Pakeitimų žurnalas
1 pakeitimas: 2023 m. balandžio 5 d.: Perkelta "Vykdymo pagal numatytuosius parametrus" registro rakto etapas nuo 2023 m. balandžio 11 d. į 2023 m. birželio 13 d. dalyje "Naujinimų laikas adresas CVE-2022-38023". 2 pakeitimas: 2023 m. balandžio 20 d.: Pašalinta netiksli nuoroda į "Domeno valdiklis: leisti pažeidžiamus tinklo registravimo saugius kanalo ryšius" grupės strategijos objektą (GPO) dalyje "Registro rakto parametrai". 3 pakeitimas: 2023 m. birželio 19 d.:
|
Šiame straipsnyje
Suvestinė
2022 m. lapkričio 8 d. ir vėlesniuose "Windows" naujinimuose pašalinti tinklo registravimo protokolo trūkumai, kai vietoj RPC uždarymo naudojamas RPC pasirašymas. Daugiau informacijos galima rasti CVE-2022-38023 .
Tinklo registravimo nuotolinio protokolo nuotolinės procedūros iškvietimo (RPC) sąsaja pirmiausia naudojama palaikyti ryšį tarp įrenginio ir jo domeno bei ryšius tarp domeno valdiklių (DC) ir domenų.
Šis naujinimas apsaugo "Windows" įrenginius nuo CVE-2022-38023 pagal numatytuosius parametrus. Trečiųjų šalių klientams ir trečiųjų šalių domeno valdikliams naujinimas pagal numatytuosius parametrus veikia suderinamumo režimu ir leidžia tokių klientų pažeidžiamus ryšius. Veiksmus, kaip pereiti prie vykdymo režimo, žr. skyriuje Registro rakto parametrai .
Norėdami apsaugoti aplinką, įdiekite "Windows" naujinimą, išleistą 2022 m. lapkričio 8 d. arba naujesnį "Windows" naujinimą visuose įrenginiuose, įskaitant domeno valdiklius.
Svarbu Nuo 2023 m. birželio mėn. vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius su reikalavimų neatitinkančiais įrenginiais. Tuo metu negalėsite išjungti naujinimo, bet galėsite grįžti prie suderinamumo režimo parametro. Suderinamumo režimas bus pašalintas 2023 m. liepos mėn., kaip nurodyta skyriuje "Netlogon" pažeidžiamumo CVE-2022-38023 naujinimų laikas .
Naujinimų laikas adresas CVE-2022-38023
Naujinimai bus išleistos keliais etapais: pradinis naujinimų, išleistų 2022 m. lapkričio 8 d. arba vėliau, etapas ir 2023 m. liepos 11 d. arba vėliau išleistų naujinimų vykdymo etapas.
Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2022 m. lapkričio 8 d., ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. "Windows" naujinimai 2022 m. lapkričio 8 d. arba vėliau išsprendžia CVE-2022-38023 saugos apėjimo pažeidžiamumą įgalinant RPC uždarymą visuose "Windows" klientuose.
Pagal numatytuosius parametrus įrenginiai bus nustatyti suderinamumo režimu. "Windows" domenų valdikliai reikalaus, kad "Netlogon" klientai naudotų RPC antspaudą, jei jie naudoja "Windows" arba veikia kaip domeno valdikliai arba kaip patikimumo paskyros.
"Windows" naujinimai, išleisti 2023 m. balandžio 11 d. arba vėliau, pašalins galimybę išjungti RPC uždarymą nustatant reikšmę 0 dalinio registro rakto RequireSeal .
Dalinis registro raktas RequireSeal bus perkeltas į įgalintą režimą, nebent administratoriai aiškiai sukonfigūruotas veikti suderinamumo režimu. Bus uždraustas visų klientų, įskaitant trečiąsias šalis, pažeidžiamas ryšys. Žr. 1 pakeitimas.
2023 m. liepos 11 d. išleisti "Windows" naujinimai pašalins galimybę nustatyti registro dalinio rakto RequireSeal reikšmę 1. Tai įgalina CVE-2022-38023 vykdymo etapą.
