Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Registro delle modifiche 

Variazione 1: 5 aprile 2023: Spostata la fase "Applicazione per impostazione predefinita" della chiave del Registro di sistema dall'11 aprile 2023 al 13 giugno 2023 nella sezione "Timing of updates to address CVE-2022-38023".

Variazione 2: 20 aprile 2023: Rimosso il riferimento non corretto a "Domain Controller: Allow vulnerable Netlogon secure channel connections" group policy object (GPO) nella sezione "Registry Key settings".

Variazione 3: 19 giugno 2023:

  • Aggiunta di una nota "Importante" alla sezione "Impostazioni chiave del Registro di sistema".

  • Aggiunta di una "Nota" alla sezione "Eventi di Windows correlati a CVE-2022-38023".

  • Sono state aggiunte due nuove domande e risposte alla sezione "Domande frequenti".

Contenuto dell'articolo

Riassunto

L'8 novembre 2022 e gli aggiornamenti di Windows successivi consentono di risolvere i punti deboli del protocollo Netlogon quando viene utilizzata la firma RPC al posto del sealing RPC. Ulteriori informazioni sono disponibili in CVE-2022-38023 .

L'interfaccia RPC (Remote Procedure Call) Netlogon Remote Protocol viene usata principalmente per mantenere la relazione tra un dispositivo e il relativo dominio e le relazioni tra controller di dominio e domini.

Questo aggiornamento protegge i dispositivi Windows da CVE-2022-38023 per impostazione predefinita.  Per i client di terze parti e i controller di dominio di terze parti, l'aggiornamento è in modalità compatibilità per impostazione predefinita e consente le connessioni vulnerabili da tali client. Vedere la sezione Impostazioni chiave del Registro di sistema per i passaggi da eseguire per passare alla modalità di applicazione.

Per proteggere il tuo ambiente, installa l'aggiornamento di Windows datato 8 novembre 2022 o un aggiornamento di Windows successivo in tutti i dispositivi, inclusi i controller di dominio.

Importante A partire da giugno 2023, la modalità di applicazione sarà abilitata in tutti i controller di dominio Windows e bloccherà le connessioni vulnerabili da dispositivi non conformi.  In quel momento, non sarà possibile disabilitare l'aggiornamento, ma potrebbe tornare all'impostazione modalità compatibilità. La modalità compatibilità verrà rimossa a luglio 2023, come descritto nella sezione Timing of updates to address Netlogon vulnerability CVE-2022-38023 .

Tempi di aggiornamento per il CVE-2022-38023

Aggiornamenti verrà rilasciato in diverse fasi: la fase iniziale per gli aggiornamenti rilasciati l'8 novembre 2022 o dopo l'8 novembre 2022 e la fase di applicazione degli aggiornamenti rilasciati dopo l'11 luglio 2023 o successivamente.

La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati l'8 novembre 2022 e continua con gli aggiornamenti di Windows successivi fino alla fase di applicazione. Gli aggiornamenti di Windows dell'8 novembre 2022 o successivamente alla vulnerabilità del bypass di sicurezza dell'indirizzo di CVE-2022-38023 sono stati installati applicando il sealing RPC in tutti i client Windows.

Per impostazione predefinita, i dispositivi vengono impostati in modalità compatibilità. I controller di dominio Windows richiedono che i client Netlogon usino il sigillo RPC se eseguono Windows o agiscono come controller di dominio o come account attendibili.

Gli aggiornamenti di Windows rilasciati dopo l'11 aprile 2023 non consentono di disabilitare il sealing RPC impostando il valore 0 sulla sottochiave RequireSeal del Registro di sistema.

La sottochiave del Registro di sistema RequireSeal verrà spostata nella modalità applicata, a meno che gli amministratori non si configurino esplicitamente in modalità compatibilità. Le connessioni vulnerabili da tutti i client, incluse le terze parti, verranno negate l'autenticazione. Vedere Modifica 1.

Gli aggiornamenti di Windows rilasciati l'11 luglio 2023 rimuoveranno la possibilità di impostare il valore 1 sulla sottochiave del Registro di sistema RequireSeal . In questo modo viene abilitata la fase di applicazione di CVE-2022-38023.

Impostazioni della chiave del Registro di sistema

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, la sottochiave del Registro di sistema seguente è disponibile per il protocollo Netlogon nei controller di dominio Windows.

IMPORTANTE Questo aggiornamento, così come le future modifiche di applicazione, non aggiunge o rimuove automaticamente la sottochiave del Registro di sistema "RequireSeal". Questa sottochiave del Registro di sistema deve essere aggiunta manualmente per consentire la lettura. Vedere Modifica 3.

Sottochiave RequireSeal

Chiave del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valore

RequireSeal

Tipo di dati

REG_DWORD

Dati

0 – Disabilitato

1 – Modalità compatibilità. I controller di dominio Windows richiedono che i client Netlogon usino RPC Seal se eseguono Windows o agiscono come controller di dominio o account Trust.

2 - Modalità di applicazione. Tutti i client sono necessari per usare RPC Seal. Vedere Modifica 2.

È necessario riavviare il sistema?

