Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Endre logg 

Endring 1: 5. april 2023: Flyttet «Håndhevelse som standard»-fasen i registernøkkelen fra 11. april 2023 til 13. juni 2023 i delen «Tidsberegning av oppdateringer for å adressere CVE-2022-38023».

Endring 2: 20. april 2023: Fjernet unøyaktig referanse til gruppepolicyobjektet «Domenekontroller: Tillat sårbare Netlogon-sikre kanaltilkoblinger» i delen Innstillinger for registernøkkel.

Endring 3: 19. juni 2023:

  • La til et Viktig-notat under Registernøkkelinnstillinger.

  • La til et «Notat» i delen «Windows-hendelser relatert til CVE-2022-38023».

  • La til to nye spørsmål og svar på avsnittet Vanlige spørsmål.

I denne artikkelen

Oppsummering

November 8, 2022 og senere Windows-oppdateringer adresserer svakheter i Netlogon-protokollen når RPC-signering brukes i stedet for RPC-forsegling. Du finner mer informasjon i CVE-2022-38023 .

Grensesnittet for ekstern prosedyrekall for Netlogon Remote Protocol (RPC) brukes hovedsakelig til å opprettholde relasjonen mellom en enhet og domenet , og relasjoner mellom domenekontrollere (DCer) og domener.

Denne oppdateringen beskytter Windows-enheter fra CVE-2022-38023 som standard.  For tredjepartsklienter og tredjeparts domenekontrollere er oppdateringen i kompatibilitetsmodus som standard og tillater sårbare tilkoblinger fra slike klienter. Se avsnittet registernøkkelinnstillinger for trinn for å gå til håndhevelsesmodus.

Hvis du vil sikre miljøet, installerer du Windows-oppdateringen som er datert 8. november 2022 eller en senere Windows-oppdatering til alle enheter, inkludert domenekontrollere.

Viktig Fra og med juni 2023 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.  På dette tidspunktet vil du ikke kunne deaktivere oppdateringen, men kan gå tilbake til innstillingen for kompatibilitetsmodus. Kompatibilitetsmodus fjernes i juli 2023, som beskrevet i delen Tidsberegning av oppdateringer for å løse sikkerhetsproblemet i Netlogon CVE-2022-38023 .

Tidsberegning for oppdateringer for å adressere CVE-2022-38023

Oppdateringer vil bli utgitt i flere faser: den første fasen for oppdateringer utgitt på eller etter 8. november 2022 og håndhevelsesfasen for oppdateringer utgitt på eller etter 11. juli 2023.

Den første distribusjonsfasen starter med oppdateringene som ble utgitt 8. november 2022, og fortsetter med senere Windows-oppdateringer frem til håndhevelsesfasen. Windows-oppdateringer på eller etter 8. november 2022 løser sikkerhetsforbikoblingssårbarheten til CVE-2022-38023 ved å håndheve RPC-forsegling på alle Windows-klienter.

Enheter angis som standard i kompatibilitetsmodus. Windows-domenekontrollere krever at Netlogon-klienter bruker RPC-forsegling hvis de kjører Windows, eller hvis de fungerer som enten domenekontrollere eller som klareringskontoer.

Windows-oppdateringene som ble utgitt 11. april 2023, vil fjerne muligheten til å deaktivere RPC-forsegling ved å angi verdi 0 til requireseal-registerundernøkkelen .

Registerundernøkkelen RequireSeal flyttes til fremtvunget modus med mindre administratorer eksplisitt konfigureres til å være under kompatibilitetsmodus. Sårbare tilkoblinger fra alle klienter, inkludert tredjeparter, vil bli nektet godkjenning. Se Endre 1.

Windows-oppdateringene som ble utgitt 11. juli 2023, fjerner muligheten til å sette verdi 1 til requireseal-registerundernøkkelen . Dette muliggjør håndhevelsesfasen av CVE-2022-38023.

Innstillinger for registernøkkel

Etter at Windows-oppdateringene som er datert på eller etter 8. november 2022 er installert, er følgende registerundernøkkel tilgjengelig for Netlogon-protokollen på Windows-domenekontrollere.

VIKTIG Denne oppdateringen, i tillegg til fremtidige håndhevelsesendringer, legger ikke automatisk til eller fjerner registerundernøkkelen RequireSeal. Registerundernøkkelen må legges til manuelt for at den skal kunne leses. Se Endre 3.

RequireSeal-undernøkkel

Registernøkkel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Verdi

RequireSeal

Datatype

REG_DWORD

Data

0 – Deaktivert

1 – Kompatibilitetsmodus. Windows-domenekontrollere krever at Netlogon-klienter bruker RPC Seal hvis de kjører Windows, eller hvis de fungerer som enten domenekontrollere eller Trust-kontoer.

2 – Håndhevelsesmodus. Alle klienter er pålagt å bruke RPC Seal. Se Endring 2.

Kreves omstart?

Nei

Windows-hendelser relatert til CVE-2022-38023

MERK Følgende hendelser har en buffer på én time der dupliserte hendelser som inneholder samme informasjon, forkastes under denne bufferen.

