Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Pakeitimų žurnalas 

1 pakeitimas: 2023 m. balandžio 5 d.: Perkelta "Vykdymo pagal numatytuosius parametrus" registro rakto etapas nuo 2023 m. balandžio 11 d. į 2023 m. birželio 13 d. dalyje "Naujinimų laikas adresas CVE-2022-38023".

2 pakeitimas: 2023 m. balandžio 20 d.: Pašalinta netiksli nuoroda į "Domeno valdiklis: leisti pažeidžiamus tinklo registravimo saugius kanalo ryšius" grupės strategijos objektą (GPO) dalyje "Registro rakto parametrai".

3 pakeitimas: 2023 m. birželio 19 d.:

  • Į skyrių "Registro rakto parametrai" įtraukta pastaba "Svarbu".

  • Į skyrių "Windows" įvykiai, susiję su CVE-2022-38023" įtraukėte pastabą.

  • Įtraukti du nauji klausimai ir atsakymai į skyrių "Dažnai užduodami klausimai (DUK)".

Šiame straipsnyje

Suvestinė

2022 m. lapkričio 8 d. ir vėlesniuose "Windows" naujinimuose pašalinti tinklo registravimo protokolo trūkumai, kai vietoj RPC uždarymo naudojamas RPC pasirašymas. Daugiau informacijos galima rasti CVE-2022-38023 .

Tinklo registravimo nuotolinio protokolo nuotolinės procedūros iškvietimo (RPC) sąsaja pirmiausia naudojama palaikyti ryšį tarp įrenginio ir jo domeno bei ryšius tarp domeno valdiklių (DC) ir domenų.

Šis naujinimas apsaugo "Windows" įrenginius nuo CVE-2022-38023 pagal numatytuosius parametrus.  Trečiųjų šalių klientams ir trečiųjų šalių domeno valdikliams naujinimas pagal numatytuosius parametrus veikia suderinamumo režimu ir leidžia tokių klientų pažeidžiamus ryšius. Veiksmus, kaip pereiti prie vykdymo režimo, žr. skyriuje Registro rakto parametrai .

Norėdami apsaugoti aplinką, įdiekite "Windows" naujinimą, išleistą 2022 m. lapkričio 8 d. arba naujesnį "Windows" naujinimą visuose įrenginiuose, įskaitant domeno valdiklius.

Svarbu Nuo 2023 m. birželio mėn. vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius su reikalavimų neatitinkančiais įrenginiais.  Tuo metu negalėsite išjungti naujinimo, bet galėsite grįžti prie suderinamumo režimo parametro. Suderinamumo režimas bus pašalintas 2023 m. liepos mėn., kaip nurodyta skyriuje "Netlogon" pažeidžiamumo CVE-2022-38023 naujinimų laikas .

Naujinimų laikas adresas CVE-2022-38023

Naujinimai bus išleistos keliais etapais: pradinis naujinimų, išleistų 2022 m. lapkričio 8 d. arba vėliau, etapas ir 2023 m. liepos 11 d. arba vėliau išleistų naujinimų vykdymo etapas.

Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2022 m. lapkričio 8 d., ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. "Windows" naujinimai 2022 m. lapkričio 8 d. arba vėliau išsprendžia CVE-2022-38023 saugos apėjimo pažeidžiamumą įgalinant RPC uždarymą visuose "Windows" klientuose.

Pagal numatytuosius parametrus įrenginiai bus nustatyti suderinamumo režimu. "Windows" domenų valdikliai reikalaus, kad "Netlogon" klientai naudotų RPC antspaudą, jei jie naudoja "Windows" arba veikia kaip domeno valdikliai arba kaip patikimumo paskyros.

"Windows" naujinimai, išleisti 2023 m. balandžio 11 d. arba vėliau, pašalins galimybę išjungti RPC uždarymą nustatant reikšmę 0 dalinio registro rakto RequireSeal .

