Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Registro delle modifiche

Variazione 1: 19 giugno 2023:

  • È stata chiarita la frase che inizia "Per proteggere..." nella sezione "Riepilogo".

  • Sono state aggiunte altre informazioni alla Nota nell'impostazione della chiave del Registro di sistema DefaultDomainSupportedEncTypes.

Contenuto dell'articolo

Riassunto

Gli aggiornamenti di Windows rilasciati dopo l'8 novembre 2022 riguarda la vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.

Questo aggiornamento imposterà AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere il tuo ambiente, installa gli aggiornamenti di Windows rilasciati dopo l'8 novembre 2022 o successivamente a tutti i dispositivi, inclusi i controller di dominio. Vedere Modifica 1.

Per altre informazioni su queste vulnerabilità, vedere CVE-2022-37966.

Individuazione dei tipi di crittografia chiave di sessione impostati in modo esplicito

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Cerca gli account in cui DES / RC4 è abilitato in modo esplicito ma non AES utilizzando la query di Active Directory seguente:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Impostazioni della chiave del Registro di sistema

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:

DefaultDomainSupportedEncTypes

Chiave del Registro di sistema

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Valore

DefaultDomainSupportedEncTypes

Tipo di dati

REG_DWORD

Valore dei dati

0x27 (impostazione predefinita)

È necessario riavviare il sistema?

No

Nota Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.  Questo aggiornamento non aggiunge automaticamente la chiave del Registro di sistema.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos. Per ulteriori informazioni, vedere Sicurezza della rete: configurare i tipi di crittografia consentiti per Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Per trovare i tipi di crittografia supportati che è possibile impostare manualmente, fare riferimento a Flag di bit dei tipi di crittografia supportati. Per altre informazioni, vedere prima cosa fare per preparare l'ambiente e prevenire i problemi di autenticazione Kerberos.

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. È consigliabile che i clienti impostino il valore su 0x3C per una maggiore sicurezza perché questo valore consentirà sia per i ticket crittografati con AES che per le chiavi di sessione AES. Se i clienti hanno seguito le nostre indicazioni per passare a un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38. Vedere Modifica 1.

Eventi di Windows correlati a CVE-2022-37966

Il centro di distribuzione delle chiavi Kerberos non dispone di chiavi complesse per l'account

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

Kdcsvc

ID evento

42

Testo evento

Il centro di distribuzione delle chiavi Kerberos non dispone di chiavi complesse per account: accountname. È necessario aggiornare la password di questo account per impedire l'uso della crittografia non protetta. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2210019.

Se si trova questo errore, è probabile che sia necessario reimpostare la password krbtgt prima di impostare KrbtgtFullPacSingature = 3 o installare Windows Aggiornamenti rilasciato l'11 luglio 2023 o successivamente. L'aggiornamento che abilita a livello di programmazione la modalità di applicazione per CVE-2022-37967 è documentato nel seguente articolo della Microsoft Knowledge Base:

KB5020805: Come gestire le modifiche al protocollo Kerberos correlate a CVE-2022-37967

Per ulteriori informazioni su come eseguire questa operazione, vedi l'argomento New-KrbtgtKeys.ps1 sul sito Web GitHub.

Domande frequenti e problemi noti

Gli account contrassegnati per l'utilizzo esplicito di RC4 sono vulnerabili. Inoltre, gli ambienti che non dispongono di chiavi di sessione AES all'interno dell'account krbgt potrebbero essere vulnerabili. Per attenuare questo problema, segui le indicazioni su come identificare le vulnerabilità e usare la sezione delle impostazioni della chiave del Registro di sistema per aggiornare le impostazioni predefinite di crittografia impostate in modo esplicito.

È necessario verificare che tutti i dispositivi abbiano un tipo di crittografia Kerberos comune.  Per ulteriori informazioni sui tipi di crittografia Kerberos, vedere Decrittografia della selezione dei tipi di crittografia Kerberos supportati.

Gli ambienti senza un tipo comune di crittografia Kerberos potrebbero essere stati in precedenza funzionabili a causa dell'aggiunta automatica di RC4 o dell'aggiunta di AES, se RC4 è stato disabilitato tramite criteri di gruppo dai controller di dominio. Questo comportamento è cambiato con gli aggiornamenti rilasciati dopo l'8 novembre 2022 e ora seguirà rigorosamente le impostazioni nelle chiavi del Registro di sistema, msds-SupportedEncryptionTypes e DefaultDomainSupportedEncTypes

Se l'account non ha msds-SupportedEncryptionTypes impostato o è impostato su 0, i controller di dominio presuppongono un valore predefinito di 0x27 (39) o il controller di dominio userà l'impostazione nella chiave del Registro di sistema DefaultDomainSupportedEncTypes.

