Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Frissített

2023. április 10.: 2023. április 11-ről 2023. június 13-ra frissült a "Frissítések időzítése a CVE-2022-37967 címmel" című szakaszban.

Ebben a cikkben

Összefoglalás

A 2022. november 8-i Windows-frissítések a privilege attribute certificate (PAC) aláírásokkal kezelik a biztonsági rések megkerülését és a jogosultságok kiterjesztését. Ez a biztonsági frissítés kezeli a Kerberos biztonsági réseit, ahol a támadók digitálisan módosíthatják a PAC-aláírásokat, emelve a jogosultságaikat.

A környezet biztonságossá tételéhez telepítse ezt a Windows-frissítést az összes eszközre, beleértve a Windows-tartományvezérlőket is. A frissítés kényszerített módra váltása előtt a tartomány összes tartományvezérlőjének frissülnie kell.

További információ erről a biztonsági résről: CVE-2022-37967.

Művelet végrehajtása

A környezet védelme és a kimaradások megelőzése érdekében javasoljuk, hogy hajtsa végre az alábbi lépéseket:

  1. Frissítse a Windows-tartományvezérlőket egy 2022. november 8-án vagy azt követően kiadott Windows-frissítéssel.

  2. Helyezze át Windows-tartományvezérlőit naplózási módba a Beállításkulcs beállítás szakasz használatával.

  3. Monitorozási események naplózási módban a környezet biztonságossá tételéhez.

  4. ENGEDÉLYEZIKényszerítési mód a környezetben lévő CVE-2022-37967 kezeléséhez.

Megjegyzés A 2022. november 8-án vagy azt követően kiadott frissítések telepítésének 1. lépése alapértelmezés szerint NEM oldja meg a Windows-eszközök CVE-2022-37967 biztonsági problémáit. Az összes eszköz biztonsági problémájának teljes mérsékléséhez a lehető leghamarabb át kell váltania a Naplózás módra (a 2. lépésben leírtak szerint), majd a Kényszerített mód (a 4. lépésben leírtak szerint) az összes Windows-tartományvezérlőn.

Fontos 2023 júliusától a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközökről érkező sebezhető kapcsolatokat.  Ekkor nem fogja tudni letiltani a frissítést, de előfordulhat, hogy visszaáll a Naplózás módra. A naplózási mód 2023 októberében el lesz távolítva a CVE-2022-37967 Kerberos biztonsági rés kezelésére vonatkozó frissítések időzítése című szakaszban leírtak szerint.

A CVE-2022-37967 címmel kapcsolatos frissítések időzítése

Frissítések fázisokban jelenik meg: a 2022. november 8-án vagy azt követően kiadott frissítések kezdeti fázisa, valamint a 2023. június 13-án vagy azt követően kiadott frissítések kényszerítési fázisa.

A kezdeti üzembehelyezési fázis a 2022. november 8-án kiadott frissítésekkel kezdődik, és a későbbi Windows-frissítésekkel folytatódik a kényszerítési fázisig. Ez a frissítés aláírásokat ad hozzá a Kerberos PAC-pufferhez, de nem ellenőrzi az aláírásokat a hitelesítés során. Így a biztonságos mód alapértelmezés szerint le van tiltva.

Ez a frissítés:

  • PAC-aláírásokat ad hozzá a Kerberos PAC-pufferhez.

  • Mértékeket ad hozzá a Kerberos protokoll biztonsági megkerülő biztonsági résének kezeléséhez.

A második üzembe helyezési fázis a 2022. december 13-án kiadott frissítésekkel kezdődik. Ezek és újabb frissítések módosítják a Kerberos protokollt a Windows-eszközök naplózásához a Windows-tartományvezérlők naplózási módba való áthelyezésével.

Ezzel a frissítéssel minden eszköz alapértelmezés szerint naplózási módban lesz:

  • Ha az aláírás hiányzik vagy érvénytelen, a hitelesítés engedélyezett. Emellett létrejön egy auditnapló is. 

  • Ha az aláírás hiányzik, emeljen ki egy eseményt, és engedélyezze a hitelesítést.

  • Ha az aláírás jelen van, ellenőrizze. Ha az aláírás helytelen, eseményt kell emelnie, és engedélyeznie kell a hitelesítést.

A 2023. június 13-án vagy azt követően kiadott Windows-frissítések a következőket teszik: 

  • Távolítsa el a PAC-aláírás hozzáadásának letiltásának lehetőségét a KrbtgtFullPacSignature alkulcs 0 értékre állításával.

