Napló módosítása
|
1. módosítás: 2023. április 5.: 2023. április 11-ről 2023. június 13-ra áthelyezte a beállításkulcs "A CVE-2022-38023 címmel kapcsolatos frissítések időzítése" című szakaszának "A frissítéseinek időzítése a CVE-2022-38023 címre" című szakaszát. 2. módosítás: 2023. április 20.: A "Tartományvezérlő: Sebezhető Netlogon biztonságos csatornakapcsolatok engedélyezése" csoportházirend-objektumra (GPO) mutató pontatlan hivatkozás el lett távolítva a "Beállításkulcs-beállítások" szakaszban. 3. módosítás: 2023. június 19.:
|
Ebben a cikkben
Összefoglalás
A 2022. november 8-i és újabb Windows-frissítések a Netlogon protokoll gyengeségeit kezelik, amikor RPC-aláírást használnak az RPC-tömítés helyett. További információ: CVE-2022-38023 .
A Netlogon Remote Protocol távoli eljáráshívási (RPC) felületét elsősorban az eszköz és tartománya, valamint a tartományvezérlők és tartományok közötti kapcsolatok fenntartására használják.
Ez a frissítés alapértelmezés szerint védi a Windows-eszközöket a CVE-2022-38023-tól . Külső ügyfelek és külső tartományvezérlők esetében a frissítés alapértelmezés szerint kompatibilis módban van, és lehetővé teszi az ilyen ügyfelek sebezhető kapcsolatait. A Kényszerítési módra való áttérés lépéseit a Beállításkulcs-beállítások szakaszban találja.
A környezet biztonságossá tételéhez telepítse a 2022. november 8-i vagy újabb Windows-frissítést az összes eszközre, beleértve a tartományvezérlőket is.
Fontos 2023 júniusától a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközökről érkező sebezhető kapcsolatokat. Ekkor nem fogja tudni letiltani a frissítést, de előfordulhat, hogy visszaáll a Kompatibilitási mód beállításra. A kompatibilitási mód 2023 júliusában megszűnik a Netlogon CVE-2022-38023 biztonsági résének kezelésére vonatkozó frissítések időzítése című szakaszban leírtak szerint.
A CVE-2022-38023 címmel kapcsolatos frissítések időzítése
Frissítések több fázisban fog megjelenni: a 2022. november 8-án vagy azt követően kiadott frissítések kezdeti fázisa, valamint a 2023. július 11-én vagy azt követően kiadott frissítések kényszerítési fázisa.
A kezdeti üzembehelyezési fázis a 2022. november 8-án kiadott frissítésekkel kezdődik, és a későbbi Windows-frissítésekkel folytatódik a kényszerítési fázisig. A 2022. november 8-i vagy azt követő Windows-frissítések a CVE-2022-38023 biztonsági megkerülési biztonsági rését kezelik azáltal, hogy minden Windows-ügyfélen kényszerítik az RPC-zárolást.
Alapértelmezés szerint az eszközök kompatibilis módban lesznek beállítva. A Windows-tartományvezérlők megkövetelik, hogy a Netlogon-ügyfelek RPC-pecsétet használjanak, ha Windowst futtatnak, vagy tartományvezérlőként vagy megbízhatósági fiókként működnek.
A 2023. április 11-én vagy azt követően kiadott Windows-frissítések megszüntetik az RPC-zárolás letiltásának lehetőségét, ha a 0 értéket a RequireSeal beállításkulcsra állítja.
A RequireSeal beállításkulcs kényszerített módba kerül, kivéve, ha a rendszergazdák explicit módon konfigurálják, hogy kompatibilitási módban legyenek. A rendszer megtagadja a sebezhető kapcsolatokat az összes ügyféltől, beleértve a harmadik feleket is. Lásd: 1. módosítás.
