Mengubah logÂ
Ubah 1: 5 April 2023: Memindahkan fase "Penerapan secara Default" kunci registri dari 11 April 2023 ke 13 Juni 2023 dalam bagian "Pengaturan waktu pembaruan untuk mengatasi CVE-2022-38023". Ubah 2: 20 April 2023: Menghapus referensi yang tidak akurat ke "Pengontrol Domain: Izinkan netlogon rentan mengamankan koneksi saluran" objek kebijakan (GPO) di bagian "Pengaturan Kunci Registri". Ubah 3: 19 Juni 2023:
|
Dalam artikel ini
Rangkuman
Pembaruan Windows 8 November 2022 dan yang lebih baru mengatasi kelemahan dalam protokol Netlogon ketika penandatanganan RPC digunakan sebagai ganti penyegelan RPC. Informasi selengkapnya dapat ditemukan di CVE-2022-38023 .
Antarmuka panggilan prosedur jarak jauh (RPC) Protokol Jarak Jauh Netlogon terutama digunakan untuk mempertahankan hubungan antara perangkat dan domainnya , dan hubungan antara pengontrol domain (DC) dan domain.
Pembaruan ini melindungi perangkat Windows dari CVE-2022-38023 secara default.  Untuk klien pihak ketiga dan pengontrol domain pihak ketiga, pembaruan berada dalam mode Kompatibilitas secara default dan memungkinkan koneksi yang rentan dari klien tersebut. Lihat bagian Pengaturan Kunci Registri untuk langkah-langkah untuk berpindah ke mode Penegakan.
Untuk membantu mengamankan lingkungan Anda, instal pembaruan Windows yang tertanggal 8 November 2022 atau pembaruan Windows yang lebih baru ke semua perangkat, termasuk pengontrol domain.
Penting Mulai Juni 2023, mode Penegakan akan diaktifkan di semua pengontrol domain Windows dan akan memblokir koneksi rentan dari perangkat yang tidak sesuai. Pada saat itu, Anda tidak akan bisa menonaktifkan pembaruan, tapi mungkin kembali ke pengaturan Mode kompatibilitas. Mode kompatibilitas akan dihapus pada juli 2023, seperti yang diuraikan dalam bagian Pengaturan Waktu pembaruan untuk mengatasi kerentanan Netlogon CVE-2022-38023 .
Pengaturan waktu pembaruan untuk mengatasi CVE-2022-38023
Updates akan dirilis dalam beberapa fase: fase awal untuk pembaruan yang dirilis pada atau setelah 8 November 2022 dan fase Penerapan untuk pembaruan yang dirilis pada atau setelah 11 Juli 2023.
Fase penyebaran awal dimulai dengan pembaruan yang dirilis pada 8 November 2022 dan berlanjut dengan pembaruan Windows yang lebih baru hingga fase Penerapan. Windows update on or after November 8, 2022 address security bypass vulnerability of CVE-2022-38023 by enforcing RPC sealing on all Windows clients.
Secara default, perangkat akan diatur dalam mode Kompatibilitas. Pengontrol domain Windows akan mengharuskan klien Netlogon menggunakan segel RPC jika mereka menjalankan Windows, atau jika mereka bertindak sebagai pengontrol domain atau sebagai akun kepercayaan.
Pembaruan Windows yang dirilis pada atau setelah 11 April 2023 akan menghapus kemampuan untuk menonaktifkan penyegelan RPC dengan mengatur nilai 0 ke subkey registri RequireSeal .
Subkey registri RequireSeal akan dipindahkan ke mode Diberlakukan kecuali Administrator mengonfigurasi secara eksplisit agar berada di bawah mode Kompatibilitas. Koneksi yang rentan dari semua klien termasuk pihak ketiga akan ditolak autentikasi. Lihat Mengubah 1.
Pembaruan Windows yang dirilis pada 11 Juli 2023 akan menghapus kemampuan untuk mengatur nilai 1 ke subkey registri RequireSeal . Ini memungkinkan fase Penerapan CVE-2022-38023.