Registro rakto parametrai
Įdiegus 2022 m. lapkričio 8 d. arba vėliau išleistus "Windows" naujinimus, "Windows" domeno valdikliuose galimas šis registro dalinis raktas.
SVARBU Šis naujinimas, taip pat būsimi vykdymo pakeitimai, automatiškai nepridės ir nepašalins registro dalinio rakto "RequireSeal". Šį dalinį registro raktą reikia įtraukti rankiniu būdu, kad jį būtų galima skaityti. Žr. 3 pakeitimas.
Būtinas dalinis raktas
Registro raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Reikšmė |
Būtinasis sąsa |
Duomenų tipas |
REG_DWORD |
Duomenys |
0 – išjungta 1 – Suderinamumo režimas. "Windows" domeno valdikliai reikalaus, kad "Netlogon" klientai naudotų RPC "Seal", jei jie naudoja "Windows" arba veikia kaip domeno valdikliai arba "Trust" paskyros. 2 – Vykdymo režimas. Visi klientai turi naudoti RPC Seal. Žr. 2 pakeitimas. |
Reikia paleisti iš naujo? |
Ne |
"Windows" įvykiai, susiję su CVE-2022-38023
PASTABA Šie įvykiai turi 1 valandų buferį, kuriame pasikartojantys įvykiai, kuriuose yra ta pati informacija, šio buferio metu pašalinami.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Klaida |
Įvykio šaltinis |
TINKLO REGISTRAVIMO |
Įvykio ID |
5838 |
Įvykio tekstas |
Tinklo registravimo tarnyba susidūrė su klientu naudodamas RPC pasirašymą vietoj RPC uždarymo. |
Jei įvykių žurnaluose pastebėsite šį klaidos pranešimą, turite atlikti šiuos veiksmus, kad išspręstumėte sistemos klaidą:
-
Įsitikinkite, kad įrenginyje veikia palaikoma "Windows" versija.
-
Patikrinkite, ar visi įrenginiai yra atnaujinti.
-
Įsitikinkite, kad domeno narys: domeno narys Skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenis (visada) nustatyta kaip Įgalinta .
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Klaida |
Įvykio šaltinis |
TINKLO REGISTRAVIMO |
Įvykio ID |
5839 |
Įvykio tekstas |
Tinklo registravimo tarnyba susidūrė su pasitikėjimu naudodama RPC pasirašymą, o ne RPC uždarymą. |
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Įspėjimas |
Įvykio šaltinis |
TINKLO REGISTRAVIMO |
Įvykio ID |
5840 |
Įvykio tekstas |
Tinklo registravimo tarnyba sukūrė saugų kanalą su klientu su RC4. |
Jei pastebėsite įvykį 5840, tai yra ženklas, kad jūsų domeno klientas naudoja silpną kriptografiją.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Klaida |
Įvykio šaltinis |
TINKLO REGISTRAVIMO |
Įvykio ID |
5841 |
Įvykio tekstas |
Tinklo registravimo tarnyba atmetė klientą, naudojantį RC4 dėl parametro "RejectMd5Clients". |
Jei pastebėsite įvykį 5841, tai yra ženklas, kad RejectMD5Clients reikšmė nustatyta kaip TRUE .
RejectMD5Clients " aprašas.
" RejectMD5Clients " raktas yra iš anksto esamas tinklo registravimo tarnybos raktas. Daugiau informacijos žr. Abstrakčių duomenų modelio "Dažnai užduodami klausimai (DUK)
Ši CVE paveiks visus prijungtus domenus, kompiuterio paskyras. Įvykiai parodys, kam ši problema labiausiai paveikta įdiegus 2022 m. lapkričio 8 d. arba naujesnius "Windows" naujinimus, peržiūrėkite skyrių Įvykių žurnalo klaidos , kad išspręstumėte problemas.
Kad būtų lengviau aptikti senesnius klientus, kurie nenaudoja stipriausios galimos šifravimo funkcijos, šis naujinimas pristato įvykių žurnalus klientams, kurie naudoja RC4.