A 2023. július 11-én kiadott Windows-frissítések eltávolítják az 1 értéket a RequireSeal beállításkulcsra. Ez lehetővé teszi a CVE-2022-38023 kényszerítési fázisát.
Beállításkulcs-beállítások
A 2022. november 8-án vagy azt követően dátumozott Windows-frissítések telepítése után a Következő beállításjegyzék-alkulcs érhető el a Netlogon protokollhoz Windows-tartományvezérlőkön.
FONTOS Ez a frissítés, valamint a jövőbeli kényszerítési módosítások nem teszik automatikusan elérhetővé vagy eltávolítják a "RequireSeal" beállításkulcsot. A beállításjegyzék alkulcsát manuálisan kell hozzáadni az olvasáshoz. Lásd: 3. módosítás.
RequireSeal alkulcs
|
Beállításkulcs |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Érték |
RequireSeal |
|
Adattípus |
REG_DWORD |
|
Adat |
0 – Letiltva 1 – Kompatibilitási mód. A Windows-tartományvezérlők megkövetelik, hogy a Netlogon-ügyfelek RPC Sealt használjanak Windows rendszeren, vagy ha tartományvezérlőként vagy megbízhatósági fiókként működnek. 2 – Kényszerítési mód. Az RPC Seal használatához minden ügyfélnek szüksége van. Lásd: 2. módosítás. |
|
Újraindítás szükséges? |
Nem |
A CVE-2022-38023-hoz kapcsolódó Windows-események
MEGJEGYZÉS A következő események egy 1 órás pufferrel rendelkeznek, amelyben az azonos információkat tartalmazó ismétlődő események elvesznek a puffer során.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
NETLOGON |
|
Eseményazonosító |
5838 |
|
Esemény szövege |
A Netlogon szolgáltatás RPC-lezárás helyett RPC-aláírást használó ügyfelet észlelt. |
Ha ezt a hibaüzenetet az eseménynaplókban találja, a rendszerhiba elhárításához a következő műveleteket kell végrehajtania:
-
Győződjön meg arról, hogy az eszköz a Windows támogatott verzióját futtatja.
-
Ellenőrizze, hogy minden eszköz naprakész-e.
-
Győződjön meg arról, hogy a Tartománytag: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) beállítása Engedélyezve .
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
NETLOGON |
|
Eseményazonosító |
5839 |
|
Esemény szövege |
A Netlogon szolgáltatás RPC-lezárás helyett RPC-aláírást használó megbízhatósági kapcsolatot észlelt. |
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
NETLOGON |
|
Eseményazonosító |
5840 |
|
Esemény szövege |
A Netlogon szolgáltatás létrehozott egy biztonságos csatornát egy RC4-es ügyféllel. |
Ha az 5840-s eseményt találja, az azt jelzi, hogy a tartományban lévő ügyfél gyenge titkosítást használ.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
NETLOGON |
|
Eseményazonosító |
5841 |
|
Esemény szövege |
A Netlogon szolgáltatás az "RejectMd5Clients" beállítás miatt megtagadta az RC4-et használó ügyfelet. |
Ha az 5841-ös eseményt találja, az azt jelzi, hogy a RejectMD5Clients értéke TRUE (IGAZ ) értékű.
A RejectMD5Clients kulcs egy már meglévő kulcs a Netlogon szolgáltatásban. További információ: Az Absztrakt adatmodell RejectMD5Clients leírása.
Gyakori kérdések (GYIK)
Ez a CVE minden tartományhoz csatlakoztatott számítógépfiókot érint. Az események megjelenítik, hogy kire van a legnagyobb hatással a probléma a 2022. november 8-i vagy újabb Windows-frissítések telepítése után. A problémák megoldásához tekintse át az Eseménynapló hibái szakaszt.
A frissítés az RC4-et használó ügyfelek eseménynaplóit mutatja be, hogy segítsen észlelni azokat a régebbi ügyfeleket, amelyek nem a legerősebb elérhető titkosítást használják.
