Wijzigingslogboek
Wijziging 1: 5 april 2023: De fase 'Standaard afdwingen' van de registersleutel is verplaatst van 11 april 2023 naar 13 juni 2023 in de sectie 'Timing of updates to address CVE-2022-38023'. Wijziging 2: 20 april 2023: Onjuiste verwijzing naar 'Domeincontroller: kwetsbare Beveiligde Netlogon-kanaalverbindingen toestaan' is verwijderd uit het groepsbeleidsobject (GPO) in de sectie Registersleutelinstellingen. Wijziging 3: 19 juni 2023:
|
In dit artikel
Samenvatting
De Windows-updates van 8 november 2022 en hoger verhelpen zwakke punten in het Netlogon-protocol wanneer RPC-ondertekening wordt gebruikt in plaats van RPC-afdichting. Meer informatie vindt u in CVE-2022-38023 .
De RPC-interface (Remote Procedure Call) van Netlogon Remote Protocol wordt voornamelijk gebruikt voor het onderhouden van de relatie tussen een apparaat en het bijbehorende domein , en relaties tussen domeincontrollers (DC's) en domeinen.
Deze update beveiligt Windows-apparaten standaard tegen CVE-2022-38023 . Voor clients van derden en domeincontrollers van derden is update standaard in de compatibiliteitsmodus en staat kwetsbare verbindingen van dergelijke clients toe. Raadpleeg de sectie Registersleutelinstellingen voor stappen voor het verplaatsen naar de afdwingingsmodus.
Als u uw omgeving wilt beveiligen, installeert u de Windows-update van 8 november 2022 of een latere Windows-update op alle apparaten, inclusief domeincontrollers.
Belangrijk Vanaf juni 2023 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en worden kwetsbare verbindingen van niet-compatibele apparaten geblokkeerd. Op dat moment kunt u de update niet uitschakelen, maar kunt u teruggaan naar de instelling compatibiliteitsmodus. De compatibiliteitsmodus wordt in juli 2023 verwijderd, zoals beschreven in de sectie Timing van updates voor het oplossen van Netlogon-kwetsbaarheid CVE-2022-38023 .
Timing van updates voor adres-CVE-2022-38023
Updates wordt in verschillende fasen uitgebracht: de eerste fase voor updates die zijn uitgebracht op of na 8 november 2022 en de afdwingingsfase voor updates die zijn uitgebracht op of na 11 juli 2023.
De initiële implementatiefase begint met de updates die zijn uitgebracht op 8 november 2022 en gaat verder met latere Windows-updates tot de afdwingingsfase. Windows-updates op of na 8 november 2022 verhelpen beveiligingsproblemen van CVE-2022-38023 door RPC-verzegeling af te dwingen op alle Windows-clients.
Apparaten worden standaard ingesteld in de compatibiliteitsmodus. Windows-domeincontrollers vereisen dat Netlogon-clients RPC-verzegeling gebruiken als ze Windows uitvoeren of als ze fungeren als domeincontrollers of als vertrouwensaccounts.
De Windows-updates die zijn uitgebracht op of na 11 april 2023, zullen de mogelijkheid om RPC-verzegeling uit te schakelen, verwijderen door waarde 0 in te stellen op de registersubsleutel RequireSeal .
De registersubsleutel RequireSeal wordt verplaatst naar de modus Afgedwongen, tenzij beheerders expliciet configureren voor compatibiliteitsmodus. Kwetsbare verbindingen van alle clients, inclusief derden, worden verificatie geweigerd. Zie Wijziging 1.
De Windows-updates die zijn uitgebracht op 11 juli 2023, zullen de mogelijkheid om waarde 1 in te stellen op de registersubsleutel RequireSeal verwijderen. Hierdoor wordt de afdwingingsfase van CVE-2022-38023 ingeschakeld.
Registersleutelinstellingen
Nadat de Windows-updates die op of na 8 november 2022 zijn geïnstalleerd, is de volgende registersubsleutel beschikbaar voor het Netlogon-protocol op Windows-domeincontrollers.
BELANGRIJK Met deze update en toekomstige afdwingingswijzigingen wordt de registersubsleutel 'RequireSeal' niet automatisch toegevoegd of verwijderd. Deze registersubsleutel moet handmatig worden toegevoegd om deze te kunnen lezen. Zie Wijziging 3.
