Endre logg
Endring 1: 19. juni 2023:
|
I denne artikkelen
Oppsummering
Windows-oppdateringene ble utgitt 8. november 2022 for å løse sikkerhetsforbikobling og opphøyning av sikkerhetsproblemer med godkjenningsforhandlinger ved hjelp av svake RC4-HMAC-forhandlinger.
Denne oppdateringen angir AES som standard krypteringstype for øktnøkler på kontoer som ikke allerede er merket med en standard krypteringstype.
Installer Windows-oppdateringer utgitt på eller etter 8. november 2022 på alle enheter, inkludert domenekontrollere, for å sikre miljøet. Se Endre 1.
Hvis du vil vite mer om disse sikkerhetsproblemene, kan du se CVE-2022-37966.
Oppdage eksplisitt angitte krypteringstyper for øktnøkkel
Du kan ha eksplisitt definerte krypteringstyper på brukerkontoene dine som er sårbare for CVE-2022-37966. Se etter kontoer der DES/RC4 er eksplisitt aktivert, men ikke AES ved hjelp av følgende Active Directory-spørring:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Innstillinger for registernøkkel
Når du har installert Windows-oppdateringene som er datert på eller etter 8. november 2022, er følgende registernøkkel tilgjengelig for Kerberos-protokollen:
DefaultDomainSupportedEncTypes
Registernøkkel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Verdi |
DefaultDomainSupportedEncTypes |
Datatype |
REG_DWORD |
Dataverdi |
0x27 (standard) |
Kreves omstart? |
Nei |
Obs! Hvis du må endre standard støttet krypteringstype for en Active Directory-bruker eller -datamaskin, legger du til manuelt og konfigurerer registernøkkelen til å angi den nye støttede krypteringstypen. Denne oppdateringen legger ikke til registernøkkelen automatisk.
Windows-domenekontrollere bruker denne verdien til å bestemme hvilke krypteringstyper som støttes på kontoer i Active Directory, der verdien msds-SupportedEncryptionType er tom eller ikke angitt. En datamaskin som kjører en støttet versjon av Windows-operativsystemet, angir automatisk msds-SupportedEncryptionTypes for denne maskinkontoen i Active Directory. Dette er basert på den konfigurerte verdien av krypteringstyper som Kerberos-protokollen har tillatelse til å bruke. Hvis du vil ha mer informasjon, kan du se Nettverkssikkerhet: Konfigurere krypteringstyper som er tillatt for Kerberos.
Brukerkontoer, kontoer for gruppeadministrert tjeneste og andre kontoer i Active Directory har ikke angitt verdien msds-SupportedEncryptionTypes automatisk.
Hvis du vil finne støttede krypteringstyper du kan angi manuelt, kan du se støttede krypteringstypebitflagg. Hvis du vil ha mer informasjon, kan du se hva du bør gjøre først for å forberede miljøet og forhindre kerberos-godkjenningsproblemer.
Standardverdien 0x27 (DES, RC4, AES-øktnøkler) ble valgt som den minste endringen som er nødvendig for denne sikkerhetsoppdateringen. Vi anbefaler at kunder angir verdien for å 0x3C for økt sikkerhet, da denne verdien tillater både AES-krypterte billetter og AES-øktnøkler. Hvis kundene har fulgt veiledningen vår for å flytte til et AES-miljø der RC4 ikke brukes for Kerberos-protokollen, anbefaler vi at kunder angir verdien til 0x38. Se Endre 1.
Windows-hendelser relatert til CVE-2022-37966
Kerberos key distribution center mangler sterke nøkler for kontoen
Hendelseslogg |
System |
Hendelsestype |
Feil |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
42 |
Hendelsestekst |
Kerberos Key Distribution Center mangler sterke nøkler for kontoen: kontonavn. Du må oppdatere passordet for denne kontoen for å hindre bruk av usikker kryptografi. Se https://go.microsoft.com/fwlink/?linkid=2210019 for å finne ut mer. |
Hvis du finner denne feilen, må du sannsynligvis tilbakestille krbtgt-passordet før du angir KrbtgtFullPacSingature = 3, eller installere Windows Oppdateringer utgitt 11. juli 2023. Oppdateringen som programmatisk aktiverer håndhevelsesmodus for CVE-2022-37967, er dokumentert i følgende artikkel i Microsoft Knowledge Base:
KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967
Hvis du vil ha mer informasjon om hvordan du gjør dette, kan du seNew-KrbtgtKeys.ps1 emnet på GitHub-nettstedet.
Vanlige spørsmål og kjente problemer
Kontoer som er flagget for eksplisitt RC4-bruk, er sårbare. I tillegg kan miljøer som ikke har AES-øktnøkler i krbgt-kontoen, være sårbare. Hvis du vil redusere dette problemet, følger du veiledningen for hvordan du identifiserer sikkerhetsproblemer og bruker innstillingsdelen for registernøkkel til å oppdatere eksplisitt angi krypteringsstandarder.
Du må bekrefte at alle enhetene dine har en felles Kerberos-krypteringstype. Hvis du vil ha mer informasjon om Kerberos-krypteringstyper, kan du se Dekryptere valg av støttede Kerberos-krypteringstyper.
