Mengubah log
Ubah 1: 19 Juni 2023:
|
Dalam artikel ini
Rangkuman
Pembaruan Windows yang dirilis pada atau setelah 8 November 2022 membahas bypass keamanan dan peningkatan kerentanan hak istimewa dengan Negosiasi Autentikasi dengan menggunakan negosiasi RC4-HMAC yang lemah.
Pembaruan ini akan mengatur AES sebagai tipe enkripsi default untuk kunci sesi pada akun yang belum ditandai dengan tipe enkripsi default.
Untuk membantu mengamankan lingkungan Anda, instal pembaruan Windows yang dirilis pada atau setelah 8 November 2022, ke semua perangkat, termasuk pengontrol domain. Lihat Mengubah 1.
Untuk mempelajari selengkapnya tentang kerentanan ini, lihat CVE-2022-37966.
Menemukan Tipe Enkripsi Kunci Sesi secara Eksplisit
Anda mungkin memiliki tipe enkripsi yang ditentukan secara eksplisit di akun pengguna Anda yang rentan terhadap CVE-2022-37966. Cari akun di mana DES / RC4 diaktifkan secara eksplisit tetapi tidak AES menggunakan kueri Direktori Aktif berikut:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Pengaturan Kunci Registri
Setelah menginstal pembaruan Windows yang tertanggal pada atau setelah 8 November 2022, kunci registri berikut tersedia untuk protokol Kerberos:
DefaultDomainSupportedEncTypes
Kunci registri |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Nilai |
DefaultDomainSupportedEncTypes |
Tipe data |
REG_DWORD |
Nilai data |
0x27 (Default) |
Mulai ulang diperlukan? |
Tidak |
Catatan Jika Anda harus mengubah Tipe Enkripsi yang Didukung default untuk pengguna atau komputer Direktori Aktif, tambahkan secara manual, dan konfigurasi kunci registri untuk mengatur Tipe Enkripsi yang Didukung yang baru. Pembaruan ini tidak secara otomatis menambahkan kunci registri.
Pengontrol domain Windows menggunakan nilai ini untuk menentukan tipe enkripsi yang didukung pada akun di Direktori Aktif yang nilai msds-SupportedEncryptionType-nya kosong atau tidak diatur. Komputer yang menjalankan versi sistem operasi Windows yang didukung secara otomatis mengatur msds-SupportedEncryptionTypes untuk akun mesin tersebut di Direktori Aktif. Hal ini didasarkan pada nilai tipe enkripsi yang dikonfigurasi yang diperbolehkan digunakan oleh protokol Kerberos. Untuk informasi selengkapnya, lihat Keamanan jaringan: Mengonfigurasi tipe enkripsi yang diperbolehkan untuk Kerberos.
Akun pengguna, akun Layanan Terkelola Grup, dan akun lain di Direktori Aktif tidak memiliki nilai msds-SupportedEncryptionTypes yang diatur secara otomatis.
Untuk menemukan Tipe Enkripsi yang Didukung, silakan lihat Bendera Bit Tipe Enkripsi yang Didukung. Untuk informasi selengkapnya, lihat apa yang harus Anda lakukan terlebih dahulu untuk membantu mempersiapkan lingkungan dan mencegah masalah autentikasi Kerberos.
Nilai default 0x27 (DES, RC4, AES Session Keys) dipilih sebagai perubahan minimum yang diperlukan untuk pembaruan keamanan ini. Kami menyarankan pelanggan mengatur nilai ke 0x3C untuk meningkatkan keamanan karena nilai ini akan memungkinkan tiket terenkripsi AES dan kunci sesi AES. Jika pelanggan telah mengikuti panduan kami untuk berpindah ke lingkungan khusus AES di mana RC4 tidak digunakan untuk protokol Kerberos, kami menyarankan agar pelanggan mengatur nilai ke 0x38. Lihat Mengubah 1.