Dalinis registro raktas RequireSeal bus perkeltas į įgalintą režimą, nebent administratoriai aiškiai sukonfigūruotas veikti suderinamumo režimu. Bus uždraustas visų klientų, įskaitant trečiąsias šalis, pažeidžiamas ryšys. Žr. 1 pakeitimas.

2023 m. liepos 11 d. išleisti "Windows" naujinimai pašalins galimybę nustatyti registro dalinio rakto RequireSeal reikšmę 1. Tai įgalina CVE-2022-38023 vykdymo etapą.

Registro rakto parametrai

Įdiegus 2022 m. lapkričio 8 d. arba vėliau išleistus "Windows" naujinimus, "Windows" domeno valdikliuose galimas šis registro dalinis raktas.

SVARBU Šis naujinimas, taip pat būsimi vykdymo pakeitimai, automatiškai nepridės ir nepašalins registro dalinio rakto "RequireSeal". Šį dalinį registro raktą reikia įtraukti rankiniu būdu, kad jį būtų galima skaityti. Žr. 3 pakeitimas.

Būtinas dalinis raktas

Registro raktas

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Reikšmė

Būtinasis sąsa

Duomenų tipas

REG_DWORD

Duomenys

0 – išjungta

1 – Suderinamumo režimas. "Windows" domeno valdikliai reikalaus, kad "Netlogon" klientai naudotų RPC "Seal", jei jie naudoja "Windows" arba veikia kaip domeno valdikliai arba "Trust" paskyros.

2 – Vykdymo režimas. Visi klientai turi naudoti RPC Seal. Žr. 2 pakeitimas.

Reikia paleisti iš naujo?

Ne

"Windows" įvykiai, susiję su CVE-2022-38023

PASTABA Šie įvykiai turi 1 valandų buferį, kuriame pasikartojantys įvykiai, kuriuose yra ta pati informacija, šio buferio metu pašalinami.

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

TINKLO REGISTRAVIMO

Įvykio ID

5838

Įvykio tekstas

Tinklo registravimo tarnyba susidūrė su klientu naudodamas RPC pasirašymą vietoj RPC uždarymo.

Jei įvykių žurnaluose pastebėsite šį klaidos pranešimą, turite atlikti šiuos veiksmus, kad išspręstumėte sistemos klaidą:

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

TINKLO REGISTRAVIMO

Įvykio ID

5839

Įvykio tekstas

Tinklo registravimo tarnyba susidūrė su pasitikėjimu naudodama RPC pasirašymą, o ne RPC uždarymą.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

TINKLO REGISTRAVIMO

Įvykio ID

5840

Įvykio tekstas

Tinklo registravimo tarnyba sukūrė saugų kanalą su klientu su RC4.

Jei pastebėsite įvykį 5840, tai yra ženklas, kad jūsų domeno klientas naudoja silpną kriptografiją.

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

TINKLO REGISTRAVIMO

Įvykio ID

5841

Įvykio tekstas

Tinklo registravimo tarnyba atmetė klientą, naudojantį RC4 dėl parametro "RejectMd5Clients".

Jei pastebėsite įvykį 5841, tai yra ženklas, kad RejectMD5Clients reikšmė nustatyta kaip TRUE .

" RejectMD5Clients " raktas yra iš anksto esamas tinklo registravimo tarnybos raktas. Daugiau informacijos žr. Abstrakčių duomenų modelio " RejectMD5Clients " aprašas.

Dažnai užduodami klausimai (DUK)

Ši CVE paveiks visus prijungtus domenus, kompiuterio paskyras. Įvykiai parodys, kam ši problema labiausiai paveikta įdiegus 2022 m. lapkričio 8 d. arba naujesnius "Windows" naujinimus, peržiūrėkite skyrių Įvykių žurnalo klaidos , kad išspręstumėte problemas.

Kad būtų lengviau aptikti senesnius klientus, kurie nenaudoja stipriausios galimos šifravimo funkcijos, šis naujinimas pristato įvykių žurnalus klientams, kurie naudoja RC4.