Miljøer uten en felles Kerberos-krypteringstype kan tidligere ha vært funksjonelle på grunn av automatisk tillegging av RC4 eller ved tillegg av AES, hvis RC4 ble deaktivert gjennom gruppepolicy av domenekontrollere. Denne virkemåten er endret med oppdateringene utgitt 8. november 2022, og vil nå følge det som er angitt i registernøklene, msds-SupportedEncryptionTypes og DefaultDomainSupportedEncTypes.
Hvis kontoen ikke har angitt msds-SupportedEncryptionTypes , eller den er satt til 0, antar domenekontrollere at en standardverdi på 0x27 (39) eller domenekontrolleren bruker innstillingen i registernøkkelen DefaultDomainSupportedEncTypes.
Hvis kontoen har msds-SupportedEncryptionTypes angitt, blir denne innstillingen innfridd og kan vise at en feil har konfigurert en felles Kerberos-krypteringstype maskert av den forrige virkemåten for automatisk å legge til RC4 eller AES, som ikke lenger er virkemåten etter installasjon av oppdateringer utgitt på eller etter 8. november 2022.
Hvis du vil ha informasjon om hvordan du bekrefter at du har en felles Kerberos-krypteringstype, kan du se spørsmålet Hvordan kan jeg bekrefte at alle enhetene mine har en felles Kerberos-krypteringstype?
Se det forrige spørsmålet hvis du vil ha mer informasjon om hvorfor enhetene kanskje ikke har en felles Kerberos-krypteringstype etter installasjon av oppdateringer utgitt 8. november 2022.
Hvis du allerede har installert oppdateringer utgitt på eller etter 8. november 2022, kan du oppdage enheter som ikke har en felles Kerberos-krypteringstype ved å se i hendelsesloggen for Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, som identifiserer usammenhengende krypteringstyper mellom Kerberos-klienter og eksterne servere eller tjenester.
Installasjon av oppdateringer utgitt på eller etter 8. november 2022 på klienter eller ikke-domenekontrollerrolleservere bør ikke påvirke Kerberos-godkjenning i miljøet ditt.
Hvis du vil løse dette kjente problemet, åpner du et ledetekstvindu som administrator og bruker midlertidig følgende kommando til å sette registernøkkelen KrbtgtFullPacSignature til 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Obs! Når dette kjente problemet er løst, bør du angi en høyere innstilling for KrbtgtFullPacSignature , avhengig av hva miljøet tillater. Vi anbefaler at håndhevelsesmodus er aktivert så snart miljøet er klart.
Neste trinnVi jobber med å finne en løsning, og vi kommer med en oppdatering i en kommende utgivelse.
Etter å ha installert oppdateringer utgitt på eller etter 8. november 2022 på domenekontrollerne, må alle enheter støtte AES-billettsignering etter behov for å være kompatibel med sikkerhetsherdingen som kreves for CVE-2022-37967.
Neste trinn Hvis du allerede kjører den mest oppdaterte programvaren og fastvaren for ikke-Windows-enheter og har bekreftet at det finnes en felles krypteringstype som er tilgjengelig mellom Windows-domenekontrollerne og ikke-Windows-enhetene dine, må du kontakte enhetsprodusenten (OEM) for å få hjelp eller erstatte enhetene med de som er kompatible.
VIKTIG Vi anbefaler ikke å bruke en løsning for å tillate at ikke-kompatible enheter kan godkjennes, da dette kan gjøre miljøet ditt sårbart.
Versjoner av Windows som ikke støttes, omfatter Windows XP, Windows Server 2003, Windows Server 2008 SP2 og Windows Server 2008 R2 SP1, som ikke kan åpnes av oppdaterte Windows-enheter med mindre du har en ESU-lisens. Hvis du har en ESU-lisens, må du installere oppdateringer utgitt 8. november 2022 og bekrefte at konfigurasjonen har en felles krypteringstype tilgjengelig mellom alle enheter.
Neste trinn Installer oppdateringer hvis de er tilgjengelige for din versjon av Windows, og du har den gjeldende ESU-lisensen. Hvis oppdateringer ikke er tilgjengelige, må du oppgradere til en støttet versjon av Windows eller flytte et program eller en tjeneste til en kompatibel enhet.
VIKTIG Vi anbefaler ikke å bruke en løsning for å tillate at ikke-kompatible enheter kan godkjennes, da dette kan gjøre miljøet ditt sårbart.
Dette kjente problemet ble løst i oppdaterte oppdateringer utgitt 17. november 2022 og 18. november 2022 for installasjon på alle domenekontrollere i miljøet ditt. Du trenger ikke å installere noen oppdateringer eller gjøre endringer på andre servere eller klientenheter i miljøet ditt for å løse dette problemet. Hvis du brukte en midlertidig løsning eller begrensninger for dette problemet, er de ikke lenger nødvendige, og vi anbefaler at du fjerner dem.
