירת מחדל. כדי לצמצם את בעיית האבטחה באופן מלא עבור כל המכשירים, עליך לעבור למצב ביקורת (המתואר בשלב 2) ולאחר מכן למצב נאכף (המתואר בשלב 4) בהקדם האפשרי בכל בקרי התחום של Windows.
חשוב החל מיולי 2023, מצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים. בשלב זה, לא תוכל להפוך את העדכון ללא זמין, אך ייתכן שתחזור להגדרת מצב ביקורת. מצב ביקורת יוסר באוקטובר 2023, כמתואר בסעיף תזמון עדכונים כדי לטפל בפגיעות של Kerberos CVE-2022-37967 .
תזמון עדכונים כדי לטפל ב- CVE-2022-37967
עדכונים תופץ בשלבים: השלב ההתחלתי עבור עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן ושלב האכיפה עבור עדכונים שהופצו ב- 13 ביוני 2023 או לאחר מכן.
שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 8 בנובמבר 2022 וממשיך בעדכונים מאוחרים יותר של Windows עד לשלב האכיפה. עדכון זה מוסיף חתימות למאגר Kerberos PAC אך אינו בודק אם קיימים חתימות במהלך אימות. לכן, מצב מאובטח אינו זמין כברירת מחדל.
עדכון זה:
-
הוספת חתימות PAC למאגר Kerberos PAC.
-
הוספת מדידים כדי לטפל בפגיעות של מעקף אבטחה בפרוטוקול Kerberos.
שלב הפריסה השני מתחיל בעדכונים שהופצו ב- 13 בדצמבר 2022. עדכונים אלה ועדכונים מאוחרים יותר משתנים בפרוטוקול Kerberos לביקורת של מכשירי Windows על-ידי העברת בקרי התחום של Windows למצב ביקורת.
בעדכון זה, כל המכשירים יהיו במצב ביקורת כברירת מחדל:
-
אם החתימה חסרה או לא חוקית, האימות מותר. בנוסף, ייווצר יומן ביקורת.
-
אם החתימה חסרה, גייס אירוע ותאפשר את האימות.
-
אם החתימה קיימת, אמת אותה. אם החתימה שגויה, גייס אירוע ותאפשר את האימות.
עדכוני Windows שהופצו ב- 13 ביוני 2023 או לאחר מכן יבצעו את הפעולות הבאות:
-
הסר את היכולת להפוך את הוספת חתימת PAC ללא זמינה על-ידי הגדרת מפתח המשנה KrbtgtFullPacSignature לערך 0.
עדכוני Windows שהופצו ב- 11 ביולי 2023 או לאחר מכן יבצעו את הפעולות הבאות:
-
הסרת היכולת להגדיר ערך 1 עבור מפתח המשנה KrbtgtFullPacSignature.
-
העברת העדכון למצב אכיפה (ברירת מחדל) (KrbtgtFullPacSignature = 3) שמנהל מערכת יכול לעקוף אותו עם הגדרת ביקורת מפורשת.
עדכוני Windows שהופצו ב- 10 באוקטובר 2023 או לאחר מכן יבצעו את הפעולות הבאות:
-
הסרת תמיכה עבור מפתח המשנה של הרישום KrbtgtFullPacSignature.
-
הסרת תמיכה במצב ביקורת.
-
כל כרטיסי השירות ללא החתימות החדשות של PAC נדחו באימות.
קווים מנחים לפריסה
כדי לפרוס את עדכוני Windows שתאריך 8 בנובמבר 2022 או עדכונים מאוחרים יותר של Windows, בצע את הפעולות הבאות:
-
עדכן את בקרי התחום של Windows בעדכון שפורסם ב- 8 בנובמבר 2022 או לאחר מכן.
-
העבר את בקרי התחום שלך למצב ביקורת באמצעות המקטע הגדרת מפתח רישום.
-
אירועי MONITOR מתויקים במהלך מצב ביקורת כדי לסייע לאבטח את הסביבה שלך.
