Frissített
2023. április 10.: 2023. április 11-ről 2023. június 13-ra frissült a "Frissítések időzítése a CVE-2022-37967 címmel" című szakaszban.
Ebben a cikkben
Összefoglalás
A 2022. november 8-i Windows-frissítések a privilege attribute certificate (PAC) aláírásokkal kezelik a biztonsági rések megkerülését és a jogosultságok kiterjesztését. Ez a biztonsági frissítés kezeli a Kerberos biztonsági réseit, ahol a támadók digitálisan módosíthatják a PAC-aláírásokat, emelve a jogosultságaikat.
A környezet biztonságossá tételéhez telepítse ezt a Windows-frissítést az összes eszközre, beleértve a Windows-tartományvezérlőket is. A frissítés kényszerített módra váltása előtt a tartomány összes tartományvezérlőjének frissülnie kell.
További információ erről a biztonsági résről: CVE-2022-37967.
Művelet végrehajtása
A környezet védelme és a kimaradások megelőzése érdekében javasoljuk, hogy hajtsa végre az alábbi lépéseket:
-
Frissítse a Windows-tartományvezérlőket egy 2022. november 8-án vagy azt követően kiadott Windows-frissítéssel.
-
Helyezze át Windows-tartományvezérlőit naplózási módba a Beállításkulcs beállítás szakasz használatával.
-
Monitorozási események naplózási módban a környezet biztonságossá tételéhez.
-
ENGEDÉLYEZIKényszerítési mód a környezetben lévő CVE-2022-37967 kezeléséhez.
Megjegyzés A 2022. november 8-án vagy azt követően kiadott frissítések telepítésének 1. lépése alapértelmezés szerint NEM oldja meg a Windows-eszközök CVE-2022-37967 biztonsági problémáit. Az összes eszköz biztonsági problémájának teljes mérsékléséhez a lehető leghamarabb át kell váltania a Naplózás módra (a 2. lépésben leírtak szerint), majd a Kényszerített mód (a 4. lépésben leírtak szerint) az összes Windows-tartományvezérlőn.
Fontos 2023 júliusától a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközökről érkező sebezhető kapcsolatokat. Ekkor nem fogja tudni letiltani a frissítést, de előfordulhat, hogy visszaáll a Naplózás módra. A naplózási mód 2023 októberében el lesz távolítva a CVE-2022-37967 Kerberos biztonsági rés kezelésére vonatkozó frissítések időzítése című szakaszban leírtak szerint.
A CVE-2022-37967 címmel kapcsolatos frissítések időzítése
Frissítések fázisokban jelenik meg: a 2022. november 8-án vagy azt követően kiadott frissítések kezdeti fázisa, valamint a 2023. június 13-án vagy azt követően kiadott frissítések kényszerítési fázisa.
A kezdeti üzembehelyezési fázis a 2022. november 8-án kiadott frissítésekkel kezdődik, és a későbbi Windows-frissítésekkel folytatódik a kényszerítési fázisig. Ez a frissítés aláírásokat ad hozzá a Kerberos PAC-pufferhez, de nem ellenőrzi az aláírásokat a hitelesítés során. Így a biztonságos mód alapértelmezés szerint le van tiltva.
Ez a frissítés:
-
PAC-aláírásokat ad hozzá a Kerberos PAC-pufferhez.
-
Mértékeket ad hozzá a Kerberos protokoll biztonsági megkerülő biztonsági résének kezeléséhez.
A második üzembe helyezési fázis a 2022. december 13-án kiadott frissítésekkel kezdődik. Ezek és újabb frissítések módosítják a Kerberos protokollt a Windows-eszközök naplózásához a Windows-tartományvezérlők naplózási módba való áthelyezésével.
Ezzel a frissítéssel minden eszköz alapértelmezés szerint naplózási módban lesz:
-
Ha az aláírás hiányzik vagy érvénytelen, a hitelesítés engedélyezett. Emellett létrejön egy auditnapló is.
-
Ha az aláírás hiányzik, emeljen ki egy eseményt, és engedélyezze a hitelesítést.
-
Ha az aláírás jelen van, ellenőrizze. Ha az aláírás helytelen, eseményt kell emelnie, és engedélyeznie kell a hitelesítést.
A 2023. június 13-án vagy azt követően kiadott Windows-frissítések a következőket teszik:
-
Távolítsa el a PAC-aláírás hozzáadásának letiltásának lehetőségét a KrbtgtFullPacSignature alkulcs 0 értékre állításával.
