Napló módosítása
1. módosítás: 2023. június 19.:
|
Ebben a cikkben
Összefoglalás
A 2022. november 8-án vagy azt követően kiadott Windows-frissítések a gyenge RC4-HMAC egyeztetéssel kezelik a biztonsági rés megkerülését és a jogosultságok kiterjesztését a hitelesítési egyeztetéssel.
Ez a frissítés az AES-t állítja be alapértelmezett titkosítási típusként az olyan fiókok munkamenetkulcsaihoz, amelyek már nincsenek megjelölve alapértelmezett titkosítási típussal.
A környezet biztonsága érdekében telepítse a 2022. november 8-án vagy azt követően kiadott Windows-frissítéseket az összes eszközre, beleértve a tartományvezérlőket is. Lásd: 1. módosítás.
További információ ezekről a biztonsági résekről: CVE-2022-37966.
Explicit módon beállított munkamenetkulcs-titkosítási típusok felderítése
Előfordulhat, hogy explicit módon definiált titkosítási típusok vannak a felhasználói fiókokon, amelyek sebezhetőek a CVE-2022-37966-tal szemben. Keresse meg azokat a fiókokat, amelyeken a DES/RC4 explicit módon engedélyezve van, de az AES-t nem az alábbi Active Directory-lekérdezéssel:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Beállításkulcs-beállítások
A 2022. november 8-án vagy azt követően dátumozott Windows-frissítések telepítése után a kerberos protokollhoz a következő beállításkulcs érhető el:
DefaultDomainSupportedEncTypes
Beállításkulcs |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Érték |
DefaultDomainSupportedEncTypes |
Adattípus |
REG_DWORD |
Adatérték |
0x27 (alapértelmezett) |
Újraindítás szükséges? |
Nem |
Megjegyzés Ha módosítania kell egy Active Directory-felhasználó vagy -számítógép alapértelmezett támogatott titkosítási típusát, manuálisan adja hozzá és konfigurálja a beállításkulcsot az új támogatott titkosítási típus beállításához. Ez a frissítés nem adja hozzá automatikusan a beállításkulcsot.
A Windows-tartományvezérlők ezt az értéket használják azon Active Directory-fiókok támogatott titkosítási típusainak meghatározására, amelyek msds-SupportedEncryptionType értéke üres vagy nincs beállítva. A Windows operációs rendszer támogatott verzióját futtató számítógépek automatikusan beállítják az adott gépek msds-SupportedEncryptionTypes fiókját az Active Directoryban. Ez azon titkosítási típusok konfigurált értékén alapul, amelyeket a Kerberos protokoll használhat. További információ: Hálózati biztonság: A Kerberos számára engedélyezett titkosítási típusok konfigurálása.
A felhasználói fiókok, a csoportosan felügyelt szolgáltatásfiókok és az Active Directory egyéb fiókjai nem rendelkeznek automatikusan beállított msds-SupportedEncryptionTypes értékkel.
A manuálisan beállítható támogatott titkosítási típusok megkereséséhez tekintse meg a támogatott titkosítási típusok bitjelölőit. További információt a környezet előkészítéséhez és a Kerberos-hitelesítési problémák megelőzéséhez szükséges teendők című témakörben talál.
Az alapértelmezett 0x27 (DES, RC4, AES-munkamenetkulcsok) lett kiválasztva a biztonsági frissítéshez szükséges minimális módosítás. Azt javasoljuk az ügyfeleknek, hogy a nagyobb biztonság érdekében állítsa 0x3C értéket, mivel ez az érték lehetővé teszi az AES által titkosított jegyek és az AES-munkamenetkulcsok használatát is. Ha az ügyfelek követték az útmutatónkat egy olyan AES-környezetbe való áttéréshez, ahol az RC4 nem használatos a Kerberos protokollhoz, javasoljuk, hogy az ügyfelek állítsa az értéket 0x38. Lásd: 1. módosítás.
