יומן רישום שינויים
שינוי 1: 19 ביוני 2023:
|
במאמר זה
סיכום
עדכוני Windows שהופצו ב- 8 בנובמבר 2022 או לאחר מכן, יעקפו את האבטחה ויבצעו העלאה של פגיעות הרשאה באמצעות משא ומתן על אימות באמצעות משא ומתן חלש של RC4-HMAC.
עדכון זה יגדיר את AES כסוג ההצפנה המוגדר כברירת מחדל עבור מפתחות הפעלה בחשבונות שאינם מסומנים כבר עם סוג הצפנה המוגדר כברירת מחדל.
כדי לעזור לאבטח את הסביבה שלך, התקן את עדכוני Windows שהופצו ב- 8 בנובמבר 2022 או לאחר מכן, לכל המכשירים, כולל בקרי תחום. ראה שינוי 1.
לקבלת מידע נוסף על פגיעויות אלה, ראה CVE-2022-37966.
גילוי סוגי הצפנת מפתח הפעלה המוגדרים באופן מפורש
ייתכן שהגדרת באופן מפורש סוגי הצפנה בחשבונות המשתמשים שלך הפגיעים ל- CVE-2022-37966. חפש חשבונות שבהם DES / RC4 זמין באופן מפורש, אך לא AES באמצעות השאילתה הבאה של Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
הגדרות מפתח רישום
לאחר התקנת עדכוני Windows שתאריךם פורסם ב- 8 בנובמבר 2022 או לאחר מכן, מפתח הרישום הבא זמין עבור פרוטוקול Kerberos:
DefaultDomainSupportedEncTypes
מפתח רישום |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
ערך |
DefaultDomainSupportedEncTypes |
סוג נתונים |
REG_DWORD |
ערך נתונים |
0x27 (ברירת מחדל) |
נדרשת הפעלה מחדש? |
לא |
הערה אם עליך לשנות את סוג ההצפנה הנתמך המוגדר כברירת מחדל עבור משתמש או מחשב של Active Directory, הוסף באופן ידני וקבע את תצורת מפתח הרישום כדי להגדיר את סוג ההצפנה הנתמך החדש. עדכון זה אינו מוסיף באופן אוטומטי את מפתח הרישום.
בקרי תחום של Windows משתמשים בערך זה כדי לקבוע את סוגי ההצפנה הנתמכים בחשבונות ב- Active Directory שערך msds-SupportedEncryptionType שלהם ריק או לא מוגדר. מחשב שבו פועלת גירסה נתמכת של מערכת ההפעלה Windows מגדיר באופן אוטומטי את msds-SupportedEncryptionTypes עבור חשבון מחשב זה ב- Active Directory. הדבר מבוסס על הערך שתצורתו נקבעה של סוגי הצפנה שבהם מותר להשתמש בפרוטוקול Kerberos. לקבלת מידע נוסף, ראה אבטחת רשת: קביעת תצורה של סוגי הצפנה המותרים עבור Kerberos.
חשבונות משתמשים, חשבונות שירות מנוהל של קבוצה וחשבונות אחרים ב- Active Directory לא הוגדרו אוטומטית את הערך msds-SupportedEncryptionTypes .
כדי למצוא סוגי הצפנה נתמכים שבאפשרותך להגדיר באופן ידני, עיין בדגלי סיביות של סוגי הצפנה נתמכים. לקבלת מידע נוסף, ראה מה עליך לעשות תחילה כדי להכין את הסביבה ולמנוע בעיות באימות Kerberos.
ערך ברירת 0x27 (DES, RC4, מפתחות הפעלה של AES) נבחר כשינוי המינימום הדרוש עבור עדכון אבטחה זה. אנו ממליצים ללקוחות להגדיר את הערך לערך 0x3C אבטחה מוגברת, כי ערך זה יאפשר כרטיסים המוצפנים באמצעות AES ומפתחות הפעלה של AES. אם לקוחות עקבו אחר ההנחיות שלנו כדי לעבור לסביבה של AES בלבד שבה RC4 אינו משמש עבור פרוטוקול Kerberos, מומלץ שלקוחות יגדירו את הערך ל- 0x38. ראה שינוי 1.
