Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Bijgewerkt

10 april 2023: de 'Derde implementatiefase' bijgewerkt van 11 april 2023 naar 13 juni 2023 in de sectie 'Timing van updates voor adres cve-2022-37967'.

In dit artikel

Samenvatting

De Windows-updates van 8 november 2022 hebben betrekking op beveiligings omzeilen en misbruik van beveiligingsproblemen met PAC-handtekeningen (Privilege Attribute Certificate). Met deze beveiligingsupdate worden Kerberos-beveiligingsproblemen opgelost waarbij een aanvaller PAC-handtekeningen digitaal kan wijzigen, waardoor de bevoegdheden worden verhoogd.

Als u uw omgeving wilt beveiligen, installeert u deze Windows-update op alle apparaten, inclusief Windows-domeincontrollers. Alle domeincontrollers in uw domein moeten eerst worden bijgewerkt voordat u de update overschakelt naar de modus Afgedwongen.

Zie CVE-2022-37967 voor meer informatie over deze beveiligingsproblemen.

Actie ondernemen

Om uw omgeving te beschermen en storingen te voorkomen, raden we u aan de volgende stappen uit te voeren:

  1. Werk uw Windows-domeincontrollers bij met een Windows-update die is uitgebracht op of na 8 november 2022.

  2. Verplaats uw Windows-domeincontrollers naar de controlemodus met behulp van de sectie Registersleutelinstelling .

  3. CONTROLEER gebeurtenissen die zijn opgeslagen tijdens de controlemodus om uw omgeving te beveiligen.

  4. INSCHAKELENAfdwingingsmodus voor het adresse van CVE-2022-37967 in uw omgeving.

Opmerking Stap 1 van het installeren van updates die zijn uitgebracht op of na 8 november 2022, worden de beveiligingsproblemen in CVE-2022-37967 voor Windows-apparaten standaard NIET opgelost. Als u het beveiligingsprobleem voor alle apparaten volledig wilt beperken, moet u zo snel mogelijk op alle Windows-domeincontrollers overschakelen naar de controlemodus (beschreven in stap 2), gevolgd door de modus Afgedwongen (beschreven in stap 4).

Belangrijk Vanaf juli 2023 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en worden kwetsbare verbindingen van niet-compatibele apparaten geblokkeerd.  Op dat moment kunt u de update niet uitschakelen, maar kunt u teruggaan naar de instelling Controlemodus. De auditmodus wordt in oktober 2023 verwijderd, zoals beschreven in de sectie Timing van updates voor het oplossen van Kerberos-kwetsbaarheid CVE-2022-37967 .

Timing van updates voor adres CVE-2022-37967

Updates wordt in fasen uitgebracht: de eerste fase voor updates die zijn uitgebracht op of na 8 november 2022 en de afdwingingsfase voor updates die zijn uitgebracht op of na 13 juni 2023.

De initiële implementatiefase begint met de updates die zijn uitgebracht op 8 november 2022 en gaat verder met latere Windows-updates tot de afdwingingsfase. Deze update voegt handtekeningen toe aan de Kerberos PAC-buffer, maar controleert niet op handtekeningen tijdens de verificatie. Daarom is de beveiligde modus standaard uitgeschakeld.

Deze update:

  • Hiermee voegt u PAC-handtekeningen toe aan de Kerberos PAC-buffer.

  • Voegt maatregelen toe voor het oplossen van beveiligingsproblemen met betrekking tot het omzeilen van beveiligingsproblemen in het Kerberos-protocol.

De tweede implementatiefase begint met updates die zijn uitgebracht op 13 december 2022. Deze en latere updates brengen wijzigingen aan in het Kerberos-protocol om Windows-apparaten te controleren door Windows-domeincontrollers te verplaatsen naar de controlemodus.

Met deze update hebben alle apparaten standaard de controlemodus:

  • Als de handtekening ontbreekt of ongeldig is, is verificatie toegestaan. Daarnaast wordt er een auditlogboek gemaakt. 

  • Als de handtekening ontbreekt, genereert u een gebeurtenis en staat u de verificatie toe.

  • Als de handtekening aanwezig is, valideert u deze. Als de handtekening onjuist is, genereert u een gebeurtenis en staat u de verificatie toe.

De Windows-updates die zijn uitgebracht op of na 13 juni 2023, doen het volgende: 

  • Verwijder de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen door de subsleutel KrbtgtFullPacSignature in te stellen op een waarde van 0.