A 2023. július 11-én vagy azt követően kiadott Windows-frissítések a következőket teszik: 

  • Eltávolítja az 1 érték beállításának lehetőségét a KrbtgtFullPacSignature alkulcshoz.

  • Kényszerítési módba (alapértelmezett) helyezi át a frissítést (KrbtgtFullPacSignature = 3), amelyet egy rendszergazda felülbírálhat explicit naplózási beállítással.

A 2023. október 10-én vagy azt követően kiadott Windows-frissítések a következőket teszik: 

  • Eltávolítja a KrbtgtFullPacSignature beállításkulcs támogatását.

  • Eltávolítja a naplózási mód támogatását.

  • Az új PAC-aláírások nélküli összes szolgáltatásjegy hitelesítése meg lesz tagadva.

Üzembehelyezési irányelvek

A 2022. november 8-i vagy újabb Windows-frissítések telepítéséhez kövesse az alábbi lépéseket:

  1. FRISSÍTSE a Windows-tartományvezérlőket egy 2022. november 8-án vagy azt követően kiadott frissítéssel.

  2. HELYEZZE ÁT a tartományvezérlőket naplózási módba a Beállításkulcs beállítás szakaszban.

  3. Monitorozási események naplózási módban a környezet biztonságossá tételéhez.

  4. ENGEDÉLYEZI Kényszerítési mód a környezetben lévő CVE-2022-37967 kezeléséhez.

1. LÉPÉS: FRISSÍTÉS 

Telepítse a 2022. november 8-i vagy újabb frissítéseket az összes megfelelő Windows-tartományvezérlőre (TARTOMÁNYVEZÉRLŐ). A frissítés telepítése után a frissített Windows-tartományvezérlőkön aláírások lesznek hozzáadva a Kerberos PAC-pufferhez, és alapértelmezés szerint nem lesznek biztonságosak (a PAC-aláírás nincs érvényesítve).

  • Frissítés közben tartsa a KrbtgtFullPacSignature beállításazonosítót alapértelmezett állapotban, amíg az összes Windows-tartományvezérlő nem frissül.

2. LÉPÉS: ÁTHELYEZÉS 

A Windows-tartományvezérlők frissítése után váltson naplózási módra a KrbtgtFullPacSignature érték 2-re való módosításával.  

3. LÉPÉS: KERESÉS/MONITOROZÁS 

Azonosítsa azokat a területeket, amelyekből hiányoznak a PAC-aláírások, vagy olyan PAC-aláírásokkal rendelkezik, amelyek sikertelenek a naplózási módban aktivált eseménynaplókon keresztül.   

  • Mielőtt kényszerítési módba lépne, győződjön meg arról, hogy a tartomány működési szintje legalább 2008-ra vagy annál magasabbra van állítva. A 2003-ban tartomány működési szinten lévő tartományok kényszerítési módba való áthelyezése hitelesítési hibákat okozhat.

  • A naplózási események akkor jelennek meg, ha a tartománya nem frissült teljesen, vagy ha a tartományában még léteznek függőben lévő, korábban kiadott szolgáltatásjegyek.

  • Továbbra is figyelje azokat a további eseménynaplókat, amelyek hiányzó PAC-aláírásokat vagy a meglévő PAC-aláírások érvényesítési hibáit jelzik.

  • Miután a teljes tartomány frissült, és az összes függőben lévő jegy lejárt, a naplózási eseményeknek nem szabad többé megjelenniük. Ezután hiba nélkül át kell tudnia lépni a Kényszerítési módba.

4. LÉPÉS: ENGEDÉLYEZÉS 

Engedélyezze a Kényszerítési módot a környezetben a CVE-2022-37967 kezeléséhez.

  • Miután az összes naplózási esemény megoldódott, és már nem jelenik meg, helyezze át a tartományokat Kényszerítési módba a KrbtgtFullPacSignature beállításazonosító frissítésével a Beállításkulcs beállításai szakaszban leírtak szerint.

  • Ha egy szolgáltatásjegy érvénytelen PAC-aláírással rendelkezik, vagy hiányoznak PAC-aláírások, az ellenőrzés sikertelen lesz, és hibaesemény lesz naplózva.

Beállításkulcs-beállítások

Kerberos protokoll

A 2022. november 8-án vagy azt követően dátumozott Windows-frissítések telepítése után a kerberos protokollhoz a következő beállításkulcs érhető el:

  • KrbtgtFullPacSignature Ez a beállításkulcs a Kerberos-módosítások üzembe helyezésének kapujára szolgál. Ez a beállításkulcs ideiglenes, és a 2023. október 10-i teljes kényszerítési dátum után nem lesz olvasható. 