A CVE-2022-37966-tal kapcsolatos Windows-események
A Kerberos-kulcsterjesztési központ nem rendelkezik erős fiókkulcsokkal
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
42 |
Esemény szövege |
A Kerberos-kulcsterjesztési központ nem rendelkezik erős kulcsokkal a fióknévhez. A nem biztonságos titkosítás használatának megakadályozásához frissítenie kell a fiók jelszavát. További információ: https://go.microsoft.com/fwlink/?linkid=2210019. |
Ha ezt a hibát tapasztalja, valószínűleg alaphelyzetbe kell állítania a krbtgt-jelszót a KrbtgtFullPacSingature = 3 beállítása előtt, vagy telepítenie kell a 2023. július 11-én vagy azt követően kiadott Windows Frissítések. A CVE-2022-37967 kényszerítési módját programozott módon engedélyező frissítés a Microsoft Tudásbázis következő cikkében található:
KB5020805: A CVE-2022-37967-hez kapcsolódó Kerberos-protokollmódosítások kezelése
Ennek módjáról további információt a GitHub webhelyén található New-KrbtgtKeys.ps1 témakörben talál.
Gyakori kérdések (GYIK) és ismert problémák
Az explicit RC4-használatra megjelölt fiókok sebezhetők. Emellett azok a környezetek, amelyek nem rendelkeznek AES-munkamenetkulcsokkal a krbgt-fiókban, sebezhetők lehetnek. A probléma megoldásához kövesse a biztonsági rések azonosítására vonatkozó útmutatót, és használja a beállításkulcs beállítását ismertető szakaszt a titkosítási alapértelmezések explicit beállításának frissítéséhez.
Ellenőriznie kell, hogy az összes eszköz rendelkezik-e közös Kerberos-titkosítási típussal. További információ a Kerberos-titkosítás típusairól: A támogatott Kerberos-titkosítási típusok kiválasztásának visszafejtése.
A közös Kerberos-titkosítási típussal nem rendelkező környezetek korábban működhettek az RC4 automatikus hozzáadása vagy az AES hozzáadása miatt, ha az RC4-et a tartományvezérlők csoportházirenddel letiltották. Ez a viselkedés megváltozott a 2022. november 8-án vagy azt követően kiadott frissítések esetében, és mostantól szigorúan követi az msds-SupportedEncryptionTypes és a DefaultDomainSupportedEncTypes beállításkulcsokban megadottakat.
Ha a fiókhoz nincs beállítva msds-SupportedEncryptionTypes érték, vagy 0, akkor a tartományvezérlők feltételezik, hogy a 0x27 (39) alapértelmezett értéke, vagy a tartományvezérlő a DefaultDomainSupportedEncTypes beállításkulcsban található beállítást fogja használni.
Ha a fiókhoz msds-SupportedEncryptionTypes van beállítva, a rendszer ezt a beállítást figyelembe veszi, és előfordulhat, hogy a rendszer nem konfigurált egy általános Kerberos-titkosítási típust, amelyet az RC4 vagy az AES automatikus hozzáadásának korábbi viselkedése maszkolt, ami a 2022. november 8-án vagy azt követően kiadott frissítések telepítése után már nem működik.
A Kerberos-titkosítás általános típusának ellenőrzéséről a Hogyan ellenőrizhetem, hogy az összes eszközöm rendelkezik-e közös Kerberos-titkosítási típussal? című témakörből tájékozódhat.
A 2022. november 8-án vagy azt követően kiadott frissítések telepítése után az előző kérdésből megismerheti, hogy az eszközök miért nem rendelkeznek közös Kerberos-titkosítási típussal.
Ha már telepítette a 2022. november 8-án vagy azt követően kiadott frissítéseket, a Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 eseménynaplójában megkeresheti azokat az eszközöket, amelyek nem rendelkeznek közös Kerberos-titkosítási típussal, és amely a Kerberos-ügyfelek és a távoli kiszolgálók vagy szolgáltatások közötti különálló titkosítási típusokat azonosítja.
A 2022. november 8-án vagy azt követően kiadott frissítések telepítése az ügyfeleken vagy a nem tartományvezérlő szerepkör-kiszolgálókon nincs hatással a Kerberos-hitelesítésre a környezetben.
Az ismert probléma megoldásához nyisson meg egy parancssori ablakot rendszergazdaként, és ideiglenesen a következő paranccsal állítsa a KrbtgtFullPacSignature beállításkulcsot 0-ra:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Megjegyzés Az ismert probléma megoldása után állítsa a KrbtgtFullPacSignature beállítást egy magasabb értékre attól függően, hogy a környezet mit fog engedélyezni. Javasoljuk, hogy a kényszerítési mód azonnal engedélyezve legyen, amint a környezet készen áll.