De Windows-updates die zijn uitgebracht op of na 11 juli 2023, doen het volgende: 

  • Hiermee verwijdert u de mogelijkheid om waarde 1 in te stellen voor de subsleutel KrbtgtFullPacSignature.

  • Hiermee wordt de update verplaatst naar de afdwingingsmodus (standaard) (KrbtgtFullPacSignature = 3), die kan worden overschreven door een beheerder met een expliciete controle-instelling.

De Windows-updates die zijn uitgebracht op of na 10 oktober 2023, doen het volgende: 

  • Hiermee wordt de ondersteuning voor de registersubsleutel KrbtgtFullPacSignature verwijderd.

  • Hiermee wordt de ondersteuning voor de controlemodus verwijderd.

  • Alle servicetickets zonder de nieuwe PAC-handtekeningen worden verificatie geweigerd.

Implementatierichtlijnen

Voer de volgende stappen uit om de Windows-updates van 8 november 2022 of hoger te implementeren:

  1. Werk uw Windows-domeincontrollers bij met een update die is uitgebracht op of na 8 november 2022.

  2. Verplaats uw domeincontrollers naar de controlemodus met behulp van de sectie Registersleutelinstelling.

  3. BEWAAK gebeurtenissen die zijn opgeslagen tijdens de controlemodus om uw omgeving te beveiligen.

  4. INSCHAKELEN Afdwingingsmodus voor het adresse van CVE-2022-37967 in uw omgeving.

STAP 1: BIJWERKEN 

Implementeer de updates van 8 november 2022 of hoger op alle toepasselijke Windows-domeincontrollers (DC's). Na het implementeren van de update worden op windows-domeincontrollers die zijn bijgewerkt, handtekeningen toegevoegd aan de Kerberos PAC-buffer en zijn ze standaard onveilig (PAC-handtekening is niet gevalideerd).

  • Zorg er tijdens het bijwerken voor dat de registerwaarde KrbtgtFullPacSignature in de standaardstatus blijft totdat alle Windows-domeincontrollers zijn bijgewerkt.

STAP 2: VERPLAATSEN 

Zodra de Windows-domeincontrollers zijn bijgewerkt, schakelt u over naar de controlemodus door de waarde KrbtgtFullPacSignature te wijzigen in 2.  

STAP 3: ZOEKEN/BEWAKEN 

Identificeer gebieden waarvoor PAC-handtekeningen ontbreken of pac-handtekeningen zijn die niet kunnen worden gevalideerd via de gebeurtenislogboeken die tijdens de controlemodus worden geactiveerd.   

  • Zorg ervoor dat het functionele domeinniveau is ingesteld op ten minste 2008 of hoger voordat u overgaat naar de afdwingingsmodus. Overstappen naar de afdwingingsmodus met domeinen op het functionele domeinniveau 2003 kan leiden tot verificatiefouten.

  • Controlegebeurtenissen worden weergegeven als uw domein niet volledig is bijgewerkt of als er nog openstaande eerder uitgegeven servicetickets aanwezig zijn in uw domein.

  • Blijf controleren op aanvullende gebeurtenislogboeken die duiden op ontbrekende PAC-handtekeningen of validatiefouten van bestaande PAC-handtekeningen.

  • Nadat het hele domein is bijgewerkt en alle openstaande tickets zijn verlopen, mogen de controlegebeurtenissen niet meer worden weergegeven. Vervolgens moet u zonder fouten naar de afdwingingsmodus kunnen gaan.

STAP 4: INSCHAKELEN 

Schakel de afdwingingsmodus in om CVE-2022-37967 in uw omgeving aan te pakken.

  • Zodra alle controlegebeurtenissen zijn opgelost en niet meer worden weergegeven, verplaatst u uw domeinen naar de afdwingingsmodus door de registerwaarde KrbtgtFullPacSignature bij te werken, zoals beschreven in de sectie Instellingen voor registersleutels.

  • Als een serviceticket een ongeldige PAC-handtekening heeft of ALS PAC-handtekeningen ontbreken, mislukt de validatie en wordt een foutgebeurtenis geregistreerd.

Registersleutelinstellingen

Kerberos-protocol

Na de installatie van de Windows-updates die zijn gedateerd op of na 8 november 2022, is de volgende registersleutel beschikbaar voor het Kerberos-protocol:

  • KrbtgtFullPacSignature Deze registersleutel wordt gebruikt om de implementatie van de Kerberos-wijzigingen te gateen. Deze registersleutel is tijdelijk en wordt niet meer gelezen na de volledige afdwingingsdatum van 10 oktober 2023. 