Kejadian Windows terkait CVE-2022-37966
Pusat Distribusi Kunci Kerberos tidak memiliki kunci yang kuat untuk akun
Log Kejadian |
Sistem |
Tipe Kejadian |
Kesalahan |
Sumber Kejadian |
Kdcsvc |
ID Kejadian |
42 |
Teks Acara |
Pusat Distribusi Kunci Kerberos tidak memiliki kunci yang kuat untuk akun: nama akun. Anda harus memperbarui kata sandi akun ini untuk mencegah penggunaan kriptografi yang tidak aman. Lihat https://go.microsoft.com/fwlink/?linkid=2210019 untuk mempelajari selengkapnya. |
Jika menemukan kesalahan ini, Anda mungkin harus mengatur ulang kata sandi krbtgt sebelum mengatur KrbtgtFullPacSingature = 3, atau menginstal Windows Updates yang dirilis pada atau setelah 11 Juli 2023. Pembaruan yang mengaktifkan mode penerapan secara terprogram untuk CVE-2022-37967 didokumentasikan dalam artikel berikut ini di Pangkalan Pengetahuan Microsoft:
KB5020805: Cara mengelola perubahan protokol Kerberos terkait CVE-2022-37967
Untuk informasi selengkapnya tentang cara melakukan ini, lihat topik New-KrbtgtKeys.ps1 di situs web GitHub.
Tanya Jawab Umum (FAQ) dan Masalah umum
Akun yang ditandai untuk penggunaan RC4 eksplisit rentan. Selain itu, lingkungan yang tidak memiliki kunci sesi AES dalam akun krbgt mungkin rentan. Untuk mengurangi masalah ini, ikuti panduan tentang cara mengidentifikasi kerentanan dan menggunakan bagian pengaturan Kunci Registri untuk memperbarui pengaturan default enkripsi secara eksplisit.
Anda perlu memverifikasi bahwa semua perangkat Anda memiliki tipe Enkripsi Kerberos yang umum. Untuk informasi selengkapnya tentang tipe Enkripsi Kerberos, lihat Mendekripsi Pilihan Tipe Enkripsi Kerberos yang Didukung.
Lingkungan tanpa tipe Enkripsi Kerberos umum mungkin sebelumnya berfungsi karena secara otomatis menambahkan RC4 atau dengan penambahan AES, jika RC4 dinonaktifkan melalui kebijakan grup oleh pengontrol domain. Perilaku ini telah berubah dengan pembaruan yang dirilis pada atau setelah 8 November 2022 dan sekarang akan benar-benar mengikuti apa yang diatur dalam kunci registri, msds-SupportedEncryptionTypes dan DefaultDomainSupportedEncTypes.
Jika akun tidak memiliki set msds-SupportedEncryptionTypes , atau diatur ke 0, pengontrol domain mengasumsikan nilai default 0x27 (39) atau pengontrol domain akan menggunakan pengaturan dalam kunci registri DefaultDomainSupportedEncTypes.
Jika akun memiliki rangkaian msds-SupportedEncryptionTypes , pengaturan ini dihormati dan mungkin memperlihatkan kegagalan untuk mengonfigurasi tipe Enkripsi Kerberos umum yang disematkan dengan perilaku sebelumnya menambahkan RC4 atau AES secara otomatis, yang bukan lagi perilaku setelah penginstalan pembaruan yang dirilis pada atau setelah 8 November 2022.
Untuk informasi tentang cara memverifikasi bahwa Anda memiliki tipe Enkripsi Kerberos yang umum, lihat pertanyaan Bagaimana cara memverifikasi bahwa semua perangkat saya memiliki tipe Enkripsi Kerberos yang umum?
Lihat pertanyaan sebelumnya untuk informasi selengkapnya mengapa perangkat Anda mungkin tidak memiliki tipe Enkripsi Kerberos umum setelah menginstal pembaruan yang dirilis pada atau setelah 8 November 2022.
Jika Anda telah menginstal pembaruan yang dirilis pada atau setelah 8 November 2022, Anda dapat mendeteksi perangkat yang tidak memiliki tipe Enkripsi Kerberos umum dengan melihat dalam Log Kejadian untuk Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, yang mengidentifikasi tipe enkripsi disjoint antara klien Kerberos dan server atau layanan jarak jauh.
Penginstalan pembaruan yang dirilis pada atau setelah 8 November 2022 pada server peran klien atau non-Pengontrol Domain seharusnya tidak memengaruhi autentikasi Kerberos di lingkungan Anda.
Untuk mengurangi masalah yang diketahui ini, buka jendela Prompt Perintah sebagai Administrator dan gunakan sementara perintah berikut untuk mengatur kunci registri KrbtgtFullPacSignature ke 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Catatan Setelah masalah yang diketahui ini diatasi, Anda harus mengatur KrbtgtFullPacSignature ke pengaturan yang lebih tinggi tergantung pada apa yang akan diperbolehkan oleh lingkungan Anda. Kami menyarankan agar mode Penegakan diaktifkan segera setelah lingkungan Anda siap.