אירועי Windows הקשורים ל- CVE-2022-37966
למרכז התפלגות המפתחות של Kerberos חסרים מקשים חזקים עבור החשבון
יומן אירועים |
מערכת |
סוג אירוע |
שגיאה |
מקור האירוע |
Kdcsvc |
מזהה האירוע |
42 |
טקסט אירוע |
במרכז התפלגות המפתחות של Kerberos חסרים מקשים חזקים עבור החשבון: accountname. עליך לעדכן את הסיסמה של חשבון זה כדי למנוע שימוש בהצפנה לא מאובטחת. ראה https://go.microsoft.com/fwlink/?linkid=2210019 למידע נוסף. |
אם אתה מוצא שגיאה זו, ייתכן שברצונך לאפס את סיסמת ה- krbtgt לפני הגדרת KrbtgtFullPacSingature = 3, או להתקין את Windows עדכונים שפורסם ב- 11 ביולי 2023 או לאחר מכן. העדכון המאפשר באופן תיכנותי מצב אכיפה עבור CVE-2022-37967 מתוזמן במאמר הבא ב- Microsoft Knowledge Base:
KB5020805: כיצד לנהל שינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37967
לקבלת מידע נוסף על האופן שבו ניתן לעשות זאת, עייןNew-KrbtgtKeys.ps1 באתר האינטרנט של GitHub.
שאלות נפוצות (שאלות נפוצות) ובעיות ידועות
יהיה עליך לוודא של כל המכשירים שלך יש סוג הצפנת Kerberos נפוץ. לקבלת מידע נוסף אודות סוגי הצפנה של Kerberos, ראה פענוח הבחירה בסוגי הצפנה נתמכים של Kerberos.
ייתכן שסביבות ללא סוג הצפנה משותף של Kerberos היו פונקציונליות בעבר עקב הוספה אוטומטית של RC4 או על-ידי הוספת AES, אם RC4 הפך ללא זמין באמצעות מדיניות קבוצתית על-ידי בקרי תחום. אופן פעולה זה השתנה עם העדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן, וכעת תעקוב באופן בלעדי אחר מה שצוין במפתחות הרישום, msds-SupportedEncryptionTypes ו- DefaultDomainSupportedEncTypes.
אם לא הוגדרו msds-SupportedEncryptionTypes או שהוא מוגדר ל- 0, בקרי תחום מניחים ערך ברירת מחדל של 0x27 (39) או שבקר התחום ישתמש בהגדרה במפתח הרישום DefaultDomainSupportedEncTypes.
אם החשבון הוגדר msds-SupportedEncryptionTypes , הגדרה זו תכובד וייתכן שתחשוף כשל בקביעת התצורה של סוג הצפנת Kerberos נפוץ המסווה על-ידי אופן הפעולה הקודם של הוספה אוטומטית של RC4 או AES, שהוא כבר לא אופן הפעולה לאחר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן.
לקבלת מידע אודות אופן האימות שיש לך סוג הצפנת Kerberos נפוץ, ראה שאלה כיצד אוכל לוודא שלמכשירים שלי יש סוג הצפנת Kerberos נפוץ?
ראה את השאלה הקודמת לקבלת מידע נוסף מדוע למכשירים שלך עשוי להיות סוג הצפנת Kerberos נפוץ לאחר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן.
אם כבר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן, באפשרותך לזהות מכשירים שאין להם סוג הצפנת Kerberos נפוץ על-ידי חיפוש ביומן האירועים עבור אירוע 27 של Microsoft-Windows-Kerberos-Key-Distribution-Center, המזהה סוגי הצפנה מתמוססים בין לקוחות Kerberos לשרתים או שירותים מרוחקים.
התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן, ללקוחות או בשרתי תפקידים של בקר שאינו בקר תחום אינה אמורה להשפיע על אימות Kerberos בסביבה שלך.
כדי לצמצם בעיה ידועה זו, פתח חלון שורת פקודה כמנהל מערכת והשתמש באופן זמני בפקודה הבאה כדי להגדיר את מפתח הרישום KrbtgtFullPacSignature ל- 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
הערה לאחר פתרון בעיה ידועה זו, עליך להגדיר את KrbtgtFullPacSignature להגדרה גבוהה יותר בהתאם למה שהסביבה שלך תאפשר. אנו ממליצים שמצב אכיפה יהיה זמין ברגע שהסביבה שלך תהיה מוכנה.