Pengaturan Kunci Registri
Setelah pembaruan Windows yang tertanggal pada atau setelah 8 November 2022 diinstal, subkey registri berikut ini tersedia untuk protokol Netlogon pada pengontrol domain Windows.
PENTING Pembaruan ini, serta perubahan penerapan di masa mendatang, tidak secara otomatis menambahkan atau menghapus subkey registri "RequireSeal". Subkey registri ini harus ditambahkan secara manual agar dapat dibaca. Lihat Mengubah 3.
Subkey RequireSeal
Kunci registri |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Nilai |
RequireSeal |
Tipe data |
REG_DWORD |
Data |
0 – Dinonaktifkan 1 – Mode kompatibilitas. Pengontrol domain Windows akan mengharuskan klien Netlogon menggunakan RPC Seal jika mereka menjalankan Windows, atau jika mereka bertindak sebagai pengontrol domain atau akun Kepercayaan. 2 - Mode penerapan. Semua klien harus menggunakan RPC Seal. Lihat Mengubah 2. |
Mulai ulang diperlukan? |
Tidak |
Kejadian Windows yang terkait dengan CVE-2022-38023
CATATAN Kejadian berikut ini memiliki buffer 1 jam di mana kejadian duplikat yang berisi informasi yang sama dibuang selama buffer tersebut.
Log Kejadian |
Sistem |
Tipe Kejadian |
Kesalahan |
Sumber Kejadian |
NETLOGON |
ID Kejadian |
5838 |
Teks Acara |
Layanan Netlogon menemukan klien menggunakan penandatanganan RPC dan bukan penyegelan RPC. |
Jika menemukan pesan kesalahan ini dalam log kejadian, Anda harus melakukan tindakan berikut ini untuk mengatasi kesalahan sistem:
-
Pastikan bahwa perangkat menjalankan versi Windows yang didukung.
-
Periksa untuk memastikan bahwa semua perangkat telah diperbarui.
-
Periksa untuk memastikan bahwa Anggota domain: Anggota domain Mengenkripsi atau menandatangani data saluran aman secara digital (selalu) diatur ke Diaktifkan .
Log Kejadian |
Sistem |
Tipe Kejadian |
Kesalahan |
Sumber Kejadian |
NETLOGON |
ID Kejadian |
5839 |
Teks Acara |
Layanan Netlogon menemukan kepercayaan menggunakan penandatanganan RPC dan bukan penyegelan RPC. |
Log Kejadian |
Sistem |
Tipe Kejadian |
Peringatan |
Sumber Kejadian |
NETLOGON |
ID Kejadian |
5840 |
Teks Acara |
Layanan Netlogon membuat saluran aman dengan klien dengan RC4. |
Jika Anda menemukan Acara 5840, ini adalah tanda bahwa klien di domain Anda menggunakan kriptografi yang lemah.
Log Kejadian |
Sistem |
Tipe Kejadian |
Kesalahan |
Sumber Kejadian |
NETLOGON |
ID Kejadian |
5841 |
Teks Acara |
Layanan Netlogon menolak klien menggunakan RC4 karena pengaturan 'RejectMd5Clients'. |
Jika Anda menemukan Kejadian 5841, ini adalah tanda bahwa nilai RejectMD5Clients diatur ke TRUE .
RejectMD5Clients dari Model Data Abstrak.
Kunci RejectMD5Clients adalah kunci yang sudah ada sebelumnya dalam layanan Netlogon. Untuk informasi selengkapnya, lihat deskripsiTanya Jawab Umum (FAQ)
Semua akun mesin yang tergabung dalam domain dipengaruhi oleh CVE ini. Acara akan memperlihatkan siapa yang paling terkena dampak masalah ini setelah pembaruan Windows 8 November 2022 atau yang lebih baru diinstal, silakan tinjau bagian Kesalahan Log Kejadian untuk mengatasi masalah tersebut.