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

NETLOGON

Hendelses-ID

5838

Hendelsestekst

Netlogon-tjenesten støtte på en klient ved hjelp av RPC-signering i stedet for RPC-forsegling.

Hvis du finner denne feilmeldingen i hendelsesloggene, må du utføre følgende handlinger for å løse systemfeilen:

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

NETLOGON

Hendelses-ID

5839

Hendelsestekst

Netlogon-tjenesten oppdaget en klarering ved hjelp av RPC-signering i stedet for RPC-forsegling.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

NETLOGON

Hendelses-ID

5840

Hendelsestekst

Netlogon-tjenesten opprettet en sikker kanal med en klient med RC4.

Hvis du finner Hendelse 5840, er dette et tegn på at en klient i domenet bruker svak kryptografi.

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

NETLOGON

Hendelses-ID

5841

Hendelsestekst

Netlogon-tjenesten nektet en klient å bruke RC4 på grunn av innstillingen RejectMd5Clients.

Hvis du finner hendelse 5841, er dette et tegn på at RejectMD5Clients-verdien er satt til SANN .

RejectMD5Clients-nøkkelen er en eksisterende nøkkel i Netlogon-tjenesten. Hvis du vil ha mer informasjon, kan du se rejectMD5Clients-beskrivelsen av den abstrakte datamodellen.

Vanlige spørsmål

Alle domenetilføyde maskinkontoer påvirkes av denne CVE-en. Hendelser viser hvem som påvirkes mest av dette problemet etter at Windows-oppdateringene er installert 8. november 2022 eller senere. Se gjennom feildelen for hendelsesloggen for å løse problemene.

Denne oppdateringen introduserer hendelseslogger for klienter som bruker RC4 for å oppdage eldre klienter som ikke bruker den sterkeste tilgjengelige krypteringen.

RPC-signering er når Netlogon-protokollen bruker RPC til å signere meldingene den sender over ledningen. RPC-forsegling er når Netlogon-protokollen både signerer og krypterer meldingene den sender over ledningen.

Windows Domain Controller bestemmer om en Netlogon-klient kjører Windows ved å spørre OperatingSystem-attributtet i Active Directory for Netlogon-klienten og se etter følgende strenger:

  • «Windows», «Hyper-V Server» og «Azure Stack HCI»

Vi anbefaler ikke eller støtter ikke at dette attributtet endres av Netlogon-klienter eller domeneadministratorer til en verdi som ikke er representativ for operativsystemet (OS) som Netlogon-klienten kjører. Du bør være oppmerksom på at vi kan endre søkekriteriene når som helst. Se Endre 3.

Håndhevelsesfasen avviser ikke Netlogon-klienter basert på krypteringstypen klientene bruker. Det vil bare avvise Netlogon-klienter hvis de gjør RPC-signering i stedet for RPC Sealing. Avvisning av RC4 Netlogon-klienter er basert på "RejectMd5Clients"-registernøkkelen som er tilgjengelig for Windows Server 2008 R2 og senere Windows Domain Controllers. Håndhevelsesfasen for denne oppdateringen endrer ikke rejectMd5Clients-verdien. Vi anbefaler at kunder aktiverer «RejectMd5Clients»-verdien for høyere sikkerhet i domenene sine. Se Endre 3.

Ordliste

Advanced Encryption Standard (AES) er en blokksitør som erstatter Data Encryption Standard (DES). AES kan brukes til å beskytte elektroniske data. AES-algoritmen kan brukes til å kryptere (encipher) og dekryptere (dechiffrere) informasjon. Kryptering konverterer data til et uforståelig skjema kalt ciphertext. Dekryptering av chiffrering konverterer dataene tilbake til sin opprinnelige form, kalt ren tekst. AES brukes i kryptografi med symmetrisk nøkkel, noe som betyr at den samme nøkkelen brukes for krypterings- og dekrypteringsoperasjonene. Det er også en blokksitaffer, noe som betyr at den opererer på blokker med fast størrelse av ren tekst og chiffrering, og krever at størrelsen på ren tekst samt chifferteksten er et nøyaktig multiplum av denne blokkstørrelsen. AES er også kjent som Rijndael symmetrisk krypteringsalgoritme [FIPS197] .

I et Windows NT operativsystemkompatibelt nettverkssikkerhetsmiljø, komponenten som er ansvarlig for synkroniserings- og vedlikeholdsfunksjoner mellom en primær domenekontroller (PDC) og kontrollører for sikkerhetskopiering av domener (BDC). Netlogon er en forløper til DRS-protokollen (Directory Replication Server). Grensesnittet for ekstern prosedyrekall for Netlogon Remote Protocol (RPC) brukes hovedsakelig til å opprettholde relasjonen mellom en enhet og domenet , og relasjoner mellom domenekontrollere (DCer) og domener. Hvis du vil ha mer informasjon, kan du se Netlogon Remote Protocol.

RC4-HMAC (RC4) er en variabel symmetrisk krypteringsalgoritme med nøkkellengde. Hvis du vil ha mer informasjon, kan du se [SCHNEIER] del 17.1.

En godkjent ekstern prosedyrekalltilkobling (RPC) mellom to maskiner i et domene med en etablert sikkerhetskontekst som brukes til å signere og kryptere RPC-pakker .

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders