Zapisnik promjena
Promjena 1: 19. lipnja 2023.:
|
U ovom članku
Sažetak
Ažuriranja sustava Windows objavljena 8. studenog 2022. ili kasnije rješavaju sigurnosna zaobilaženje i povećanje ranjivosti privilegija uz pregovore o provjeri autentičnosti pomoću slabih rc4-HMAC pregovora.
Ovo će ažuriranje postaviti AES kao zadanu vrstu šifriranja za ključeve sesije na računima koji već nisu označeni zadanom vrstom šifriranja.
Da biste zaštitili svoje okruženje, instalirajte ažuriranja sustava Windows objavljena 8. studenog 2022. ili kasnije na sve uređaje, uključujući domenski kontroler. Pročitajte članak Promjena 1.
Dodatne informacije o tim slabim točkama potražite u članku CVE-2022-37966.
Otkrivanje eksplicitno postavljenih vrsta šifriranja ključa sesije
Možda ste na korisničkim računima izričito definirali vrste šifriranja koje su podložne cve-2022-37966. Potražite račune na kojima je DES / RC4 izričito omogućen, ali ne i AES pomoću sljedećeg upita servisa Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Postavke ključa registra
Nakon instalacije ažuriranja sustava Windows koja su dairana 8. studenog 2022. ili nakon toga, za protokol Kerberos dostupan je sljedeći ključ registra:
DefaultDomainSupportedEncTypes
Ključ registra |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Vrijednost |
DefaultDomainSupportedEncTypes |
Vrsta podataka |
REG_DWORD |
Vrijednost podataka |
0x27 (zadano) |
Potrebno je ponovno pokretanje? |
Ne |
Napomena Ako morate promijeniti zadanu podržanu vrstu šifriranja za korisnika ili računalo servisa Active Directory, ručno dodajte i konfigurirajte ključ registra da biste postavili novu podržanu vrstu šifriranja. Ovo ažuriranje ne dodaje automatski ključ registra.
Domenski kontroleri sustava Windows koriste tu vrijednost za određivanje podržanih vrsta šifriranja na računima u servisu Active Directory čija je vrijednost msds-SupportedEncryptionType prazna ili nije postavljena. Računalo na kojem je instalirana podržana verzija operacijskog sustava Windows automatski postavlja msds-SupportedEncryptionTypes za taj račun računala u servisu Active Directory. To se temelji na konfiguriranoj vrijednosti vrsta šifriranja koje protokol Kerberos može koristiti. Dodatne informacije potražite u članku Mrežna sigurnost: Konfiguriranje dopuštenih vrsta šifriranja za Kerberos.
Korisnički računi, računi upravljanih servisa grupe i drugi računi u servisu Active Directory nemaju automatski postavljenu vrijednost msds-SupportedEncryptionTypes .
Da biste pronašli podržane vrste šifriranja koje možete ručno postaviti, pogledajte odjeljak Podržane vrste šifriranja Zastavice bitova. Dodatne informacije potražite u članku Što biste najprije trebali učiniti da biste lakše pripremili okruženje i spriječili probleme s provjerom autentičnosti kerberos.
Zadana vrijednost 0x27 (DES, RC4, AES sesijske tipke) odabrana je kao minimalna promjena potrebna za ovo sigurnosno ažuriranje. Preporučujemo korisnicima postavljanje vrijednosti tako da 0x3C veću sigurnost jer će ta vrijednost omogućiti i AES-šifrirane ulaznice i AES ključeve sesije. Ako su korisnici slijedili naše smjernice za prelazak u okruženje samo za AES u kojem se RC4 ne koristi za protokol Kerberos, preporučujemo da korisnici vrijednost postavite na 0x38. Pročitajte članak Promjena 1.
Događaji u sustavu Windows povezani s CVE-2022-37966
U centru za raspodjelu ključeva kerberos nedostaju snažni ključevi za račun
Zapisnik događaja |
Sustav |
Vrsta događaja |
Pogreška |
Izvor događaja |
Kdcsvc |
ID događaja |
42 |
Tekst događaja |
U centru za raspodjelu ključeva kerberos nema jakih ključeva za račun: naziv računa. Morate ažurirati lozinku ovog računa da biste spriječili korištenje nesigurne kriptografije. Dodatne https://go.microsoft.com/fwlink/?linkid=2210019 potražite u članku. |
Ako pronađete tu pogrešku, vjerojatno morate ponovno postaviti lozinku za krbtgt prije postavljanja krbtgtFullPacSingature = 3 ili instalirati Windows Ažuriranja objavljen 11. srpnja 2023. ili kasnije. Ažuriranje koje programski omogućuje način provedbe za CVE-2022-37967 dokumentirano je u sljedećem članku u Microsoftovoj bazi znanja:
KB5020805: upravljanje promjenama protokola Kerberos koje se odnose na CVE-2022-37967
Dodatne informacije o tome kako to učiniti potražite uNew-KrbtgtKeys.ps1na web-mjestu GitHub.
Najčešća pitanja (najčešća pitanja) i poznati problemi
Računi koji su označeni zastavicom za eksplicitno korištenje RC4 osjetljivi su. Osim toga, okruženja koja nemaju AES ključeve sesije unutar krbgt računa mogu biti ranjiva. Da biste ublažili taj problem, slijedite upute za prepoznavanje slabih točaka i korištenje odjeljka postavki ključa registra za ažuriranje zadanih postavki šifriranja.
Morat ćete provjeriti imaju li svi uređaji uobičajenu vrstu Kerberos šifriranja. Dodatne informacije o vrstama kerberos šifriranja potražite u članku Dešifriranje odabira podržanih vrsta kerberos šifriranja.
Okruženja bez uobičajene vrste kerberos šifriranja možda su prethodno funkcionalna zbog automatskog dodavanja RC4 ili dodavanja AES-a ako je RC4 onemogućen putem pravilnika grupe od strane domenskog kontrolera. To se ponašanje promijenilo s ažuriranjima objavljenima 8. studenog 2022. ili kasnije i sada će strogo pratiti ono što je postavljeno u ključevima registra, msds-SupportedEncryptionTypes i DefaultDomainSupportedEncTypes.
Ako na računu nije postavljen skup msds-SupportedEncryptionTypes ili je postavljen na 0, domenski kontroleri preuzimaju zadanu vrijednost za 0x27 (39) ili će kontrolor domene koristiti postavku u ključu registra DefaultDomainSupportedEncTypes.
Ako je na računu postavljen msds-SupportedEncryptionTypes , ta je postavka počašćena i može otkriti neuspjeh konfiguriranja uobičajene vrste Kerberos šifriranja maskirane prethodnim ponašanjem automatskog dodavanja RC4 ili AES- a, što više nije ponašanje nakon instalacije ažuriranja objavljenih 8. studenog 2022. ili kasnije.
Informacije o tome kako provjeriti imate li uobičajenu vrstu kerberos šifriranja potražite u članku Pitanje Kako provjeriti imaju li svi moji uređaji uobičajenu vrstu Kerberos šifriranja?
Pogledajte prethodno pitanje da biste saznali više o tome zašto vaši uređaji možda nemaju uobičajenu vrstu šifriranja Kerberos nakon instalacije ažuriranja objavljenih 8. studenog 2022. ili kasnije.
Ako ste već instalirali ažuriranja objavljena 8. studenog 2022. ili kasnije, uređaje koji nemaju uobičajenu vrstu Kerberos šifriranja možete otkriti u zapisniku događaja za Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, koji identificira nesusjedne vrste šifriranja između klijenata kerberos i udaljenih poslužitelja ili servisa.
Instalacija ažuriranja objavljenih 8. studenog 2022. ili kasnije na poslužiteljima uloga klijenata ili poslužitelja uloga koji nisu domenski kontroler ne bi trebala utjecati na provjeru autentičnosti Kerberos u vašem okruženju.
Da biste ublažili taj poznati problem, otvorite prozor naredbenog retka kao administrator i privremeno upotrijebite sljedeću naredbu da biste ključ registra KrbtgtFullPacSignature postavili na 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Napomena Kada se taj poznati problem riješi, postavite KrbtgtFullPacSignature na višu postavku ovisno o tome što vaše okruženje dopušta. Preporučujemo da način rada za provođenje bude omogućen čim vaše okruženje bude spremno.
Sljedeći koraciRadimo na rješavanju ovog problema i omogućit ćemo ažuriranje u jednom od sljedećih izdanja.
Nakon instalacije ažuriranja objavljenih 8. studenog 2022. ili kasnije na domenski kontroler, svi uređaji moraju podržavati potpisivanje AES ulaznica prema potrebi da bi se u skladu sa sigurnosnim očvrsnućima koje je potrebno za CVE-2022-37967.
Sljedeći koraci Ako već koristite najažurniji softver i opremu za uređaje koji nisu uređaji sa sustavom Windows i potvrdili ste da je između vaših domenskih kontrolera sustava Windows i uređaja koji nisu uređaji sa sustavom Windows dostupna uobičajena vrsta šifriranja, morat ćete se obratiti proizvođaču uređaja (OEM-u) za pomoć ili zamijeniti uređaje kompatibilnima s uređajima.
VAŽNO Ne preporučujemo korištenje zaobilaznog rješenja da biste uređajima koji nisu kompatibilni omogućili provjeru autentičnosti jer bi to moglo učiniti vaše okruženje ranjivim.
Nepodržane verzije sustava Windows obuhvaćaju Windows XP, Windows Server 2003, Windows Server 2008 SP2 i Windows Server 2008 R2 SP1 ne mogu pristupiti ažuriranim uređajima sa sustavom Windows osim ako nemate licencu za ESU. Ako imate licencu za ESU, morat ćete instalirati ažuriranja objavljena 8. studenog 2022. ili kasnije i provjeriti ima li vaša konfiguracija uobičajenu vrstu šifriranja dostupnu na svim uređajima.
Sljedeći koraci Instalirajte ažuriranja ako su dostupna za vašu verziju sustava Windows i imate primjenjivu licencu za ESU. Ako ažuriranja nisu dostupna, morat ćete nadograditi na podržanu verziju sustava Windows ili premjestiti bilo koju aplikaciju ili servis na usklađeni uređaj.
VAŽNO Ne preporučujemo korištenje zaobilaznog rješenja da biste uređajima koji nisu kompatibilni omogućili provjeru autentičnosti jer bi to moglo učiniti vaše okruženje ranjivim.
Taj je poznati problem riješen u ažuriranjima koja su izdana 17. studenog 2022. i 18. studenog 2022. za instalaciju na sve domenske kontrolere u vašem okruženju. Da biste riješili taj problem, ne morate instalirati ažuriranje ni mijenjati druge poslužitelje ili klijentske uređaje u svom okruženju. Ako ste za taj problem koristili zaobilazno rješenje ili rješenja, ta rješenja više nisu potrebna i preporučujemo da ih uklonite.
Da biste nabavili samostalni paket za ta ažuriranja izvan sastava, potražite broj kb u Katalogu Microsoft Update. Ta ažuriranja možete ručno uvesti u Windows Server Update Services (WSUS) i Microsoft Endpoint Configuration Manager. Upute za WSUS potražite u članku WSUS i web-mjesto kataloga. Upute za Configuration Manger potražite u članku Uvoz ažuriranja iz kataloga Microsoft Update.
Napomena Sljedeća ažuriranja nisu dostupna s web-Windows Update i neće se automatski instalirati.
Kumulativna ažuriranja:
Napomena Ne morate primijeniti prethodno ažuriranje prije instaliranja kumulativnih ažuriranja. Ako ste već instalirali ažuriranja objavljena 8. studenog 2022., ne morate deinstalirati zahvaćena ažuriranja prije instaliranja bilo kakvih novijih ažuriranja, uključujući gore navedena ažuriranja.
Samostalni Ažuriranja:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (izdano 18. studenog 2022.)
-
Windows Server 2008 SP2: KB5021657
Napomene
-
Ako za te verzije sustava Windows Server koristite samo sigurnosna ažuriranja, ta samostalna ažuriranja morate instalirati samo za mjesec studeni 2022. Samo sigurnosna ažuriranja nisu kumulativna i morat ćete instalirati sva prethodna sigurnosna ažuriranja da biste u potpunosti ažurirali. Mjesečna skupna ažuriranja kumulativna su i obuhvaćaju sigurnosna i sva ažuriranja kvalitete.