Untuk membantu mendeteksi klien lama yang tidak menggunakan crypto terkuat yang tersedia, pembaruan ini memperkenalkan log kejadian untuk klien yang menggunakan RC4.
Penandatanganan RPC adalah ketika protokol Netlogon menggunakan RPC untuk menandatangani pesan yang dikirim melalui kawat. PENYEGELAN RPC adalah ketika protokol Netlogon menandatangani dan mengenkripsi pesan yang dikirim melalui kawat.
Pengontrol Domain Windows menentukan apakah klien Netlogon menjalankan Windows dengan membuat kueri atribut "OperatingSystem" di Direktori Aktif untuk klien Netlogon dan memeriksa string berikut:
-
"Windows", "Hyper-V Server", dan "Azure Stack HCI"
Kami tidak menyarankan atau mendukung bahwa atribut ini diubah oleh klien Netlogon atau administrator domain menjadi nilai yang tidak mewakili sistem operasi (OS) yang dijalankan klien Netlogon. Anda harus menyadari bahwa kami dapat mengubah kriteria pencarian kapan saja. Lihat Mengubah 3.
Fase penerapan tidak menolak klien Netlogon berdasarkan tipe enkripsi yang digunakan klien. Ini hanya akan menolak klien Netlogon jika mereka melakukan penandatanganan RPC dan bukan RPC Sealing. Penolakan klien RC4 Netlogon didasarkan pada kunci registri "RejectMd5Clients" yang tersedia untuk Windows Server 2008 R2 dan Pengontrol Domain Windows yang lebih baru. Fase penerapan untuk pembaruan ini tidak mengubah nilai "RejectMd5Clients". Kami menyarankan agar pelanggan mengaktifkan nilai "RejectMd5Clients" untuk keamanan yang lebih tinggi di domain mereka. Lihat Mengubah 3.
Daftar istilah
Advanced Encryption Standard (AES) adalah cipher blok yang menggantikan Standar Enkripsi Data (DES). AES dapat digunakan untuk melindungi data elektronik. Algoritma AES dapat digunakan untuk mengenkripsi (encipher) dan mendekripsi (decipher) informasi. Enkripsi mengonversi data ke formulir yang tidak memenuhi syarat yang disebut ciphertext; mendekripsi teks sandi mengonversi data kembali ke bentuk aslinya, yang disebut plaintext. AES digunakan dalam kriptografi kunci simetris, yang berarti bahwa kunci yang sama digunakan untuk operasi enkripsi dan dekripsi. Ini juga merupakan cipher blok, yang berarti bahwa ia beroperasi pada blok tetap dari plaintext dan ciphertext, dan memerlukan ukuran plaintext serta ciphertext untuk menjadi kelipatan persis dari ukuran blok ini. AES juga dikenal sebagai algoritma enkripsi simetris Rijndael [FIPS197] .
Dalam lingkungan keamanan jaringan yang kompatibel dengan sistem operasi Windows NT, komponen yang bertanggung jawab untuk sinkronisasi dan fungsi pemeliharaan antara pengontrol domain utama (PDC) dan pengontrol domain cadangan (BDC). Netlogon adalah prekursor untuk protokol server replikasi direktori (DRS). Antarmuka panggilan prosedur jarak jauh (RPC) Protokol Jarak Jauh Netlogon terutama digunakan untuk mempertahankan hubungan antara perangkat dan domainnya , dan hubungan antara pengontrol domain (DC) dan domain. Untuk informasi selengkapnya, lihat Netlogon Remote Protocol.
RC4-HMAC (RC4) adalah algoritma enkripsi simetris variabel panjang kunci. Untuk informasi selengkapnya, lihat [SCHNEIER] bagian 17.1.
Koneksi panggilan prosedur jarak jauh (RPC) yang diautentikasi antara dua mesin dalam domain dengan konteks keamanan mapan yang digunakan untuk menandatangani dan mengenkripsi paket RPC .