Következő lépésekDolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést.
Miután telepítette a 2022. november 8-án vagy azt követően kiadott frissítéseket a tartományvezérlőkre, minden eszköznek támogatnia kell az AES-jegyaláírást, ha meg kell felelnie a CVE-2022-37967 szabványhoz szükséges biztonsági korlátozásnak.
Következő lépések Ha már a legújabb szoftvereket és belső vezérlőprogramokat futtatja a nem Windows rendszerű eszközökhöz, és ellenőrizte, hogy a Windows-tartományvezérlők és a nem Windows rendszerű eszközök között létezik-e közös titkosítási típus, az eszköz gyártójához (OEM) kell fordulnia segítségért, vagy le kell cserélnie az eszközöket megfelelőre.
FONTOS Nem javasoljuk, hogy kerülő megoldással engedélyezze a nem megfelelő eszközök hitelesítését, mivel ez sebezhetővé teheti a környezetet.
A Windows nem támogatott verziói közé tartozik a Windows XP, a Windows Server 2003, a Windows Server 2008 SP2 és a Windows Server 2008 R2 SP1, és csak akkor érhetők el a frissített Windows-eszközök, ha rendelkezik ESU-licenccel. Ha rendelkezik ESU-licenccel, telepítenie kell a 2022. november 8-án vagy azt követően kiadott frissítéseket, és ellenőriznie kell, hogy a konfigurációja rendelkezik-e az összes eszköz között elérhető közös titkosítási típussal.
Következő lépések Telepítse a frissítéseket, ha azok elérhetők az Ön Windows-verziójához, és ön rendelkezik a megfelelő ESU-licenccel. Ha a frissítések nem érhetők el, frissítenie kell a Windows egy támogatott verziójára, vagy át kell helyeznie egy alkalmazást vagy szolgáltatást egy megfelelő eszközre.
FONTOS Nem javasoljuk, hogy kerülő megoldással engedélyezze a nem megfelelő eszközök hitelesítését, mivel ez sebezhetővé teheti a környezetet.
Ezt az ismert problémát a 2022. november 17-én és 2022. november 18-án kiadott sávon kívüli frissítésekben oldottuk meg a környezet összes tartományvezérlőjén való telepítéshez. A probléma megoldásához nem kell semmilyen frissítést telepítenie vagy módosítania a környezetében lévő többi kiszolgálót vagy ügyféleszközt. Ha kerülő megoldást vagy megoldásokat használt ehhez a problémához, már nincs rájuk szükség, ezért javasoljuk, hogy távolítsa el őket.
A sávon kívüli frissítések különálló csomagjának beszerzéséhez keresse meg a TUDÁSBÁZIS-számot a Microsoft Update katalógusában. Ezeket a frissítéseket manuálisan importálhatja a Windows Server Update Services (WSUS) és a Microsoft Endpoint Configuration Manager. A WSUS-utasításokért lásd a WSUS-t és a katalóguswebhelyet. A Configuration Mangerrel kapcsolatos utasításokért lásd: Frissítések importálása a Microsoft Update Katalógusból.
Megjegyzés A következő frissítések nem érhetők el a Windows Update- és nem telepítenek automatikusan.
Kumulatív frissítések:
Megjegyzés A kumulatív frissítések telepítése előtt nem kell alkalmaznia az előző frissítéseket. Ha már telepítette a 2022. november 8-án kiadott frissítéseket, nem kell eltávolítania az érintett frissítéseket, mielőtt újabb frissítéseket telepítene, beleértve a fent felsorolt frissítéseket is.
Különálló Frissítések:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (megjelent: 2022. november 18.)
-
Windows Server 2008 SP2: KB5021657
Megjegyzések
-
Ha csak biztonsági frissítéseket használ a Windows Server ezen verzióihoz, csak 2022 novemberének hónapjára kell telepítenie ezeket az önálló frissítéseket. A csak biztonsági frissítések nem összesítettek, és az összes korábbi csak biztonsági frissítést is telepítenie kell, hogy teljes mértékben naprakészek legyenek. A havi kumulatív frissítések összegzőek, és tartalmazzák a biztonsági és az összes minőségi frissítést.