A 2023. július 11-én vagy azt követően kiadott Windows-frissítések a következőket teszik:
-
Eltávolítja az 1 érték beállításának lehetőségét a KrbtgtFullPacSignature alkulcshoz.
-
Kényszerítési módba (alapértelmezett) helyezi át a frissítést (KrbtgtFullPacSignature = 3), amelyet egy rendszergazda felülbírálhat explicit naplózási beállítással.
A 2023. október 10-én vagy azt követően kiadott Windows-frissítések a következőket teszik:
-
Eltávolítja a KrbtgtFullPacSignature beállításkulcs támogatását.
-
Eltávolítja a naplózási mód támogatását.
-
Az új PAC-aláírások nélküli összes szolgáltatásjegy hitelesítése meg lesz tagadva.
Üzembehelyezési irányelvek
A 2022. november 8-i vagy újabb Windows-frissítések telepítéséhez kövesse az alábbi lépéseket:
-
FRISSÍTSE a Windows-tartományvezérlőket egy 2022. november 8-án vagy azt követően kiadott frissítéssel.
-
HELYEZZE ÁT a tartományvezérlőket naplózási módba a Beállításkulcs beállítás szakaszban.
-
Monitorozási események naplózási módban a környezet biztonságossá tételéhez.
-
ENGEDÉLYEZI Kényszerítési mód a környezetben lévő CVE-2022-37967 kezeléséhez.
1. LÉPÉS: FRISSÍTÉS
Telepítse a 2022. november 8-i vagy újabb frissítéseket az összes megfelelő Windows-tartományvezérlőre (TARTOMÁNYVEZÉRLŐ). A frissítés telepítése után a frissített Windows-tartományvezérlőkön aláírások lesznek hozzáadva a Kerberos PAC-pufferhez, és alapértelmezés szerint nem lesznek biztonságosak (a PAC-aláírás nincs érvényesítve).
-
Frissítés közben tartsa a KrbtgtFullPacSignature beállításazonosítót alapértelmezett állapotban, amíg az összes Windows-tartományvezérlő nem frissül.
2. LÉPÉS: ÁTHELYEZÉS
A Windows-tartományvezérlők frissítése után váltson naplózási módra a KrbtgtFullPacSignature érték 2-re való módosításával.
3. LÉPÉS: KERESÉS/MONITOROZÁS
Azonosítsa azokat a területeket, amelyekből hiányoznak a PAC-aláírások, vagy olyan PAC-aláírásokkal rendelkezik, amelyek sikertelenek a naplózási módban aktivált eseménynaplókon keresztül.
-
Mielőtt kényszerítési módba lépne, győződjön meg arról, hogy a tartomány működési szintje legalább 2008-ra vagy annál magasabbra van állítva. A 2003-ban tartomány működési szinten lévő tartományok kényszerítési módba való áthelyezése hitelesítési hibákat okozhat.
-
A naplózási események akkor jelennek meg, ha a tartománya nem frissült teljesen, vagy ha a tartományában még léteznek függőben lévő, korábban kiadott szolgáltatásjegyek.
-
Továbbra is figyelje azokat a további eseménynaplókat, amelyek hiányzó PAC-aláírásokat vagy a meglévő PAC-aláírások érvényesítési hibáit jelzik.
-
Miután a teljes tartomány frissült, és az összes függőben lévő jegy lejárt, a naplózási eseményeknek nem szabad többé megjelenniük. Ezután hiba nélkül át kell tudnia lépni a Kényszerítési módba.
4. LÉPÉS: ENGEDÉLYEZÉS
Engedélyezze a Kényszerítési módot a környezetben a CVE-2022-37967 kezeléséhez.
-
Miután az összes naplózási esemény megoldódott, és már nem jelenik meg, helyezze át a tartományokat Kényszerítési módba a KrbtgtFullPacSignature beállításazonosító frissítésével a Beállításkulcs beállításai szakaszban leírtak szerint.
-
Ha egy szolgáltatásjegy érvénytelen PAC-aláírással rendelkezik, vagy hiányoznak PAC-aláírások, az ellenőrzés sikertelen lesz, és hibaesemény lesz naplózva.