Se l'account ha msds-SupportedEncryptionTypes impostato, questa impostazione è rispettata e potrebbe esporre un errore nel configurare un tipo di crittografia Kerberos comune mascherato dal comportamento precedente di aggiunta automatica di RC4 o AES, che non è più il comportamento dopo l'installazione degli aggiornamenti rilasciati in data 8 novembre 2022 o successivamente.

Per informazioni su come verificare di disporre di un tipo di crittografia Kerberos comune, vedere la domanda Come è possibile verificare che tutti i dispositivi dispongano di un tipo di crittografia Kerberos comune?

Vedi la domanda precedente per ulteriori informazioni sui motivi per cui i dispositivi potrebbero non avere un tipo di crittografia Kerberos comune dopo l'installazione degli aggiornamenti rilasciati dopo l'8 novembre 2022 o successivamente.

Se sono già stati installati aggiornamenti rilasciati dopo l'8 novembre 2022 o successivamente, è possibile rilevare i dispositivi che non hanno un tipo di crittografia Kerberos comune cercando nel registro eventi l'evento 27 Microsoft-Windows-Kerberos-Key-Distribution-Center, che identifica i tipi di crittografia disgiunto tra client e server o servizi remoti Kerberos.

L'installazione degli aggiornamenti rilasciati dopo l'8 novembre 2022 o nei client o nei server con ruolo di controller di dominio non deve influire sull'autenticazione Kerberos nell'ambiente.

Per attenuare questo problema noto, apri una finestra del prompt dei comandi come amministratore e utilizza temporaneamente il comando seguente per impostare la chiave del Registro di sistema KrbtgtFullPacSignature su 0:

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Nota Una volta risolto questo problema noto, è consigliabile impostare KrbtgtFullPacSignature su un'impostazione superiore a seconda di ciò che l'ambiente consentirà. È consigliabile abilitare la modalità di applicazione non appena l'ambiente è pronto.

Passaggi successiviMicrosoft sta lavorando alla risoluzione del problema e fornirà un aggiornamento in una delle prossime versioni.

Dopo l'installazione degli aggiornamenti rilasciati dopo l'8 novembre 2022 incluso nei controller di dominio, tutti i dispositivi devono supportare la firma del ticket AES in base alle esigenze per essere conformi alla protezione avanzata necessaria per CVE-2022-37967.

Passaggi successivi Se stai già eseguendo il software e il firmware più aggiornato per i tuoi dispositivi non Windows e hai verificato che sia disponibile un tipo di crittografia comune tra i controller di dominio Windows e i dispositivi non Windows, dovrai contattare il produttore del dispositivo (OEM) per assistenza o sostituire i dispositivi con quelli conformi. 

IMPORTANTE Non è consigliabile usare una soluzione alternativa per consentire l'autenticazione dei dispositivi non conformi, perché ciò potrebbe rendere l'ambiente vulnerabile.

Le versioni non supportate di Windows includono Windows XP, Windows Server 2003, Windows Server 2008 SP2 e Windows Server 2008 R2 SP1 non sono accessibili dai dispositivi Windows aggiornati a meno che non si disponga di una licenza dell'aggiornamento della sicurezza estesa. Se hai una licenza per gli aggiornamenti della sicurezza estesa, dovrai installare gli aggiornamenti rilasciati dopo l'8 novembre 2022 o successivamente e verificare che la configurazione abbia un tipo di crittografia comune disponibile tra tutti i dispositivi.

Passaggi successivi Installa gli aggiornamenti, se disponibili per la tua versione di Windows e hai la licenza dell'aggiornamento della sicurezza estesa applicabile. Se gli aggiornamenti non sono disponibili, dovrai eseguire l'aggiornamento a una versione supportata di Windows o spostare qualsiasi applicazione o servizio in un dispositivo conforme.

IMPORTANTE Non è consigliabile usare una soluzione alternativa per consentire l'autenticazione dei dispositivi non conformi, perché ciò potrebbe rendere l'ambiente vulnerabile.

Questo problema noto è stato risolto negli aggiornamenti fuori banda rilasciati il 17 novembre 2022 e il 18 novembre 2022 per l'installazione in tutti i controller di dominio nell'ambiente. Non è necessario installare alcun aggiornamento o apportare modifiche ad altri server o dispositivi client nell'ambiente per risolvere il problema. Se hai usato soluzioni alternative o misure di prevenzione per questo problema, non sono più necessarie ed è consigliabile rimuoverle.

Per scaricare il pacchetto autonomo per questi aggiornamenti fuori banda, cerca il numero della Knowledge Base in Microsoft Update Catalog. Puoi importare manualmente questi aggiornamenti in Windows Server Update Services (WSUS) e Microsoft Endpoint Configuration Manager. Per istruzioni su WSUS, vedi WSUS e sito catalogo. Per istruzioni su Configuration Manager, vedi Importare gli aggiornamenti da Microsoft Update Catalog

Nota Gli aggiornamenti seguenti non sono disponibili da Windows Update e non verranno installati automaticamente.

