יומן רישום שינויים
שינוי 1: 5 באפריל 2023: השלב "אכיפה כברירת מחדל" של מפתח הרישום הועבר מה- 11 באפריל 2023 ל- 13 ביוני 2023 בסעיף "תזמון עדכונים כדי לטפל ב- CVE-2022-38023". שינוי 2: 20 באפריל 2023: הוסרה הפניה לא מדויקת אל "בקר תחום: אפשר חיבורי ערוץ מאובטח פגיעים של Netlogon" (GPO) במקטע "הגדרות מפתח רישום". שינוי 3: 19 ביוני 2023:
|
במאמר זה
סיכום
עדכוני Windows ב- 8 בנובמבר 2022 ואילך מטפלים בחולשות בפרוטוקול Netlogon כאשר נעשה שימוש בחתימה של RPC במקום בחתימה של RPC. ניתן למצוא מידע נוסף ב- CVE-2022-38023 .
ממשק קריאה לפרוצדורה מרוחקת (RPC) של Netlogon משמש בראש ובראשונה לשמירה על קשר הגומלין בין התקן לבין התחום שלו, וקשרי הגומלין בין בקרי תחום (DCs) ותחומים.
עדכון זה מגן על מכשירי Windows מפני CVE-2022-38023 כברירת מחדל. עבור לקוחות של ספקים חיצוניים ובקרי תחום של ספקים חיצוניים, העדכון נמצא במצב תאימות כברירת מחדל ומאפשר חיבורים פגיעים מהלקוחות מסוג זה. עיין בסעיף הגדרות מפתח רישום לקבלת שלבים כדי לעבור למצב אכיפה.
כדי לעזור לאבטח את הסביבה שלך, התקן את עדכון Windows שפורסם ב- 8 בנובמבר 2022 או עדכון מאוחר יותר של Windows לכל המכשירים, כולל בקרי תחום.
חשוב החל מיוני 2023, מצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים. בשלב זה, לא תוכל להפוך את העדכון ללא זמין, אך ייתכן שתחזור להגדרת מצב תאימות. מצב תאימות יוסר ביולי 2023, כמתואר בסעיף תזמון עדכונים כדי לטפל בפגיעות של Netlogon CVE-2022-38023 .
תזמון עדכונים כדי לטפל ב- CVE-2022-38023
עדכונים תופץ במספר שלבים: השלב ההתחלתי עבור עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן ושלב האכיפה עבור עדכונים שהופצו ב- 11 ביולי 2023 או לאחר מכן.
שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 8 בנובמבר 2022 וממשיך בעדכונים מאוחרים יותר של Windows עד לשלב האכיפה. עדכוני Windows ב- 8 בנובמבר 2022 או לאחר מכן, כוללים פגיעות של מעקף אבטחה של CVE-2022-38023 על-ידי אכיפת איטום RPC בכל לקוחות Windows.
כברירת מחדל, התקנים יוגדרו במצב תאימות. בקרי התחום של Windows ידרשו שהלקוחות של Netlogon ישתמשו בחותם RPC אם הם מפעילים את Windows, או אם הם משמשים כבקרי תחום או כחשבונות אמון.
עדכוני Windows שהופצו ב- 11 באפריל 2023 או לאחר מכן יסירו את היכולת להפוך את איטום RPC ללא זמין על-ידי הגדרת הערך 0 למפתח המשנה של הרישום RequireSeal .
מפתח המשנה של הרישום RequireSeal יועבר למצב 'נאכף', אלא אם המנהלים יקבעו במפורש את תצורתם למצב תאימות. חיבורים פגיעים מכל הלקוחות, כולל ספקים חיצוניים, תדחה את האימות. ראה שינוי 1.
עדכוני Windows שהופצו ב- 11 ביולי 2023 יסירו את היכולת להגדיר את הערך 1 למפתח המשנה של הרישום RequireSeal . פעולה זו מפעילה את שלב האכיפה של CVE-2022-38023.