Beállításkulcs-beállítások
Kerberos protokoll
A 2022. november 8-án vagy azt követően dátumozott Windows-frissítések telepítése után a kerberos protokollhoz a következő beállításkulcs érhető el:
-
KrbtgtFullPacSignature
Ez a beállításkulcs a Kerberos-módosítások üzembe helyezésének kapujára szolgál. Ez a beállításkulcs ideiglenes, és a 2023. október 10-i teljes kényszerítési dátum után nem lesz olvasható.Beállításkulcs
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Érték
KrbtgtFullPacSignature
Adattípus
REG_DWORD
Adat
0 – Letiltva
1 – A rendszer új aláírásokat ad hozzá, de nem ellenőrzi. (Alapértelmezett beállítás)
2 – Naplózási mód. A rendszer új aláírásokat ad hozzá, és ellenőrzi, ha vannak ilyenek. Ha az aláírás hiányzik vagy érvénytelen, a hitelesítés engedélyezve van, és létrejönnek az auditnaplók.
3 – Kényszerítési mód. A rendszer új aláírásokat ad hozzá, és ellenőrzi, ha vannak ilyenek. Ha az aláírás hiányzik vagy érvénytelen, a rendszer megtagadja a hitelesítést, és auditnaplókat hoz létre.
Újraindítás szükséges?
Nem
Megjegyzés Ha módosítania kell a KrbtgtFullPacSignature beállításazonosítót, manuálisan adja hozzá, majd konfigurálja a beállításkulcsot az alapértelmezett érték felülbírálásához.
A CVE-2022-37967-höz kapcsolódó Windows-események
Naplózási módban az alábbi hibák valamelyikét tapasztalhatja, ha a PAC-aláírások hiányoznak vagy érvénytelenek. Ha a probléma a kényszerítési módban is fennáll, a rendszer hibaként naplózza ezeket az eseményeket.
Ha az eszközén hibát talál, akkor valószínű, hogy a tartományban lévő összes Windows-tartományvezérlő nem naprakész a 2022. november 8-i vagy újabb Windows-frissítéssel. A problémák megoldásához tovább kell vizsgálnia a tartományt, hogy megtalálja azokat a Windows-tartományvezérlőket, amelyek nem naprakészek.
Megjegyzés Ha a 42-s eseményazonosítóval kapcsolatos hibát talál, tekintse meg a KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése című témakört.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
43 |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tudta érvényesíteni a teljes PAC-aláírás. További információ: https://go.microsoft.com/fwlink/?linkid=2210019. Ügyfél: <tartomány>/<name> |
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Eseményforrás |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Eseményazonosító |
44 |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmazta a teljes PAC-aláírást. További információ: https://go.microsoft.com/fwlink/?linkid=2210019. Ügyfél: <tartomány>/<name> |
Kerberos protokollt megvalósító külső eszközök
A külső tartományvezérlőkkel rendelkező tartományok kényszerítési módban hibákat tapasztalhatnak.
A külső ügyfelekkel rendelkező tartományok teljes törlése hosszabb időt vehet igénybe a 2022. november 8-i vagy újabb Windows-frissítés telepítését követően.
Lépjen kapcsolatba az eszköz gyártójával (OEM) vagy a szoftver gyártójával annak megállapításához, hogy a szoftver kompatibilis-e a legújabb protokollmódosítással.
A protokollfrissítésekről további információt a Microsoft webhelyén, a Windows Protokoll témakörben talál.
Szószedet
A Kerberos egy számítógép hálózati hitelesítési protokollja, amely "jegyeken" alapul, hogy a hálózaton keresztül kommunikáló csomópontok biztonságos módon igazolhassák identitásukat.
A Kerberos-szolgáltatás, amely megvalósítja a Kerberos protokollban megadott hitelesítési és jegymegadási szolgáltatásokat. A szolgáltatás a tartomány vagy tartomány rendszergazdája által kiválasztott számítógépeken fut; nincs jelen a hálózat minden gépén. Hozzáféréssel kell rendelkeznie az általa kiszolgált tartomány fiókadatbázisához. A KDC-k integrálva vannak a tartományvezérlői szerepkörbe. Ez egy hálózati szolgáltatás, amely jegyeket biztosít az ügyfeleknek a szolgáltatások hitelesítéséhez.
A Privilege Attribute Certificate (PAC) egy olyan struktúra, amely a tartományvezérlők (TARTOMÁNYVEZÉRLŐk) által biztosított, engedélyezéssel kapcsolatos információkat közvetíti. További információ: Privilege Attribute Certificate Data Structure (Privilege Attribute Certificate Data Structure).
Egy speciális jegytípus, amely más jegyek beszerzésére használható. A jegymegadó jegy (TGT) a hitelesítési szolgáltatás (AS) cseréjének kezdeti hitelesítése után szerezhető be; ezt követően a felhasználóknak nem kell bemutatniuk a hitelesítő adataikat, de a TGT használatával további jegyeket szerezhetnek be.