Aggiornamenti cumulativi:

Nota Non è necessario applicare alcun aggiornamento precedente prima di installare questi aggiornamenti cumulativi. Se sono già stati installati aggiornamenti rilasciati l'8 novembre 2022, non è necessario disinstallare gli aggiornamenti interessati prima di installare gli aggiornamenti successivi, inclusi quelli elencati sopra.

Aggiornamenti autonomo:

Note 

  • Se usi gli aggiornamenti solo della sicurezza per queste versioni di Windows Server, devi installare questi aggiornamenti autonomi solo per il mese di novembre 2022. Gli aggiornamenti solo della sicurezza non sono cumulativi e dovrai anche installare tutti gli aggiornamenti precedenti solo della sicurezza per essere completamente aggiornato. Gli aggiornamenti cumulativi mensili sono cumulativi e includono gli aggiornamenti qualitativi e della sicurezza.

  • Se si usano gli aggiornamenti cumulativi mensili, sarà necessario installare entrambi gli aggiornamenti autonomi elencati sopra per risolvere il problema e installare gli aggiornamenti cumulativi mensili rilasciati l'8 novembre 2022 per ricevere gli aggiornamenti qualitativi per novembre 2022. Se sono già stati installati aggiornamenti rilasciati l'8 novembre 2022, non è necessario disinstallare gli aggiornamenti interessati prima di installare gli aggiornamenti successivi, inclusi quelli elencati sopra.

Se la configurazione dell'ambiente è stata verificata e si verificano ancora problemi con qualsiasi implementazione non Microsoft di Kerberos, saranno necessari aggiornamenti o supporto da parte dello sviluppatore o del produttore dell'app o del dispositivo.

Questo problema noto può essere attenuato eseguendo una delle operazioni seguenti:

  • Impostare msds-SupportedEncryptionTypes con bit per bit o impostarlo sulla 0x27 predefinita corrente per mantenere il valore corrente. Ad esempio:

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Impostare msds-SupportEncryptionTypes su 0 per consentire ai controller di dominio di usare il valore predefinito di 0x27.

Passaggi successiviMicrosoft sta lavorando alla risoluzione del problema e fornirà un aggiornamento in una delle prossime versioni.

Glossario

Advanced Encryption Standard (AES) è una crittografia a blocchi che sostituisce il DES (Data Encryption Standard). AES può essere utilizzato per proteggere i dati elettronici. L'algoritmo AES può essere usato per crittografare (decifrare) e decrittografare (decifrare) le informazioni. La crittografia converte i dati in una forma nontelligibile denominata testo crittografato; decrittografando il testo crittografato, i dati vengono convertiti nuovamente nella forma originale, denominata testo normale. AES viene usato nella crittografia a chiave simmetrica, ovvero la stessa chiave viene usata per le operazioni di crittografia e decrittografia. È anche un cifrario a blocchi, il che significa che opera su blocchi a dimensione fissa di testo normale e testo crittografato, e richiede che la dimensione del testo in chiaro e del testo crittografato sia un multiplo esatto di questa dimensione di blocco. AES è anche noto come algoritmo di crittografia simmetrica Rijndael [FIPS197].

Kerberos è un protocollo di autenticazione della rete informatica che funziona in base ai "ticket" per consentire ai nodi che comunicano attraverso una rete di dimostrare la propria identità reciproca in modo sicuro.

Servizio Kerberos che implementa i servizi di autenticazione e concessione ticket specificati nel protocollo Kerberos. Il servizio viene eseguito su computer selezionati dall'amministratore dell'area di autenticazione o del dominio; non è presente in tutti i computer della rete. Deve avere accesso a un database di account per l'area di autenticazione che serve. I controller KDC sono integrati nel ruolo di controller di dominio. Si tratta di un servizio di rete che fornisce ticket ai clienti per l'utilizzo nell'autenticazione ai servizi.

RC4-HMAC (RC4) è un algoritmo di crittografia simmetrica di lunghezza chiave variabile. Per ulteriori informazioni, vedere la sezione 17.1 [SCHNEIER].

Chiave simmetrica di breve durata relativamente breve (chiave crittografica negoziata dal client e dal server basata su un segreto condiviso). La durata dei tasti di sessione è limitata dalla sessione a cui è associata. Una chiave di sessione deve essere abbastanza forte da resistere alla crittoanalisi per la durata della sessione.

Un tipo speciale di biglietto che può essere utilizzato per ottenere altri biglietti. Il ticket di concessione ticket (TGT) viene ottenuto dopo l'autenticazione iniziale nel servizio di autenticazione (AS) scambio; successivamente, gli utenti non hanno bisogno di presentare le proprie credenziali, ma possono utilizzare il TGT per ottenere i biglietti successivi.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.