Langkah berikutnyaKami sedang mengerjakan resolusi dan akan menyediakan pembaruan dalam rilis mendatang.
Setelah menginstal pembaruan yang dirilis pada atau setelah 8 November 2022 di pengontrol domain Anda, semua perangkat harus mendukung penandatanganan tiket AES sesuai kebutuhan untuk mematuhi pengerasan keamanan yang diperlukan untuk CVE-2022-37967.
Langkah Berikutnya Jika Anda sudah menjalankan perangkat lunak dan firmware terbaru untuk perangkat non-Windows Anda dan telah memverifikasi bahwa ada tipe Enkripsi umum yang tersedia antara pengontrol domain Windows dan perangkat non-Windows, Anda perlu menghubungi produsen perangkat Anda (OEM) untuk mendapatkan bantuan atau mengganti perangkat dengan perangkat yang sesuai.
PENTING Kami tidak menyarankan penggunaan solusi apa pun untuk memungkinkan perangkat yang tidak memenuhi syarat melakukan autentikasi, karena hal ini dapat membuat lingkungan Anda rentan.
Versi Windows yang tidak didukung mencakup Windows XP, Windows Server 2003, Windows Server 2008 SP2, dan Windows Server 2008 R2 SP1 tidak dapat diakses oleh perangkat Windows yang diperbarui kecuali Anda memiliki lisensi ESU. Jika Anda memiliki lisensi ESU, Anda perlu menginstal pembaruan yang dirilis pada atau setelah 8 November 2022 dan memverifikasi bahwa konfigurasi Anda memiliki tipe Enkripsi umum yang tersedia di antara semua perangkat.
Langkah Berikutnya Instal pembaruan, jika tersedia untuk versi Windows Anda dan Anda memiliki lisensi ESU yang berlaku. Jika pembaruan tidak tersedia, Anda perlu memutakhirkan ke versi Windows yang didukung atau memindahkan aplikasi atau layanan apa pun ke perangkat yang sesuai.
PENTING Kami tidak menyarankan penggunaan solusi apa pun untuk memungkinkan perangkat yang tidak memenuhi syarat melakukan autentikasi, karena hal ini dapat membuat lingkungan Anda rentan.
Masalah yang diketahui ini telah diatasi dalam pembaruan di luar band yang dirilis 17 November 2022 dan 18 November 2022 untuk penginstalan di semua pengontrol domain di lingkungan Anda. Anda tidak perlu menginstal pembaruan apa pun atau membuat perubahan apa pun pada server atau perangkat klien lain di lingkungan Anda untuk mengatasi masalah ini. Jika Anda menggunakan solusi atau mitigasi untuk masalah ini, solusi tidak lagi diperlukan, dan kami menyarankan Anda menghapusnya.
Untuk mendapatkan paket mandiri untuk pembaruan out-of-band ini, cari nomor KB di Katalog Pembaruan Microsoft. Anda dapat mengimpor pembaruan ini ke Windows Server Update Services (WSUS) dan Configuration Manager Microsoft Endpoint secara manual. Untuk instruksi WSUS, lihat WSUS dan Situs Katalog. Untuk instruksi Pengelolaan Konfigurasi, lihat Mengimpor pembaruan dari Katalog Pembaruan Microsoft.
Catatan Pembaruan berikut ini tidak tersedia dari Windows Update dan tidak akan diinstal secara otomatis.
Pembaruan kumulatif:
Catatan Anda tidak perlu menerapkan pembaruan sebelumnya sebelum menginstal pembaruan kumulatif ini. Jika Anda telah menginstal pembaruan yang dirilis 8 November 2022, Anda tidak perlu menghapus instalan pembaruan yang terpengaruh sebelum menginstal pembaruan yang lebih baru termasuk pembaruan yang tercantum di atas.
Updates mandiri:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (dirilis 18 November 2022)
-
Windows Server 2008 SP2: KB5021657
Catatan
-
Jika Anda menggunakan pembaruan keamanan saja untuk versi Windows Server ini, Anda hanya perlu menginstal pembaruan mandiri ini untuk bulan November 2022. Pembaruan keamanan saja tidak bersifat kumulatif, dan Anda juga perlu menginstal semua pembaruan keamanan saja sebelumnya agar sepenuhnya diperbarui. Pembaruan Rollup Bulanan bersifat kumulatif dan mencakup keamanan dan semua pembaruan kualitas.