הגדרות מפתח רישום
לאחר התקנת עדכוני Windows שתאריךם 8 בנובמבר 2022 או לאחר מכן, מפתח המשנה הבא של הרישום זמין עבור פרוטוקול Netlogon בבקרי התחום של Windows.
חשוב עדכון זה, וכן שינויי אכיפה עתידיים, אינם מוסיפים או מסירים באופן אוטומטי את מפתח המשנה של הרישום "RequireSeal". יש להוסיף מפתח משנה זה של הרישום באופן ידני כדי לקרוא אותו. ראה שינוי 3.
דרוש מפתח משנה כחול
מפתח רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
ערך |
דרוש כחול-ים |
סוג נתונים |
REG_DWORD |
נתונים |
0 – לא זמין 1 – מצב תאימות. בקרי התחום של Windows ידרשו שהלקוחות של Netlogon ישתמשו ב- RPC Seal אם הם מפעילים את Windows, או אם הם משמשים כבקרי תחום או כחשבונות Trust. 2 - מצב אכיפה. כל הלקוחות נדרשים כדי להשתמש ב- RPC Seal. ראה שינוי 2. |
נדרשת הפעלה מחדש? |
לא |
אירועי Windows הקשורים ל- CVE-2022-38023
הערה האירועים הבאים כוללים מאגר של שעה אחת שבו אירועים כפולים המכילים את אותו מידע נמחקים במהלך מאגר זה.
יומן אירועים |
מערכת |
סוג אירוע |
שגיאה |
מקור האירוע |
NETLOGON (NETLOGON) |
מזהה האירוע |
5838 |
טקסט אירוע |
שירות Netlogon נתקל בלקוח באמצעות חתימת RPC במקום איטום RPC. |
אם אתה מוצא הודעת שגיאה זו ביומני האירועים שלך, עליך לבצע את הפעולות הבאות כדי לפתור את שגיאת המערכת:
-
ודא שלמכשיר פועלת גירסה נתמכת של Windows.
-
ודא שכל המכשירים מעודכנים.
-
ודא כי חבר בתחום: חבר בתחום הצפן או חתום באופן דיגיטלי על נתוני ערוץ מאובטח (תמיד) מוגדר כזמין .
יומן אירועים |
מערכת |
סוג אירוע |
שגיאה |
מקור האירוע |
NETLOGON (NETLOGON) |
מזהה האירוע |
5839 |
טקסט אירוע |
שירות Netlogon נתקל באימון באמצעות חתימת RPC במקום אטימה של RPC. |
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
NETLOGON (NETLOGON) |
מזהה האירוע |
5840 |
טקסט אירוע |
שירות Netlogon יצר ערוץ מאובטח עם לקוח עם RC4. |
אם אתה מוצא את אירוע 5840, זהו סימן שללקוח בתחום שלך משתמש בהצפנת חלשה.
יומן אירועים |
מערכת |
סוג אירוע |
שגיאה |
מקור האירוע |
NETLOGON (NETLOGON) |
מזהה האירוע |
5841 |
טקסט אירוע |
שירות Netlogon דחה לקוח באמצעות RC4 עקב ההגדרה 'RejectMd5Clients'. |
אם אתה מוצא את אירוע 5841, זהו סימן שהערך RejectMD5Clients מוגדר ל- TRUE .
בתיאור RejectMD5Clients של מודל הנתונים המופשט.
מפתח RejectMD5Clients הוא מפתח קיים מראש בשירות Netlogon. לקבלת מידע נוסף, עייןשאלות נפוצות (שאלות נפוצות)
כל חשבונות המחשבים המצורפים לתחום מושפעים מ- CVE זה. אירועים יציגו את האנשים המושפעים ביותר מבעיה זו לאחר התקנת עדכוני Windows מ- 8 בנובמבר 2022 ואילך, עיין במקטע שגיאות יומן האירועים כדי לטפל בבעיות.
כדי לעזור לזהות לקוחות ישנים יותר שאינם משתמשים ב- Crypto החזק ביותר הזמין, עדכון זה מציג יומני אירועים עבור לקוחות המשתמשים ב- RC4.
