Atjaunināts
2023. gada 10. aprīlis: sadaļā "Atjauninājumu hronometrāža adresei CVE-2022-37967" ir atjaunināts "Trešais izvietošanas posms" no 2023. gada 11. aprīļa līdz 2023. gada 13. jūnijam.
Šajā rakstā
Kopsavilkums
2022. gada 8. novembrī Windows atjauninājumi novērš drošības apiešanu un privilēģiju ievainojamību pacēlumu, izmantojot privilege attribute certificate (PAC) parakstus. Šajā drošības atjauninājumā ir novērsta Kerberos ievainojamība, kur uzbrukums var digitāli mainīt PAC parakstus, paaugstināt viņu privilēģijas.
Lai palīdzētu aizsargāt savu vidi, instalējiet šo Windows atjauninājumu visās ierīcēs, tostarp Windows domēna kontrolleros. Pirms atjauninājuma pārslēgšanas uz ieviesto režīmu visi domēna kontrolleri jūsu domēnā ir jāatjaunina.
Lai uzzinātu vairāk par šo ievainojamību, skatiet CVE-2022-37967.
Rīcība
Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām veikt tālāk norādītās darbības.
-
ATJAUNINIET savu Windows domēnu kontrollerus, izmantojot Windows atjauninājumu, kas izlaists 2022. gada 8. novembrī vai pēc tam.
-
Pārvietojiet Windows domēna kontrollerus uz audita režīmu, izmantojot reģistra atslēgas iestatījumu sadaļu.
-
AUDITa režīmā fiksēto notikumu PĀRRAUDZĪBA, lai aizsargātu savu vidi.
-
ENABLEIeviešanas režīms, lai CVE-2022-37967 novērstu problēmas jūsu vidē.
Piezīme 2022. gada 8. novembrī izlaisto atjauninājumu instalēšanas 1. darbība NEadresēs uz drošības problēmām CVE-2022-37967 Windows ierīcēm pēc noklusējuma. Lai pilnībā mazinātu drošības problēmu visām ierīcēm, pārejiet uz audita režīmu (aprakstīts 2. darbībā), kam seko ieviestais režīms (aprakstīts 4. darbībā), cik drīz vien iespējams visās Windows domēna kontrolleros.
Svarīgi Sākot ar 2023. gada jūliju, ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm. Tad nevarēsit atspējot atjauninājumu, bet varat pāriet atpakaļ uz audita režīma iestatījumu. 2023. gada oktobrī audita režīms tiks noņemts, kā norādīts sadaļā Atjauninājumu hronometrāža, lai novērstu Kerberos ievainojamību CVE-2022-37967 .
Atjauninājumu hronometrāža adresēm CVE-2022-37967
Atjauninājumi tiks izlaists fāzēs: sākotnējā posmā atjauninājumiem, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un ieviešanas fāze atjauninājumiem, kas izlaisti 2023. gada 13. jūnijā vai pēc tam.
Sākotnējais izvietošanas posms sākas ar 2022. gada 8. novembrī izlaistajiem atjauninājumiem un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei. Šis atjauninājums pievieno parakstus Kerberos PAC buferim, bet autentifikācijas laikā nepārbauda parakstus. Tādējādi drošais režīms ir atspējots pēc noklusējuma.
Šis atjauninājums:
-
Pievieno PAC parakstus Kerberos PAC buferim.
-
Pievieno pasākumus, lai novērstu drošības apiešanas ievainojamību Kerberos protokols.
Otrais izvietošanas posms sākas ar atjauninājumiem, kas izlaisti 2022. gada 13. decembrī. Šie un vēlākie atjauninājumi veic izmaiņas Kerberos protokols, lai auditētu Windows ierīces, pārvietojot Windows domēna kontrollerus uz audita režīmu.
Ar šo atjauninājumu visas ierīces pēc noklusējuma būs auditēšanas režīmā:
-
Ja paraksta trūkst vai tas nav derīgs, autentifikācija ir atļauta. Turklāt tiks izveidots audita žurnāls.
-
Ja trūkst paraksta, paceliet notikumu un atļaujiet autentifikāciju.
-
Ja paraksts ir derīgs, validējiet to. Ja paraksts nav pareizs, paceliet notikumu un atļaujiet autentifikāciju.
Windows atjauninājumi, kas izlaisti 2023. gada 13. jūnijā vai pēc tam, darbosies šādi:
-
Noņemiet iespēju atspējot PAC paraksta papildinājumu, iestatot apakšatslēgu KrbtgtFullPacSignature uz vērtību 0.
Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā vai pēc tam, darbosies šādi:
-
Noņem iespēju apakšatslēgai KrbtgtFullPacSignature iestatīt vērtību1.