-
Jika Anda menggunakan pembaruan Rollup Bulanan, Anda perlu menginstal pembaruan mandiri yang tercantum di atas untuk mengatasi masalah ini, dan menginstal Rollup Bulanan yang dirilis 8 November 2022, untuk menerima pembaruan kualitas untuk November 2022. Jika Anda telah menginstal pembaruan yang dirilis 8 November 2022, Anda tidak perlu menghapus instalan pembaruan yang terpengaruh sebelum menginstal pembaruan yang lebih baru termasuk pembaruan yang tercantum di atas.
Jika telah memverifikasi konfigurasi lingkungan dan masih mengalami masalah dengan penerapan Kerberos non-Microsoft, Anda akan memerlukan pembaruan atau dukungan dari pengembang atau produsen aplikasi atau perangkat tersebut.
Masalah yang diketahui ini dapat dimitigasi dengan melakukan salah satu hal berikut ini:
-
Atur msds-SupportedEncryptionTypes dengan bitwise atau atur ke 0x27 default saat ini untuk mempertahankan nilainya saat ini. Contohnya:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Atur msds-SupportEncryptionTypes ke 0 untuk memungkinkan pengontrol domain menggunakan nilai default 0x27.
Langkah berikutnyaKami sedang mengerjakan resolusi dan akan menyediakan pembaruan dalam rilis mendatang.
Daftar istilah
Advanced Encryption Standard (AES) adalah cipher blok yang menggantikan Standar Enkripsi Data (DES). AES dapat digunakan untuk melindungi data elektronik. Algoritma AES dapat digunakan untuk mengenkripsi (encipher) dan mendekripsi (decipher) informasi. Enkripsi mengonversi data ke formulir yang tidak memenuhi syarat yang disebut ciphertext; mendekripsi teks sandi mengonversi data kembali ke bentuk aslinya, yang disebut plaintext. AES digunakan dalam kriptografi kunci simetris, yang berarti bahwa kunci yang sama digunakan untuk operasi enkripsi dan dekripsi. Ini juga merupakan cipher blok, yang berarti bahwa ia beroperasi pada blok tetap dari plaintext dan ciphertext, dan memerlukan ukuran plaintext serta ciphertext untuk menjadi kelipatan persis dari ukuran blok ini. AES juga dikenal sebagai algoritma enkripsi simetris Rijndael [FIPS197].
Kerberos adalah protokol autentikasi jaringan komputer yang bekerja berdasarkan "tiket" untuk memungkinkan simpul berkomunikasi melalui jaringan untuk membuktikan identitas mereka satu sama lain dengan cara yang aman.
Layanan Kerberos yang menerapkan layanan autentikasi dan pemberian tiket yang ditentukan dalam protokol Kerberos. Layanan berjalan di komputer yang dipilih oleh administrator kerajaan atau domain; tidak ada pada setiap mesin di jaringan. Ini harus memiliki akses ke database akun untuk ranah yang dilayaninya. KDC diintegrasikan ke dalam peran pengontrol domain. Ini adalah layanan jaringan yang menyediakan tiket ke klien untuk digunakan dalam mengautentikasi ke layanan.
RC4-HMAC (RC4) adalah algoritma enkripsi simetris variabel panjang kunci. Untuk informasi selengkapnya, lihat [SCHNEIER] bagian 17.1.
Kunci simetris yang relatif berumur pendek (kunci kriptografis yang dinegosiasikan oleh klien dan server berdasarkan rahasia bersama). Jangka waktu kunci sesi terikat oleh sesi yang dikaitkan dengannya. Kunci sesi harus cukup kuat untuk menahan cryptanalysis untuk umur sesi.
Jenis tiket khusus yang dapat digunakan untuk mendapatkan tiket lainnya. Tiket Pemberian Tiket (TGT) diperoleh setelah autentikasi awal dalam pertukaran Layanan Autentikasi (AS) ; setelah itu, pengguna tidak perlu menyajikan kredensial mereka, tetapi dapat menggunakan TGT untuk mendapatkan tiket berikutnya.