-
לאפשר מצב אכיפה כדי לטפל ב- CVE-2022-37967 בסביבה שלך.
שלב 1: עדכון
פרוס את העדכונים של 8 בנובמבר 2022 ואילך לכל בקרי התחום (DCs) הרלוונטיים של Windows. לאחר פריסת העדכון, בבקרי התחום של Windows עודכנו יתווספו חתימות למאגר ה- PAC של Kerberos והן לא יהיו מאובטחות כברירת מחדל (חתימת PAC אינה מאומתת).
-
בעת העדכון, הקפד לשמור את ערך הרישום KrbtgtFullPacSignature במצב ברירת המחדל עד שכל בקרי התחום של Windows יעודכנו.
שלב 2: הזז
לאחר עדכון בקרי התחום של Windows, עבור למצב ביקורת על-ידי שינוי הערך KrbtgtFullPacSignature ל - 2.
שלב 3: חיפוש/צג
זהה אזורים שחסרים להם חתימות PAC או שחתימות PAC נכשלות באימות באמצעות יומני האירועים המופעלים במהלך מצב ביקורת.
-
ודא שהרמה הפונקציונלית של התחום מוגדרת ל- 2008 ואילך לפחות לפני המעבר למצב אכיפה. מעבר למצב אכיפה עם תחומים ברמה הפונקציונלית של תחום 2003 עלול לגרום לכשלים באימות.
-
אירועי ביקורת יופיעו אם התחום שלך לא יעודכן במלואו, או אם עדיין קיימים בתחום שלך כרטיסי שירות שלא פורסמו קודם לכן.
-
המשך לעקוב אחר יומני אירועים נוספים מתויקים המציינים חתימות PAC חסרות או כשלים באימות של חתימות PAC קיימות.
-
לאחר עדכון התחום כולו ופג תוקפם של כל הכרטיסים הנמצאים בטיפול, אירועי הביקורת לא אמורים להופיע עוד. לאחר מכן, תוכל לעבור למצב אכיפה ללא כשלים.
שלב 4: הפוך לזמין
הפוך מצב אכיפה לזמין כדי לטפל ב- CVE-2022-37967 בסביבה שלך.
-
לאחר שכל אירועי הביקורת ייפתרו ולא יופיעו עוד, העבר את התחומים שלך למצב אכיפה על-ידי עדכון ערך הרישום KrbtgtFullPacSignature כמתואר בסעיף הגדרות מפתח רישום.
-
אם לכרטיס שירות יש חתימת PAC לא חוקית או שחסרות לו חתימות PAC, האימות ייכשל וינרשם אירוע שגיאה.
הגדרות מפתח רישום
פרוטוקול Kerberos
לאחר התקנת עדכוני Windows שתאריךם פורסם ב- 8 בנובמבר 2022 או לאחר מכן, מפתח הרישום הבא זמין עבור פרוטוקול Kerberos:
-
KrbtgtFullPacSignature
מפתח רישום זה משמש לשער הפריסה של שינויי Kerberos. מפתח רישום זה הוא זמני ולא ייקרא עוד לאחר תאריך האכיפה המלא של 10 באוקטובר 2023.מפתח רישום
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
ערך
KrbtgtFullPacSignature
סוג נתונים
REG_DWORD
נתונים
0 – לא זמין
1 – חתימות חדשות מתווספות, אך אינן מאומתות. (הגדרת ברירת מחדל)
2 - מצב ביקורת. חתימות חדשות מתווספות ומאומתות אם הן קיימות. אם החתימה חסרה או לא חוקית, האימות מותר וייווצרו יומני ביקורת.
3 - מצב אכיפה. חתימות חדשות מתווספות ומאומתות אם הן קיימות. אם החתימה חסרה או לא חוקית, האימות נדחה וייווצרו יומני ביקורת.
נדרשת הפעלה מחדש?