-
Ha havi kumulatív frissítéseket használ, a probléma megoldásához telepítenie kell a fent felsorolt különálló frissítéseket, és telepítenie kell a 2022. november 8-án kiadott havi kumulatív frissítéseket a 2022. novemberi minőségi frissítések fogadásához. Ha már telepítette a 2022. november 8-án kiadott frissítéseket, nem kell eltávolítania az érintett frissítéseket, mielőtt újabb frissítéseket telepítene, beleértve a fent felsorolt frissítéseket is.
Ha ellenőrizte a környezet konfigurációját, és továbbra is problémákba ütközik a Kerberos nem Microsofttól származó implementációjával kapcsolatban, az alkalmazás vagy eszköz fejlesztőjének vagy gyártójának frissítésére vagy támogatására lesz szüksége.
Ez az ismert probléma az alábbi műveletek egyikével hárítható el:
-
Állítsa az msds-SupportedEncryptionTypes értéket bitenkéntire, vagy állítsa be az aktuális alapértelmezett 0x27 az aktuális értékének megőrzéséhez. Például:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Állítsa az msds-SupportEncryptionTypes értékét 0-ra , hogy a tartományvezérlők az alapértelmezett 0x27 értéket használják.
Következő lépésekDolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést.
Szószedet
Az Advanced Encryption Standard (AES) egy blokktitkosítás, amely felülírja az adattitkosítási szabványt (DES). Az AES használható az elektronikus adatok védelmére. Az AES-algoritmus használható az információk titkosítására (titkosítására) és visszafejtésére (visszafejtésére). A titkosítás az adatokat titkosítatlan, titkosítatlan formátummá alakítja; A titkosítószöveg visszafejtésével az adatok visszaalakulnak az eredeti formátumukba, úgynevezett egyszerű szöveggé. Az AES szimmetrikus kulcsú titkosításhoz használatos, ami azt jelenti, hogy ugyanazt a kulcsot használják a titkosítási és visszafejtési műveletekhez. Ez egy blokktitkos titkosítás is, ami azt jelenti, hogy rögzített méretű egyszerű szöveges és titkosítószöveg-blokkokon működik, és megköveteli a egyszerű szöveg méretét, valamint a titkosítószöveget, hogy pontosan többszöröse legyen ennek a blokkméretnek. Az AES-t Rijndael szimmetrikus titkosítási algoritmusnak is nevezik [FIPS197].
A Kerberos egy számítógép hálózati hitelesítési protokollja, amely "jegyeken" alapul, hogy a hálózaton keresztül kommunikáló csomópontok biztonságos módon igazolhassák identitásukat.
A Kerberos-szolgáltatás, amely megvalósítja a Kerberos protokollban megadott hitelesítési és jegymegadási szolgáltatásokat. A szolgáltatás a tartomány vagy tartomány rendszergazdája által kiválasztott számítógépeken fut; nincs jelen a hálózat minden gépén. Hozzáféréssel kell rendelkeznie az általa kiszolgált tartomány fiókadatbázisához. A KDC-k integrálva vannak a tartományvezérlői szerepkörbe. Ez egy hálózati szolgáltatás, amely jegyeket biztosít az ügyfeleknek a szolgáltatások hitelesítéséhez.
Az RC4-HMAC (RC4) egy változó kulcshosszú szimmetrikus titkosítási algoritmus. További információ: [SCHNEIER] szakasz 17.1.
Egy viszonylag rövid élettartamú szimmetrikus kulcs (az ügyfél és a kiszolgáló által egyeztetett titkosítási kulcs egy megosztott titkos kód alapján). A munkamenetkulcsok élettartamát az határozza meg, hogy melyik munkamenethez van társítva. A munkamenetkulcsnak elég erősnek kell lennie ahhoz, hogy ellenálljon a titkosításnak a munkamenet élettartama során.
Egy speciális jegytípus, amely más jegyek beszerzésére használható. A jegymegadó jegy (TGT) a hitelesítési szolgáltatás (AS) cseréjének kezdeti hitelesítése után szerezhető be; ezt követően a felhasználóknak nem kell bemutatniuk a hitelesítő adataikat, de a TGT használatával további jegyeket szerezhetnek be.