השלבים הבאיםאנו עובדים על פתרון ונספק עדכון במהדורה קרובה.
לאחר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן בבקרי התחום שלך, כל המכשירים חייבים לתמוך בחתימה על כרטיס AES בהתאם לצורך תואם לצורך הקשחת האבטחה הנדרשת עבור CVE-2022-37967.
השלבים הבאים אם אתה כבר מפעיל את התוכנה והקשחה העדכניות ביותר עבור מכשירים שאינם של Windows וארמת שקיים סוג הצפנה נפוץ זמין בין בקרי התחום של Windows לבין מכשירים שאינם של Windows, יהיה עליך לפנות ליצרן המכשיר (OEM) לקבלת עזרה או להחליף את המכשירים במכשירים התואמים.
חשוב איננו ממליצים להשתמש בפתרון כלשהו כדי לאפשר אימות של מכשירים שאינם תואמים, כי הדבר עלול להפוך את הסביבה שלך לפגיעה.
גרסאות לא נתמכות של Windows כוללות את Windows XP, Windows Server 2003, Windows Server 2008 SP2 ו- Windows Server 2008 R2 SP1, לא ניתן לגשת באמצעות מכשירי Windows מעודכנים אלא אם יש לך רשיון ESU. אם יש לך רשיון ESU, יהיה עליך להתקין עדכונים שהופצו ב- 8 בנובמבר 2022 או לאחר מכן ולאמת שלתצורה שלך יש סוג הצפנה משותף זמין בין כל המכשירים.
השלבים הבאים התקן עדכונים, אם הם זמינים עבור גירסת Windows שברשותך ויש לך רשיון ESU ישים. אם עדכונים אינם זמינים, יהיה עליך לשדרג לגירסה נתמכת של Windows או להעביר כל אפליקציה או שירות למכשיר תואם.
חשוב איננו ממליצים להשתמש בפתרון כלשהו כדי לאפשר אימות של מכשירים שאינם תואמים, כי הדבר עלול להפוך את הסביבה שלך לפגיעה.
בעיה ידועה זו נפתרה בעדכונים מחוץ לתחום שהופצו ב- 17 בנובמבר 2022 וב- 18 בנובמבר 2022 להתקנה בכל בקרי התחום בסביבה שלך. אין צורך להתקין עדכון או לבצע שינויים בשרתים או במכשירי לקוח אחרים בסביבה שלך כדי לפתור בעיה זו. אם השתמשת בפתרון או צמצום סיכונים עבור בעיה זו, הם אינם דרושים עוד, ואנו ממליצים להסיר אותם.
כדי לקבל את החבילה העצמאית עבור עדכונים מוכללים אלה, חפש את מספר ה- KB ב- Microsoft Update Catalog. באפשרותך לייבא עדכונים אלה באופן ידני ל- Windows Server Update Services (WSUS) ול- Microsoft Endpoint Configuration Manager. לקבלת הוראות WSUS, ראה WSUS ואת אתר הקטלוג. לקבלת הוראות עבור מנהל התצורה, ראה ייבוא עדכונים מ- Microsoft Update Catalog.
הערה העדכונים הבאים אינם זמינים ב- Windows Update ולא יותקנו באופן אוטומטי.
עדכונים מצטברים:
הערה אין צורך להחיל עדכון קודם לפני התקנת עדכונים מצטברים אלה. אם כבר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022, אין צורך להסיר את ההתקנה של העדכונים המושפעים לפני התקנת עדכונים מאוחרים יותר, כולל העדכונים המפורטים לעיל.
רשימת עדכונים:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (פורסם ב- 18 בנובמבר 2022)
-
Windows Server 2008 SP2: KB5021657
הערות
-
אם אתה משתמש בעדכוני אבטחה בלבד עבור גירסאות אלה של Windows Server, עליך להתקין עדכונים עצמאיים אלה רק לחודש נובמבר 2022. עדכוני אבטחה בלבד אינם מצטברים, ותצטרך גם להתקין את כל עדכוני האבטחה בלבד הקודמים כדי להיות מעודכנים באופן מלא. עדכונים חודשיים של אוסף עדכונים הם מצטברים וכוללים עדכוני אבטחה וכל עדכוני האיכות.