Hvis du vil ha den frittstående pakken for disse oppdateringene, kan du søke etter KB-nummeret i Microsoft Update-katalogen. Du kan importere disse oppdateringene manuelt til Windows Server Update Services (WSUS) og Microsoft Endpoint Configuration Manager. Hvis du vil ha WSUS-instruksjoner, kan du se WSUS og katalogområdet. Hvis du vil ha instruksjoner for Konfigurasjonsdata, kan du se Importer oppdateringer fra Microsoft Update-katalogen.
Obs! Følgende oppdateringer er ikke tilgjengelige fra Windows Update og installeres ikke automatisk.
Kumulative oppdateringer:
Obs! Du trenger ikke å bruke noen tidligere oppdateringer før du installerer disse kumulative oppdateringene. Hvis du allerede har installert oppdateringer utgitt 8. november 2022, trenger du ikke å avinstallere de berørte oppdateringene før du installerer senere oppdateringer, inkludert oppdateringene som er oppført ovenfor.
Frittstående Oppdateringer:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (utgitt 18. november 2022)
-
Windows Server 2008 SP2: KB5021657
Merknader
-
Hvis du bruker sikkerhetsrelaterte oppdateringer for disse versjonene av Windows Server, trenger du bare å installere disse frittstående oppdateringene for måneden november 2022. Oppdateringer bare for sikkerhet er ikke kumulative, og du må også installere alle tidligere oppdateringer bare for sikkerhet for å være helt oppdatert. Månedlige oppdateringer for beregnet verdi er kumulative og inkluderer sikkerhet og alle kvalitetsoppdateringer.
-
Hvis du bruker månedlige oppdateringer for beregnet verdi, må du installere både de frittstående oppdateringene som er oppført ovenfor for å løse dette problemet, og installere de månedlige samleoppdateringene som ble utgitt 8. november 2022, for å motta kvalitetsoppdateringene for november 2022. Hvis du allerede har installert oppdateringer utgitt 8. november 2022, trenger du ikke å avinstallere de berørte oppdateringene før du installerer senere oppdateringer, inkludert oppdateringene som er oppført ovenfor.
Hvis du har bekreftet konfigurasjonen av miljøet, og du fremdeles støter på problemer med implementeringen av Kerberos som ikke er fra Microsoft, trenger du oppdateringer eller støtte fra utvikleren eller produsenten av appen eller enheten.
Dette kjente problemet kan reduseres ved å gjøre ett av følgende:
-
Angi msds-SupportedEncryptionTypes med bitvis eller angi den til gjeldende standard 0x27 for å bevare gjeldende verdi. Eksempler:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Angi msds-SupportEncryptionTypes til 0 for å la domenekontrollere bruke standardverdien for 0x27.
Neste trinnVi jobber med å finne en løsning, og vi kommer med en oppdatering i en kommende utgivelse.
Ordliste
Advanced Encryption Standard (AES) er en blokksitør som erstatter Data Encryption Standard (DES). AES kan brukes til å beskytte elektroniske data. AES-algoritmen kan brukes til å kryptere (encipher) og dekryptere (dechiffrere) informasjon. Kryptering konverterer data til et uforståelig skjema kalt ciphertext. Dekryptering av chiffrering konverterer dataene tilbake til sin opprinnelige form, kalt ren tekst. AES brukes i kryptografi med symmetrisk nøkkel, noe som betyr at den samme nøkkelen brukes for krypterings- og dekrypteringsoperasjonene. Det er også en blokksitaffer, noe som betyr at den opererer på blokker med fast størrelse av ren tekst og chiffrering, og krever at størrelsen på ren tekst samt chifferteksten er et nøyaktig multiplum av denne blokkstørrelsen. AES er også kjent som Rijndael symmetrisk krypteringsalgoritme [FIPS197].
Kerberos er en datamaskin nettverksgodkjenningsprotokoll som fungerer basert på "billetter" for å tillate noder som kommuniserer over et nettverk for å bevise sin identitet til hverandre på en sikker måte.
Kerberos-tjenesten som implementerer godkjennings- og billetttildelingstjenester som er angitt i Kerberos-protokollen. Tjenesten kjører på datamaskiner som er valgt av administratoren for området eller domenet. det finnes ikke på alle maskiner i nettverket. Den må ha tilgang til en kontodatabase for området den tjener. KDCer er integrert i rollen som domenekontroller. Det er en nettverkstjeneste som leverer billetter til klienter for bruk i godkjenning til tjenester.
RC4-HMAC (RC4) er en variabel symmetrisk krypteringsalgoritme med nøkkellengde. Hvis du vil ha mer informasjon, kan du se [SCHNEIER] del 17.1.
En relativt kortvarig symmetrisk nøkkel (en kryptografisk nøkkel forhandlet frem av klienten og serveren basert på en delt hemmelighet). En øktnøklers levetid er avgrenset av økten den er tilknyttet. En øktnøkkel må være sterk nok til å tåle kryptanalyse for øktens levetid.
En spesiell type billett som kan brukes til å få andre billetter. Billettforespørselen (TGT) hentes etter den første godkjenningen i godkjenningstjenesten (AS)-utvekslingen. deretter trenger ikke brukere å presentere legitimasjonen sin, men kan bruke TGT til å få etterfølgende billetter.