    Beállításkulcs

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Érték

    KrbtgtFullPacSignature

    Adattípus

    REG_DWORD

    Adat

    0 – Letiltva  

    1 – A rendszer új aláírásokat ad hozzá, de nem ellenőrzi. (Alapértelmezett beállítás)

    2 – Naplózási mód. A rendszer új aláírásokat ad hozzá, és ellenőrzi, ha vannak ilyenek. Ha az aláírás hiányzik vagy érvénytelen, a hitelesítés engedélyezve van, és létrejönnek az auditnaplók.

    3 – Kényszerítési mód. A rendszer új aláírásokat ad hozzá, és ellenőrzi, ha vannak ilyenek. Ha az aláírás hiányzik vagy érvénytelen, a rendszer megtagadja a hitelesítést, és auditnaplókat hoz létre.

    Újraindítás szükséges?

    Nem

    Megjegyzés Ha módosítania kell a KrbtgtFullPacSignature beállításazonosítót, manuálisan adja hozzá, majd konfigurálja a beállításkulcsot az alapértelmezett érték felülbírálásához.

A CVE-2022-37967-höz kapcsolódó Windows-események

Naplózási módban az alábbi hibák valamelyikét tapasztalhatja, ha a PAC-aláírások hiányoznak vagy érvénytelenek. Ha a probléma a kényszerítési módban is fennáll, a rendszer hibaként naplózza ezeket az eseményeket.

Ha az eszközén hibát talál, akkor valószínű, hogy a tartományban lévő összes Windows-tartományvezérlő nem naprakész a 2022. november 8-i vagy újabb Windows-frissítéssel. A problémák megoldásához tovább kell vizsgálnia a tartományt, hogy megtalálja azokat a Windows-tartományvezérlőket, amelyek nem naprakészek.  

Megjegyzés Ha a 42-s eseményazonosítóval kapcsolatos hibát talál, tekintse meg a KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése című témakört.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-Kerberos-Key-Distribution-Center

Eseményazonosító

43

Esemény szövege

A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tudta érvényesíteni a teljes PAC-aláírás. További információ: https://go.microsoft.com/fwlink/?linkid=2210019. Ügyfél: <tartomány>/<name>

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-Kerberos-Key-Distribution-Center

Eseményazonosító

44

Esemény szövege

A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmazta a teljes PAC-aláírást. További információ: https://go.microsoft.com/fwlink/?linkid=2210019. Ügyfél: <tartomány>/<name>

Kerberos protokollt megvalósító külső eszközök

A külső tartományvezérlőkkel rendelkező tartományok kényszerítési módban hibákat tapasztalhatnak.

A külső ügyfelekkel rendelkező tartományok teljes törlése hosszabb időt vehet igénybe a 2022. november 8-i vagy újabb Windows-frissítés telepítését követően.

Lépjen kapcsolatba az eszköz gyártójával (OEM) vagy a szoftver gyártójával annak megállapításához, hogy a szoftver kompatibilis-e a legújabb protokollmódosítással.

A protokollfrissítésekről további információt a Microsoft webhelyén, a Windows Protokoll témakörben talál.

Szószedet

A Kerberos egy számítógép hálózati hitelesítési protokollja, amely "jegyeken" alapul, hogy a hálózaton keresztül kommunikáló csomópontok biztonságos módon igazolhassák identitásukat.

A Kerberos-szolgáltatás, amely megvalósítja a Kerberos protokollban megadott hitelesítési és jegymegadási szolgáltatásokat. A szolgáltatás a tartomány vagy tartomány rendszergazdája által kiválasztott számítógépeken fut; nincs jelen a hálózat minden gépén. Hozzáféréssel kell rendelkeznie az általa kiszolgált tartomány fiókadatbázisához. A KDC-k integrálva vannak a tartományvezérlői szerepkörbe. Ez egy hálózati szolgáltatás, amely jegyeket biztosít az ügyfeleknek a szolgáltatások hitelesítéséhez.

A Privilege Attribute Certificate (PAC) egy olyan struktúra, amely a tartományvezérlők (TARTOMÁNYVEZÉRLŐk) által biztosított, engedélyezéssel kapcsolatos információkat közvetíti. További információ: Privilege Attribute Certificate Data Structure (Privilege Attribute Certificate Data Structure).

Egy speciális jegytípus, amely más jegyek beszerzésére használható. A jegymegadó jegy (TGT) a hitelesítési szolgáltatás (AS) cseréjének kezdeti hitelesítése után szerezhető be; ezt követően a felhasználóknak nem kell bemutatniuk a hitelesítő adataikat, de a TGT használatával további jegyeket szerezhetnek be.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.