-
אם אתה משתמש בעדכונים חודשיים, יהיה עליך להתקין את שני העדכונים העצמאיים המפורטים לעיל כדי לפתור בעיה זו, ולהתקין את העדכונים החודשיים שהופצו ב- 8 בנובמבר, 2022, כדי לקבל את עדכוני האיכות עבור נובמבר 2022. אם כבר התקנת עדכונים שהופצו ב- 8 בנובמבר 2022, אין צורך להסיר את ההתקנה של העדכונים המושפעים לפני התקנת עדכונים מאוחרים יותר, כולל העדכונים המפורטים לעיל.
אם אימתת את תצורת הסביבה שלך ואתה עדיין נתקל בבעיות עם יישום של Kerberos שאינו של Microsoft, תזדקק לעדכונים או לתמיכה של המפתח או היצרן של האפליקציה או המכשיר.
ניתן לצמצם בעיה ידועה זו על-ידי ביצוע אחת מהפעולות הבאות:
-
הגדר msds-SupportedEncryptionTypes לפי סיביות או הגדר אותו לברירת המחדל הנוכחית 0x27 לשמור על הערך הנוכחי שלו. לדוגמה:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
הגדר את msds-SupportEncryptionTypes ל - 0 כדי לאפשר לבקרי תחום להשתמש בערך ברירת המחדל של 0x27.
השלבים הבאיםאנו עובדים על פתרון ונספק עדכון במהדורה קרובה.
מילון מונחים
Advanced Encryption Standard (AES) הוא צופן בלוקים המחלף את תקן הצפנת הנתונים (DES). ניתן להשתמש ב- AES כדי להגן על נתונים אלקטרוניים. ניתן להשתמש באלגוריתם AES כדי להצפין (לפענח) ולפענח מידע (לפענח). הצפנה ממירה נתונים לטופס לא אמין הנקרא ciphertext; פענוח הטקסט ההצפנה ממיר את הנתונים בחזרה לצורה המקורית שלו, שנקרא טקסט רגיל. AES משמש בהצפנה של מפתח סימטרי, כלומר אותו מפתח משמש עבור פעולות ההצפנה והפענוח. זהו גם צירוף בלוקים, כלומר שהוא פועל על בלוקים בגודל קבוע של טקסט רגיל וטקסט צופן, ודורש את גודל הטקסט הרגיל וכן את ההקפופר כדי להיות מכפלה מדויקת של גודל בלוק זה. AES נקרא גם אלגוריתם ההצפנה הסימטרי של Rijndael [FIPS197].
Kerberos הוא פרוטוקול אימות רשת של מחשבים שעובד על בסיס "כרטיסים" כדי לאפשר לצמתים המתקשרים ברשת להוכיח את זהותם זה עם זה באופן מאובטח.
שירות Kerberos המיישם את שירותי האימות וההענקת כרטיסים שצוינו בפרוטוקול Kerberos. השירות פועל במחשבים שנבחרו על-ידי מנהל המערכת של התחום או התחום; הוא אינו קיים בכל מחשב ברשת. דרושה לו גישה למסד נתונים של חשבונות עבור כל מה שהוא משרת. KDCs משולבים בתפקיד בקר התחום. זהו שירות רשת שמספק כרטיסים ללקוחות לשימוש באימות שירותים.
RC4-HMAC (RC4) הוא אלגוריתם הצפנה סימטרי באורך מפתח משתנה. לקבלת מידע נוסף, ראה [SCHNEIER] סעיף 17.1.
סוג מיוחד של כרטיס שניתן להשתמש בו להשגת כרטיסים אחרים. The Ticket-granting Ticket (TGT) is obtained after the initial authentication in the Authentication Service (AS) exchange; לאחר מכן, המשתמשים אינם צריכים להציג את האישורים שלהם, אך הם יכולים להשתמש ב- TGT כדי להשיג כרטיסים בהמשך.