-
Pārvieto atjauninājumu uz ieviešanas režīmu (noklusējums) (KrbtgtFullPacSignature = 3), ko administrators var ignorēt ar tiešu audita iestatījumu.
Windows atjauninājumi, kas izlaisti 2023. gada 10. oktobrī vai pēc tam, darbosies šādi:
-
Noņem atbalstu reģistra apakšatslēgai KrbtgtFullPacSignature.
-
Noņem atbalstu audita režīmam.
-
Visas pakalpojumu biļetes bez jaunajiem PAC parakstiem tiks liegta autentifikācija.
Izvietošanas vadlīnijas
Lai izvietotu Windows atjauninājumus, kas ir ar 2022. gada 8. novembra vai jaunāku Windows atjauninājumu, veiciet tālāk norādītās darbības.
-
ATJAUNINIET savu Windows domēna kontrolleru ar atjauninājumu, kas izlaists 2022. gada 8. novembrī vai pēc tam.
-
Pārvietojiet domēna kontrollerus uz audita režīmu, izmantojot reģistra atslēgas iestatījumu sadaļu.
-
AUDITa režīmā ierakstītu notikumu PĀRRAUDZĪBA, lai palīdzētu aizsargāt savu vidi.
-
ENABLE Ieviešanas režīms, lai CVE-2022-37967 novērstu problēmas jūsu vidē.
1. DARBĪBA. ATJAUNINĀŠANA
Izvietojiet 2022. gada 8. novembra vai jaunākas versijas atjauninājumus visiem piemērojamiem Windows domēnu kontrolleriem (DC). Pēc atjauninājuma izvietošanas Windows domēna kontrolleriem, kas ir atjaunināti, būs paraksti, kas pievienoti Kerberos PAC buferim, un tie pēc noklusējuma būs nedroši (PAC paraksts nav validēts).
-
Veicot atjaunināšanu, nodrošiniet, lai reģistra vērtība KrbtgtFullPacSignature būtu noklusējuma stāvoklī, līdz tiek atjauninātas visas Windows domēna kontrolleri.
2. DARBĪBA. PĀRVIETOŠANA
Kad Windows domēna kontrolleri ir atjaunināti, pārslēdzieties uz audita režīmu, mainot vērtību KrbtgtFullPacSignature uz 2.
3. DARBĪBA. ATRAŠANA/PĀRRAUDZĪBA
Norādiet apgabalus, kuros trūkst PAC parakstu vai kuriem ir PAC paraksti, kas neizdosies validēt, izmantojot notikumu žurnālus, kas aktivizēti audita režīmā.
-
Pirms pārejat uz ieviešanas režīmu, pārliecinieties , vai domēna funkcionalitātes līmenis ir iestatīts uz vismaz 2008 vai lielāku. Pāreja uz ieviešanas režīmu ar domēniem 2003. gada domēna darbības līmenī var izraisīt autentifikācijas kļūmes.
-
Audita notikumi tiks parādīti, ja jūsu domēns nav pilnībā atjaunināts vai ja jūsu domēnā joprojām pastāv neapmaksātās iepriekš izdotās pakalpojumu biļetes.
-
Turpiniet pārraudzīt papildu notikumu žurnālus, kas norāda trūkstošus PAC parakstus vai esošo PAC parakstu validācijas kļūmes.
-
Pēc visa domēna atjaunināšanas un visu neapmaksāto biļešu derīguma beigām audita notikumiem vairs nevajadzētu parādīties. Pēc tam varat pāriet uz ieviešanas režīmu bez kļūmēm.
4. DARBĪBA. IESPĒJOŠANA
Iespējojiet ieviešanas režīmu, lai jūsu vidē adresē CVE-2022-37967.
-
Kad visi audita notikumi ir atrisināti un vairs nav redzami, pārvietojiet savus domēnus uz ieviešanas režīmu, atjauninot reģistra vērtību KrbtgtFullPacSignature , kā aprakstīts sadaļā Reģistra atslēgas iestatījumi.
-
Ja pakalpojuma biļetei ir nederīgs PAC paraksts vai tajā trūkst PAC parakstu, validācija neizdosies un tiks reģistrēts kļūdas notikums.