RPC pasirašymas yra, kai tinklo registravimo protokolas naudoja RPC pasirašyti pranešimus, kuriuos siunčia laidu. RPC užsandarinimas yra tada, kai tinklo registravimo protokolas pasirašo ir užšifruoja pranešimus, kuriuos siunčia laidu.
"Windows" domeno valdiklis nustato, ar tinklo registravimo klientas naudoja "Windows" užklausdamas "OperatingSystem" atributą "Active Directory", skirtą tinklo registravimo klientui, ir tikrindamas, ar yra šios eilutės:
-
"Windows", "Hyper-V Server" ir "Azure Stack HCI"
Nerekomenduojame ir nepalaikome šio atributo pakeitimo "Netlogon" klientais arba domeno administratoriais į reikšmę, kuri nėra tipiška operacinei sistemai (OS), kurią naudoja "Netlogon" klientas. Turėtumėte žinoti, kad galime bet kada pakeisti ieškos kriterijus. Žr. 3 pakeitimas.
Vykdymo etapas neatmes "Netlogon" klientų pagal klientų naudojamo šifravimo tipą. Jis atmes "Netlogon" klientus tik tuo atveju, jei jie pasirašys RPC vietoj RPC uždarymo. RC4 tinklo registravimo klientų atmetimas pagrįstas "RejectMd5Clients" registro raktu, pasiekiamu "Windows Server 2008 R2" ir naujesnėms "Windows" domeno valdikliams. Šio naujinimo vykdymo etapas nekeičia reikšmės "RejectMd5Clients". Rekomenduojame klientams įgalinti reikšmę "RejectMd5Clients", kad būtų didesnė domenų sauga. Žr. 3 pakeitimas.
Žodynėlis
Išplėstinis šifravimo standartas (AES) yra bloko šifravimo standartas, pakeičiantis Duomenų šifravimo standartą (DES). AES gali būti naudojama elektroniniams duomenims apsaugoti. AES algoritmas gali būti naudojamas šifruoti (užšifruoti) ir iššifruoti (iššifruoti) informaciją. Šifravimas konvertuoja duomenis į neįskaitomą formą, vadinamą šifravimo tekstu; šifro tekstas iššifruoja duomenis atgal į pradinę formą, vadinamą paprastuoju tekstu. AES naudojamas simetrinio rakto kriptografijai, tai reiškia, kad tas pats raktas naudojamas šifravimo ir iššifravimo operacijoms atlikti. Tai taip pat yra bloko šifras, tai reiškia, kad jis veikia fiksuoto dydžio paprastojo teksto ir šifroteksto blokuose ir reikalauja, kad paprastojo teksto bei šifro tekstas būtų tikslus šio bloko dydžio kartotinis. AES taip pat žinomas kaip Rijndael simetrinio šifravimo algoritmas [FIPS197] .
"Windows NT" operacinės sistemos suderinamoje tinklo saugos aplinkoje komponentas, atsakingas už sinchronizavimo ir priežiūros funkcijas tarp pirminio domeno valdiklio (PDC) ir atsarginės kopijos domeno valdiklių (BDC). Tinklo registravimo tarnyba yra katalogų replikavimo serverio (DRS) protokolo pirmtakas. Tinklo registravimo nuotolinio protokolo nuotolinės procedūros iškvietimo (RPC) sąsaja pirmiausia naudojama palaikyti ryšį tarp įrenginio ir jo domeno bei ryšius tarp domeno valdiklių (DC) ir domenų. Daugiau informacijos žr. "Netlogon" nuotolinis protokolas.
RC4-HMAC (RC4) yra kintamojo rakto ilgio simetrinis šifravimo algoritmas. Daugiau informacijos žr. [SCHNEIER] 17.1 skyriuje.
Autentifikuotas nuotolinės procedūros iškvietimas (RPC) ryšys tarp dviejų domeno kompiuterių su sukurtu saugos kontekstu , naudojamu RPC paketams pasirašyti ir šifruoti.