-
Ako koristite mjesečna skupna ažuriranja, morat ćete instalirati i gore navedena samostalna ažuriranja da biste riješili taj problem i instalirati mjesečna skupna ažuriranja objavljena 8. studenog 2022. da biste primali ažuriranja kvalitete za studeni 2022. Ako ste već instalirali ažuriranja objavljena 8. studenog 2022., ne morate deinstalirati zahvaćena ažuriranja prije instaliranja bilo kakvih novijih ažuriranja, uključujući gore navedena ažuriranja.
Ako ste potvrdili konfiguraciju okruženja i i dalje nailazite na probleme s implementacijom kerberos koji nije Microsoftov, potrebna su vam ažuriranja ili podrška razvojnog inženjera ili proizvođača aplikacije ili uređaja.
Taj se poznati problem može ublažiti na jedan od sljedećih način:
-
Postavite msds-SupportedEncryptionTypes pomoću bitova ili ga postavite na trenutnu zadanu 0x27 da biste sačuvali trenutnu vrijednost. Na primjer:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Postavite msds-SupportEncryptionTypes na 0 da bi kontrolori domene koristili zadanu vrijednost 0x27.
Sljedeći koraciRadimo na rješavanju ovog problema i omogućit ćemo ažuriranje u jednom od sljedećih izdanja.
Rječnik
Advanced Encryption Standard (AES) šifra je bloka koja zamjenjuje standard za šifriranje podataka (DES). AES se može koristiti za zaštitu elektroničkih podataka. AES algoritam može se koristiti za šifriranje (šifriranje) i dešifriranje (dešifriranje) podataka. Šifriranje pretvara podatke u nečitljiv oblik pod nazivom tekst šifriranja; dešifriranje šifriranog teksta pretvara podatke natrag u izvorni oblik, pod nazivom običan tekst. AES se koristi u simetrično-ključnoj kriptografiji, što znači da se isti ključ koristi za operacije šifriranja i dešifriranja. To je i šifra bloka, što znači da funkcionira na blokovima običnog teksta i tekstne veličine fiksne veličine, a zahtijeva da veličina običnog teksta i šifra bude točan višekratnik te veličine bloka. AES je poznat i kao Rijndael simetrični algoritam šifriranja [FIPS197].
Kerberos je protokol za provjeru autentičnosti računalne mreže koji funkcionira na temelju "ulaznica" kako bi omogućio da čvorovi komuniciraju putem mreže kako bi dokazali svoj identitet jedan drugome na siguran način.
Servis Kerberos koji implementira usluge provjere autentičnosti i dodjele ulaznica navedene u protokolu Kerberos. Servis se pokreće na računalima koja je odabrao administrator domene ili domene; ne postoji na svim računalima u mreži. Mora imati pristup bazi podataka računa za kraljevstvo kojem služi. KDC-ovi su integrirani u ulogu kontrolora domene. To je mrežna usluga koja isporučuje ulaznice klijentima za korištenje u provjeri autentičnosti servisa.
RC4-HMAC (RC4) je simetrični algoritam šifriranja promjenjive duljine ključa. Dodatne informacije potražite u odjeljku [SCHNEIER] 17.1.
Relativno kratak simetrični ključ (kriptografski ključ koji su pregovarali klijent i poslužitelj na temelju zajedničke tajne). Životni vijek tipki sesije vezan je sesijom s kojom je povezana. Ključ sesije mora biti dovoljno jak da bi mogao izdržati kriptoanalizu tijekom životnog vijeka sesije.
Posebna vrsta ulaznice koja se može koristiti za dobivanje drugih karata. Zahtjev za izdavanje ulaznica (TGT) dobiva se nakon početne provjere autentičnosti u zamjeni servisa za provjeru autentičnosti (AS). nakon toga korisnici ne moraju izlagati svoje vjerodajnice, ali mogu koristiti TGT za dobivanje naknadnih ulaznica.