No

Eventi di Windows correlati a CVE-2022-38023

NOTA Gli eventi seguenti hanno un buffer di 1 ora in cui gli eventi duplicati che contengono le stesse informazioni vengono ignorati durante tale buffer.

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

NETLOGON

ID evento

5838

Testo evento

Il servizio Netlogon ha rilevato un client che usava la firma RPC anziché il sealing RPC.

Se il messaggio di errore è presente nei registri eventi, è necessario eseguire le operazioni seguenti per risolvere l'errore di sistema:

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

NETLOGON

ID evento

5839

Testo evento

Il servizio Netlogon ha rilevato un trust tramite la firma RPC anziché il sealing RPC.

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

NETLOGON

ID evento

5840

Testo evento

Il servizio Netlogon ha creato un canale sicuro con un client con RC4.

Se si trova l'evento 5840, si tratta di un segno che un client nel dominio usa una crittografia debole.

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

NETLOGON

ID evento

5841

Testo evento

Il servizio Netlogon ha negato un client utilizzando RC4 a causa dell'impostazione 'RejectMd5Clients'.

Se si trova l'evento 5841, significa che il valore RejectMD5Clients è impostato su TRUE .

La chiave RejectMD5Clients è una chiave preesistente nel servizio Netlogon. Per altre informazioni, vedere la descrizione RejectMD5Clients del modello di dati astratti.

Domande frequenti

Tutti gli account computer aggiunti a un dominio sono interessati da questa CVE. Gli eventi mostreranno chi è più interessato da questo problema dopo l'installazione degli aggiornamenti di Windows dell'8 novembre 2022 o versione successiva. Per risolvere i problemi, consultare la sezione Errori del registro eventi .

Per rilevare client meno recenti che non usano la crittografia più avanzata disponibile, questo aggiornamento introduce i log eventi per i client che utilizzano RC4.

La firma RPC avviene quando il protocollo Netlogon usa RPC per firmare i messaggi inviati via cavo. Il sealing RPC avviene quando il protocollo Netlogon firma e crittografa i messaggi inviati via cavo.

Il controller di dominio di Windows determina se un client Netlogon esegue Windows eseguendo una query sull'attributo "OperatingSystem" in Active Directory per il client Netlogon e controllando le stringhe seguenti:

  • "Windows", "Hyper-V Server" e "Azure Stack HCI"

Non è consigliabile né supportare la modifica di questo attributo da parte dei client Netlogon o degli amministratori di dominio in un valore non rappresentativo del sistema operativo (OS) in esecuzione dal client Netlogon. Tenere presente che microsoft potrebbe modificare i criteri di ricerca in qualsiasi momento. Vedere Modifica 3.

La fase di applicazione non rifiuta i client Netlogon in base al tipo di crittografia usato dai client. Rifiuterà i client Netlogon solo se eseguono la firma RPC anziché il sealing RPC. Il rifiuto dei client RC4 Netlogon si basa sulla chiave del Registro di sistema "RejectMd5Clients" disponibile per Windows Server 2008 R2 e versioni successive dei controller di dominio Windows. La fase di applicazione di questo aggiornamento non modifica il valore "RejectMd5Clients". È consigliabile che i clienti abilitino il valore "RejectMd5Clients" per una maggiore sicurezza dei loro domini. Vedere Modifica 3.

Glossario

Advanced Encryption Standard (AES) è una crittografia a blocchi che sostituisce il DES (Data Encryption Standard). AES può essere utilizzato per proteggere i dati elettronici. L'algoritmo AES può essere usato per crittografare (decifrare) e decrittografare (decifrare) le informazioni. La crittografia converte i dati in una forma nontelligibile denominata testo crittografato; decrittografando il testo crittografato, i dati vengono convertiti nuovamente nella forma originale, denominata testo normale. AES viene usato nella crittografia a chiave simmetrica, ovvero la stessa chiave viene usata per le operazioni di crittografia e decrittografia. È anche un cifrario a blocchi, il che significa che opera su blocchi a dimensione fissa di testo normale e testo crittografato, e richiede che la dimensione del testo in chiaro e del testo crittografato sia un multiplo esatto di questa dimensione di blocco. AES è anche noto come algoritmo di crittografia simmetrica rijndael [FIPS197] .

In un ambiente di sicurezza di rete compatibile con sistema operativo Windows NT, il componente responsabile delle funzioni di sincronizzazione e manutenzione tra un controller di dominio primario (PDC) e controller di dominio di backup (BDC). Netlogon è un precursore del protocollo DRS (Directory Replication Server). L'interfaccia RPC (Remote Procedure Call) Netlogon Remote Protocol viene usata principalmente per mantenere la relazione tra un dispositivo e il relativo dominio e le relazioni tra controller di dominio e domini. Per altre informazioni, vedere Netlogon Remote Protocol.

RC4-HMAC (RC4) è un algoritmo di crittografia simmetrica di lunghezza chiave variabile. Per ulteriori informazioni, vedere la sezione 17.1 [SCHNEIER].

Una connessione RPC (Remote Procedure Call) autenticata tra due computer in un dominio con un contesto di sicurezza stabilito usato per firmare e crittografare i pacchetti RPC .

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.