לא
הערה אם עליך לשנות את ערך הרישום KrbtgtFullPacSignature, הוסף באופן ידני ולאחר מכן קבע את תצורת מפתח הרישום כדי לעקוף את ערך ברירת המחדל.
אירועי Windows הקשורים ל- CVE-2022-37967
במצב ביקורת, ייתכן שתמצא אחת מהשגיאות הבאות אם חתימות PAC חסרות או לא חוקיות. אם בעיה זו נמשכת במהלך מצב אכיפה, אירועים אלה יירשם כשגיאות.
אם אתה מוצא שגיאה במכשיר שלך, ייתכן שכל בקרי התחום של Windows בתחום שלך אינם מעודכנים בעדכון של Windows ב- 8 בנובמבר, 2022 ואילך. כדי לצמצם את הבעיות, יהיה עליך להמשיך ולחקור את התחום שלך כדי למצוא בקרי תחום של Windows שאינם מעודכנים.
הערה אם אתה מוצא שגיאה עם מזהה אירוע 42, ראה KB5021131: כיצד לנהל את השינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37966.
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
מזהה האירוע |
43 |
טקסט אירוע |
מרכז התפלגות המפתח (KDC) נתקל בכרטיס שלא היתה לו אפשרות לאמת את חתימה מלאה של PAC. ראה https://go.microsoft.com/fwlink/?linkid=2210019 למידע נוסף. לקוח : <תחום>/<שם> |
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
מזהה האירוע |
44 |
טקסט אירוע |
מרכז התפלגות המפתח (KDC) נתקל בכרטיס שלא הכיל את חתימת PAC המלאה. ראה https://go.microsoft.com/fwlink/?linkid=2210019 למידע נוסף. לקוח : <תחום>/<שם> |
מכשירים של ספקים חיצוניים המיישמים פרוטוקול Kerberos
תחומים בעלי בקרי תחום של ספקים חיצוניים עשויים לראות שגיאות במצב אכיפה.
ייתכן שיחלוף זמן רב יותר עד שניקה של אירועי ביקורת עבור תחומים עם לקוחות של ספקים חיצוניים לאחר התקנת עדכון Windows מה- 8 בנובמבר, 2022 ואילך.
פנה ליצרן ההתקן (OEM) או לספק התוכנה כדי לקבוע אם התוכנה שלו תואמת לשינוי הפרוטוקול העדכני ביותר.
לקבלת מידע אודות עדכוני פרוטוקול, עיין בנושא פרוטוקול Windows באתר האינטרנט של Microsoft.
מילון מונחים
Kerberos הוא פרוטוקול אימות רשת של מחשבים שעובד על בסיס "כרטיסים" כדי לאפשר לצמתים המתקשרים ברשת להוכיח את זהותם זה עם זה באופן מאובטח.
שירות Kerberos המיישם את שירותי האימות וההענקת כרטיסים שצוינו בפרוטוקול Kerberos. השירות פועל במחשבים שנבחרו על-ידי מנהל המערכת של התחום או התחום; הוא אינו קיים בכל מחשב ברשת. דרושה לו גישה למסד נתונים של חשבונות עבור כל מה שהוא משרת. KDCs משולבים בתפקיד בקר התחום. זהו שירות רשת שמספק כרטיסים ללקוחות לשימוש באימות שירותים.
אישור תכונת הרשאה (PAC) הוא מבנה שמעביר מידע הקשור להרשאות המסופק על-ידי בקרי תחום (DCs). לקבלת מידע נוסף, ראה מבנה נתונים של אישור תכונת הרשאה.
סוג מיוחד של כרטיס שניתן להשתמש בו להשגת כרטיסים אחרים. The Ticket-granting Ticket (TGT) is obtained after the initial authentication in the Authentication Service (AS) exchange; לאחר מכן, המשתמשים אינם צריכים להציג את האישורים שלהם, אך הם יכולים להשתמש ב- TGT כדי להשיג כרטיסים בהמשך.