Reģistra atslēgas iestatījumi
Kerberos protokols
Pēc Windows atjauninājumu instalēšanas, kas ir novecojuši 2022. gada 8. novembrī vai pēc tam, Kerberos protokolam ir pieejama šāda reģistra atslēga:
-
KrbtgtFullPacSignature
Šī reģistra atslēga tiek izmantota, lai piekļūtu Kerberos izmaiņu izvietošanai. Šī reģistra atslēga ir pagaidu atslēga, un vairs netiks nolasīta pēc pilnas ieviešanas datuma (2023. gada 10. oktobris).Reģistra atslēga
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Vērtība
KrbtgtFullPacSignature
Datu tips
REG_DWORD
Dati
0 – atspējots
1 . Jauni paraksti tiek pievienoti, bet netiek verificēti. (Noklusējuma iestatījums)
2 - Audita režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas nav derīgs, autentifikācija ir atļauta un tiek izveidoti audita žurnāli.
3 . Ieviešanas režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas nav derīgs, autentifikācija tiek liegta un tiek izveidoti audita žurnāli.
Vai nepieciešama restartēšana?
Nē
Piezīme Ja vēlaties mainīt reģistra vērtību KrbtgtFullPacSignature, manuāli pievienojiet un pēc tam konfigurējiet reģistra atslēgu, lai ignorētu noklusējuma vērtību.
Windows notikumi, kas saistīti ar CVE-2022-37967
Audita režīmā, ja trūkst PAC parakstu vai tie nav derīgi, var tikt atrasta kāda no šīm kļūdām. Ja šī problēma turpina darboties ieviešanas režīmā, šie notikumi tiks reģistrēti kā kļūdas.
Ja atrodat kļūdas ziņojumu savā ierīcē, iespējams, visi jūsu domēna Windows domēna kontrolleri nebūs atjaunināti ar 2022. gada 8. novembri vai jaunāku Windows atjauninājumu. Lai mazinātu problēmas, ir vajadzēs izpētīt savu domēnu papildus Windows domēna kontrolleriem, kas nav atjauninātas.
Piezīme Ja atrodat kļūdas ziņojumu ar notikuma ID 42, skatiet rakstu KB5021131: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37966.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
Microsoft-Windows-Kerberos-key-Distribution-Center |
Notikuma ID |
43 |
Notikuma teksts |
Atslēgu adresātu centrā (KDC) radās biļete, kuru nevarēja validēt pilns PAC paraksts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2210019 skatiet rakstā Papildinformācija. Klients : </>/<nosaukuma> |
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
Microsoft-Windows-Kerberos-key-Distribution-Center |
Notikuma ID |
44 |
Notikuma teksts |
Atslēgu adresātu centrā (KDC) radās biļete, kurā nav iekļauts pilns PAC paraksts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2210019 skatiet rakstā Papildinformācija. Klients : </>/<nosaukuma> |
Trešo pušu ierīces, kas ievieš Kerberos protokolu
Domēni, kuriem ir trešās puses domēna kontrolleri, var redzēt kļūdas ieviešanas režīmā.
Pēc 2022. gada 8. novembra vai jaunākas Windows atjaunināšanas instalēšanas domēnu ar trešo pušu klientiem var būt nepieciešams ilgāks laiks, līdz pilnībā tiks notīrīti audita notikumi.
Sazinieties ar ierīces ražotāju (OEM) vai programmatūras piegādātāju, lai noteiktu, vai programmatūra ir saderīga ar jaunākajām izmaiņām protokolu.
Informāciju par protokola atjauninājumiem skatiet tēmā Windows protokols Microsoft tīmekļa vietnē.
Glosārijs
Kerberos ir datora tīkla autentifikācijas protokols, kura pamatā ir "biļetes", lai nodrošinātu mezgliem, kas sazinās tīklā, lai droši pierādītu savu identitāti.
Kerberos pakalpojums, kas ievieš autentifikācijas un biļešu piešķiršanas pakalpojumus, kas norādīti Kerberos protokols. Pakalpojumu darbojas datoros, kurus atlasījis uzņēmuma administrators vai domēns. tā nav katrā tīkla datorā. Tai jābūt piekļuvei konta datu bāzei, lai iegūtu informāciju par to, kas tiek apkalpota. KDC tiek integrēti domēna kontrollera lomā. Tas ir tīkla pakalpojums, kas nodrošina biļetes klientiem izmantošanai pakalpojumu autentificēšanā.
Privilege Attribute Certificate (PAC) ir struktūra, kas norāda ar autorizāciju saistītu informāciju, ko nodrošina domēna kontrolleri (Privilege Attribute Certificate — DC). Papildinformāciju skatiet rakstā Privilege Attribute Certificate Data Structure.
Īpaša veida biļete, ko var izmantot citu biļešu iegūšanai. Biļešu piešķiršanas biļete (TGT) tiek iegūta pēc sākotnējās autentifikācijas autentifikācijas pakalpojumu (AS) apmaiņas pakalpojumā. pēc tam lietotājiem nav jā prezentē akreditācijas dati, bet viņi var izmantot TGT, lai iegūtu turpmākās biļetes.