חתימת RPC היא כאשר פרוטוקול Netlogon משתמש ב- RPC כדי לחתום על ההודעות שהוא שולח דרך הכבל. איטום RPC הוא כאשר פרוטוקול Netlogon חותם ומצפין את ההודעות שהוא שולח דרך הכבל.
בקר התחום של Windows קובע אם לקוח Netlogon מפעיל את Windows על-ידי ביצוע שאילתה על התכונה "OperatingSystem" ב- Active Directory עבור לקוח Netlogon ובדיקת מחרוזות הבאות:
-
"Windows", "Hyper-V Server" ו- "Azure Stack HCI"
איננו ממליצים או תומכים בכך שתכונה זו תשתנה על-ידי לקוחות Netlogon או מנהלי תחום לערך שאינו מייצג את מערכת ההפעלה (OS) שבה פועל לקוח Netlogon. עליך להיות מודע לכך שאנו עשויים לשנות את קריטריוני החיפוש בכל עת. ראה שינוי 3.
שלב האכיפה אינו דוחה לקוחות Netlogon בהתבסס על סוג ההצפנה שבה הלקוחות משתמשים. היא תדחה את לקוחות Netlogon רק אם הם יחתמו את RPC במקום את איטום RPC. דחיית לקוחות Netlogon של RC4 מבוססת על מפתח הרישום "RejectMd5Clients" הזמין ל- Windows Server 2008 R2 ולבקרי תחום של Windows מתקדמים יותר. שלב האכיפה עבור עדכון זה אינו משנה את הערך "RejectMd5Clients". אנו ממליצים ללקוחות להפוך את הערך "RejectMd5Clients" לזמין עבור אבטחה גבוהה יותר בתחום שלהם. ראה שינוי 3.
מילון מונחים
Advanced Encryption Standard (AES) הוא צופן בלוקים המחלף את תקן הצפנת הנתונים (DES). ניתן להשתמש ב- AES כדי להגן על נתונים אלקטרוניים. ניתן להשתמש באלגוריתם AES כדי להצפין (לפענח) ולפענח מידע (לפענח). הצפנה ממירה נתונים לטופס לא אמין הנקרא ciphertext; פענוח הטקסט ההצפנה ממיר את הנתונים בחזרה לצורה המקורית שלו, שנקרא טקסט רגיל. AES משמש בהצפנה של מפתח סימטרי, כלומר אותו מפתח משמש עבור פעולות ההצפנה והפענוח. זהו גם צירוף בלוקים, כלומר שהוא פועל על בלוקים בגודל קבוע של טקסט רגיל וטקסט צופן, ודורש את גודל הטקסט הרגיל וכן את ההקפופר כדי להיות מכפלה מדויקת של גודל בלוק זה. AES ידוע גם בשם אלגוריתם ההצפנה הסימטרי של Rijndael [FIPS197] .
בסביבה של אבטחת רשת התואמת למערכת ההפעלה Windows NT, הרכיב האחראי לסינכרון ולפונקציות תחזוקה בין בקר תחום ראשי (PDC) לבקרי תחום לגיבוי (BDC). Netlogon הוא מקדם לפרוטוקול שרת שכפול מדריך הכתובות (DRS). ממשק קריאה לפרוצדורה מרוחקת (RPC) של Netlogon משמש בראש ובראשונה לשמירה על קשר הגומלין בין התקן לבין התחום שלו, וקשרי הגומלין בין בקרי תחום (DCs) ותחומים. לקבלת מידע נוסף, ראה פרוטוקול מרוחק של Netlogon.
RC4-HMAC (RC4) הוא אלגוריתם הצפנה סימטרי באורך מפתח משתנה. לקבלת מידע נוסף, ראה [SCHNEIER] סעיף 17.1.
חיבור קריאה לפרוצדורה מרוחקת מאומתת (RPC) בין שני מחשבים בתחום עם הקשר אבטחה מבוסס המשמש לחתימות ולהצפנת מנות RPC.