Az RPC-aláírás az, amikor a Netlogon protokoll RPC-t használ az általa a hálózaton keresztül küldött üzenetek aláírására. Az RPC-tömítés az, amikor a Netlogon protokoll aláírja és titkosítja a vezetéken keresztül küldött üzeneteket.
A Windows tartományvezérlő határozza meg, hogy egy Netlogon-ügyfél futtatja-e a Windowst. Ehhez kérdezze le az Active Directory "OperatingSystem" attribútumát a Netlogon-ügyfélhez, és ellenőrizze a következő sztringeket:
-
"Windows", "Hyper-V Server" és "Azure Stack HCI"
Nem javasoljuk és nem is támogatjuk, hogy ezt az attribútumot a Netlogon-ügyfelek vagy a tartományi rendszergazdák olyan értékre módosítják, amely nem reprezentatív a Netlogon-ügyfél által futtatott operációs rendszer (OS) számára. Vegye figyelembe, hogy a keresési feltételeket bármikor módosíthatjuk. Lásd: 3. módosítás.
A kényszerítési fázis nem utasítja el a Netlogon-ügyfeleket az ügyfelek által használt titkosítás típusa alapján. Csak akkor utasítja el a Netlogon-ügyfeleket, ha RPC-aláírást végeznek az RPC-tömítés helyett. Az RC4 Netlogon-ügyfelek elutasítása a Windows Server 2008 R2 és újabb windowsos tartományvezérlők számára elérhető "RejectMd5Clients" beállításkulcson alapul. A frissítés kényszerítési fázisa nem módosítja az "RejectMd5Clients" értéket. Azt javasoljuk, hogy az ügyfelek engedélyezzék a "RejectMd5Clients" értéket a tartományaik nagyobb biztonsága érdekében. Lásd: 3. módosítás.
Szószedet
Az Advanced Encryption Standard (AES) egy blokktitkosítás, amely felülírja az adattitkosítási szabványt (DES). Az AES használható az elektronikus adatok védelmére. Az AES-algoritmus használható az információk titkosítására (titkosítására) és visszafejtésére (visszafejtésére). A titkosítás az adatokat titkosítatlan, titkosítatlan formátummá alakítja; A titkosítószöveg visszafejtésével az adatok visszaalakulnak az eredeti formátumukba, úgynevezett egyszerű szöveggé. Az AES szimmetrikus kulcsú titkosításhoz használatos, ami azt jelenti, hogy ugyanazt a kulcsot használják a titkosítási és visszafejtési műveletekhez. Ez egy blokktitkos titkosítás is, ami azt jelenti, hogy rögzített méretű egyszerű szöveges és titkosítószöveg-blokkokon működik, és megköveteli a egyszerű szöveg méretét, valamint a titkosítószöveget, hogy pontosan többszöröse legyen ennek a blokkméretnek. Az AES más néven Rijndael szimmetrikus titkosítási algoritmus [FIPS197] .
Windows NT operációs rendszerrel kompatibilis hálózati biztonsági környezetben az elsődleges tartományvezérlő (PDC) és a biztonsági mentési tartományvezérlők (BDC) közötti szinkronizálásért és karbantartásért felelős összetevő. A Netlogon a címtárreplikációs kiszolgáló (DRS) protokoll előfutára. A Netlogon Remote Protocol távoli eljáráshívási (RPC) felületét elsősorban az eszköz és tartománya, valamint a tartományvezérlők és tartományok közötti kapcsolatok fenntartására használják. További információ: Netlogon Remote Protocol.
Az RC4-HMAC (RC4) egy változó kulcshosszú szimmetrikus titkosítási algoritmus. További információ: [SCHNEIER] szakasz 17.1.
Hitelesített távoli eljáráshívási (RPC) kapcsolat egy tartományban lévő két gép között, az RPC-csomagok aláírásához és titkosításához használt meghatározott biztonsági környezettel.