    Registersleutel

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Waarde

    KrbtgtFullPacSignature

    Gegevenstype

    REG_DWORD

    Gegevens

    0 : uitgeschakeld  

    1 : nieuwe handtekeningen worden toegevoegd, maar niet geverifieerd. (Standaardinstelling)

    2 - Controlemodus. Nieuwe handtekeningen worden toegevoegd en gecontroleerd als ze aanwezig zijn. Als de handtekening ontbreekt of ongeldig is, is verificatie toegestaan en worden er auditlogboeken gemaakt.

    3 - Afdwingingsmodus. Nieuwe handtekeningen worden toegevoegd en gecontroleerd als ze aanwezig zijn. Als de handtekening ontbreekt of ongeldig is, wordt verificatie geweigerd en worden er auditlogboeken gemaakt.

    Opnieuw opstarten vereist?

    Nee

    Opmerking Als u de registerwaarde KrbtgtFullPacSignature wilt wijzigen, voegt u de registersleutel handmatig toe en configureert u deze om de standaardwaarde te overschrijven.

Windows-gebeurtenissen met betrekking tot CVE-2022-37967

In de controlemodus kunt u een van de volgende fouten tegenkomen als PAC-handtekeningen ontbreken of ongeldig zijn. Als dit probleem zich blijft voordoen tijdens de afdwingingsmodus, worden deze gebeurtenissen geregistreerd als fouten.

Als u een van de fouten op uw apparaat vindt, is het waarschijnlijk dat alle Windows-domeincontrollers in uw domein niet up-to-date zijn met een Windows-update van 8 november 2022 of hoger. Om de problemen te verhelpen, moet u uw domein verder onderzoeken om Windows-domeincontrollers te vinden die niet up-to-date zijn.  

Opmerking Als u een fout vindt met gebeurtenis-id 42, raadpleegt u KB5021131: De kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37966.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

Microsoft-Windows-Kerberos-Key-Distribution-Center

Gebeurtenis-id

43

Gebeurtenistekst

In het Key Distribution Center (KDC) is een ticket aangetroffen dat de volledige PAC-handtekening. Zie https://go.microsoft.com/fwlink/?linkid=2210019 voor meer informatie. Client: <realm>/<Name>

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

Microsoft-Windows-Kerberos-Key-Distribution-Center

Gebeurtenis-id

44

Gebeurtenistekst

In het Key Distribution Center (KDC) is een ticket aangetroffen dat niet de volledige PAC-handtekening bevat. Zie https://go.microsoft.com/fwlink/?linkid=2210019 voor meer informatie. Client: <realm>/<Name>

Apparaten van derden die het Kerberos-protocol implementeren

Domeinen met domeincontrollers van derden kunnen fouten zien in de afdwingingsmodus.

Het kan langer duren voordat domeinen met clients van derden volledig zijn gewist van controlegebeurtenissen na de installatie van een Windows-update van 8 november 2022 of hoger.

Neem contact op met de fabrikant van het apparaat (OEM) of de softwareleverancier om te bepalen of de software compatibel is met de meest recente protocolwijziging.

Zie het onderwerp Windows Protocol op de Website van Microsoft voor meer informatie over protocolupdates.

Woordenlijst

Kerberos is een verificatieprotocol voor computernetwerk dat werkt op basis van 'tickets' zodat knooppunten die via een netwerk communiceren, hun identiteit aan elkaar kunnen bewijzen op een veilige manier.

De Kerberos-service die de verificatie- en tickettoekenningsservices implementeert die zijn opgegeven in het Kerberos-protocol. De service wordt uitgevoerd op computers die zijn geselecteerd door de beheerder van het realm of domein; het is niet aanwezig op elke computer in het netwerk. Het moet toegang hebben tot een accountdatabase voor de realm die wordt gebruikt. KPC's zijn geïntegreerd in de domeincontrollerrol. Het is een netwerkservice die tickets aan clients levert voor gebruik bij het verifiëren van services.

Privilege Attribute Certificate (PAC) is een structuur die autorisatiegerelateerde informatie van domeincontrollers (DC's) overbrengt. Zie Privilege Attribute Certificate Data Structure (Structuur van certificaatgegevens van privilegekenmerk) voor meer informatie.

Een speciaal type ticket dat kan worden gebruikt om andere tickets te verkrijgen. Het Ticket-granting Ticket (TGT) wordt verkregen na de eerste verificatie in de Authentication Service (AS) uitwisseling; daarna hoeven gebruikers hun referenties niet te presenteren, maar kunnen ze de TGT gebruiken om volgende tickets te verkrijgen.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.