RPC pasirašymas yra, kai tinklo registravimo protokolas naudoja RPC pasirašyti pranešimus, kuriuos siunčia laidu. RPC užsandarinimas yra tada, kai tinklo registravimo protokolas pasirašo ir užšifruoja pranešimus, kuriuos siunčia laidu.

"Windows" domeno valdiklis nustato, ar tinklo registravimo klientas naudoja "Windows" užklausdamas "OperatingSystem" atributą "Active Directory", skirtą tinklo registravimo klientui, ir tikrindamas, ar yra šios eilutės:

  • "Windows", "Hyper-V Server" ir "Azure Stack HCI"

Nerekomenduojame ir nepalaikome šio atributo pakeitimo "Netlogon" klientais arba domeno administratoriais į reikšmę, kuri nėra tipiška operacinei sistemai (OS), kurią naudoja "Netlogon" klientas. Turėtumėte žinoti, kad galime bet kada pakeisti ieškos kriterijus. Žr. 3 pakeitimas.

Vykdymo etapas neatmes "Netlogon" klientų pagal klientų naudojamo šifravimo tipą. Jis atmes "Netlogon" klientus tik tuo atveju, jei jie pasirašys RPC vietoj RPC uždarymo. RC4 tinklo registravimo klientų atmetimas pagrįstas "RejectMd5Clients" registro raktu, pasiekiamu "Windows Server 2008 R2" ir naujesnėms "Windows" domeno valdikliams. Šio naujinimo vykdymo etapas nekeičia reikšmės "RejectMd5Clients". Rekomenduojame klientams įgalinti reikšmę "RejectMd5Clients", kad būtų didesnė domenų sauga. Žr. 3 pakeitimas.

Žodynėlis

Išplėstinis šifravimo standartas (AES) yra bloko šifravimo standartas, pakeičiantis Duomenų šifravimo standartą (DES). AES gali būti naudojama elektroniniams duomenims apsaugoti. AES algoritmas gali būti naudojamas šifruoti (užšifruoti) ir iššifruoti (iššifruoti) informaciją. Šifravimas konvertuoja duomenis į neįskaitomą formą, vadinamą šifravimo tekstu; šifro tekstas iššifruoja duomenis atgal į pradinę formą, vadinamą paprastuoju tekstu. AES naudojamas simetrinio rakto kriptografijai, tai reiškia, kad tas pats raktas naudojamas šifravimo ir iššifravimo operacijoms atlikti. Tai taip pat yra bloko šifras, tai reiškia, kad jis veikia fiksuoto dydžio paprastojo teksto ir šifroteksto blokuose ir reikalauja, kad paprastojo teksto bei šifro tekstas būtų tikslus šio bloko dydžio kartotinis. AES taip pat žinomas kaip Rijndael simetrinio šifravimo algoritmas [FIPS197] .

"Windows NT" operacinės sistemos suderinamoje tinklo saugos aplinkoje komponentas, atsakingas už sinchronizavimo ir priežiūros funkcijas tarp pirminio domeno valdiklio (PDC) ir atsarginės kopijos domeno valdiklių (BDC). Tinklo registravimo tarnyba yra katalogų replikavimo serverio (DRS) protokolo pirmtakas. Tinklo registravimo nuotolinio protokolo nuotolinės procedūros iškvietimo (RPC) sąsaja pirmiausia naudojama palaikyti ryšį tarp įrenginio ir jo domeno bei ryšius tarp domeno valdiklių (DC) ir domenų. Daugiau informacijos žr. "Netlogon" nuotolinis protokolas.

RC4-HMAC (RC4) yra kintamojo rakto ilgio simetrinis šifravimo algoritmas. Daugiau informacijos žr. [SCHNEIER] 17.1 skyriuje.

Autentifikuotas nuotolinės procedūros iškvietimas (RPC) ryšys tarp dviejų domeno kompiuterių su sukurtu saugos kontekstu , naudojamu RPC paketams pasirašyti ir šifruoti.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.