RequireSeal-subsleutel
Registersleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Waarde |
RequireSeal |
Gegevenstype |
REG_DWORD |
Gegevens |
0 : uitgeschakeld 1 : compatibiliteitsmodus. Windows-domeincontrollers vereisen dat Netlogon-clients RPC Seal gebruiken als ze Windows uitvoeren of als ze fungeren als domeincontrollers of vertrouwensaccounts. 2 - Afdwingingsmodus. Alle clients moeten RPC Seal gebruiken. Zie Wijziging 2. |
Opnieuw opstarten vereist? |
Nee |
Windows-gebeurtenissen met betrekking tot CVE-2022-38023
OPMERKING De volgende gebeurtenissen hebben een buffer van 1 uur waarin dubbele gebeurtenissen die dezelfde informatie bevatten, tijdens die buffer worden verwijderd.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Fout |
Gebeurtenisbron |
NETLOGON |
Gebeurtenis-id |
5838 |
Gebeurtenistekst |
De Netlogon-service heeft een client aangetroffen die RPC-ondertekening gebruikt in plaats van RPC-afdichting. |
Als u dit foutbericht in uw gebeurtenislogboeken vindt, moet u de volgende acties uitvoeren om de systeemfout op te lossen:
-
Controleer of op het apparaat een ondersteunde versie van Windows wordt uitgevoerd.
-
Controleer of alle apparaten up-to-date zijn.
-
Controleer of Domeinlid: Domeinlid Gegevens beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) is ingesteld op Ingeschakeld .
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Fout |
Gebeurtenisbron |
NETLOGON |
Gebeurtenis-id |
5839 |
Gebeurtenistekst |
De Netlogon-service heeft een vertrouwensrelatie aangetroffen met behulp van RPC-ondertekening in plaats van RPC-afdichting. |
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Waarschuwing |
Gebeurtenisbron |
NETLOGON |
Gebeurtenis-id |
5840 |
Gebeurtenistekst |
De Netlogon-service heeft een beveiligd kanaal gemaakt met een client met RC4. |
Als u gebeurtenis 5840 vindt, is dit een teken dat een client in uw domein zwakke cryptografie gebruikt.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Fout |
Gebeurtenisbron |
NETLOGON |
Gebeurtenis-id |
5841 |
Gebeurtenistekst |
De Netlogon-service heeft een client geweigerd die RC4 gebruikt vanwege de instelling RejectMd5Clients. |
Als u gebeurtenis 5841 vindt, is dit een teken dat de waarde RejectMD5Clients is ingesteld op TRUE .
De sleutel RejectMD5Clients is een bestaande sleutel in de Netlogon-service. Zie De beschrijving van het abstracte gegevensmodel voor meer informatieVeelgestelde vragen (FAQ)
Alle machineaccounts die lid zijn van een domein, worden beïnvloed door deze CVE. Gebeurtenissen laten zien wie het meest wordt beïnvloed door dit probleem nadat de Windows-updates van 8 november 2022 of hoger zijn geïnstalleerd. Raadpleeg de sectie Fouten in gebeurtenislogboeken om de problemen op te lossen.
Om oudere clients te helpen detecteren die niet de sterkste beschikbare crypto gebruiken, introduceert deze update gebeurtenislogboeken voor clients die RC4 gebruiken.
RPC-ondertekening vindt plaats wanneer het Netlogon-protocol RPC gebruikt om de berichten te ondertekenen die via de kabel worden verzonden. RPC-verzegeling is wanneer het Netlogon-protocol de berichten die via de kabel worden verzonden, zowel ondertekent als versleutelt.
Windows-domeincontroller bepaalt of op een Netlogon-client Windows wordt uitgevoerd door een query uit te voeren op het kenmerk 'OperatingSystem' in Active Directory voor de Netlogon-client en te controleren op de volgende tekenreeksen:
-
"Windows", "Hyper-V Server" en "Azure Stack HCI"
Het wordt niet aanbevolen of ondersteund om dit kenmerk door Netlogon-clients of domeinbeheerders te wijzigen in een waarde die niet representatief is voor het besturingssysteem (OS) dat wordt uitgevoerd op de Netlogon-client. Houd er rekening mee dat we de zoekcriteria op elk gewenst moment kunnen wijzigen. Zie Wijziging 3.
In de afdwingingsfase worden Netlogon-clients niet geweigerd op basis van het type versleuteling dat de clients gebruiken. Netlogon-clients worden alleen geweigerd als ze RPC-ondertekening uitvoeren in plaats van RPC-afdichting. Afwijzing van RC4 Netlogon-clients is gebaseerd op de registersleutel RejectMd5Clients die beschikbaar is voor Windows Server 2008 R2 en hoger Windows-domeincontrollers. De afdwingingsfase voor deze update wijzigt de waarde 'RejectMd5Clients' niet. We raden klanten aan om de waarde RejectMd5Clients in te schakelen voor een hogere beveiliging in hun domeinen. Zie Wijziging 3.
Woordenlijst
Advanced Encryption Standard (AES) is een blokcodering die de Data Encryption Standard (DES) vervangt. AES kan worden gebruikt om elektronische gegevens te beveiligen. Het AES-algoritme kan worden gebruikt voor het versleutelen (versleutelen) en ontsleutelen (ontcijferen) van gegevens. Versleuteling converteert gegevens naar een niet-begrijpelijke vorm die coderingstekst wordt genoemd; als u de coderingstekst ontsleutelt, worden de gegevens weer geconverteerd naar de oorspronkelijke vorm, ook wel tekst zonder opmaak genoemd. AES wordt gebruikt in cryptografie met symmetrische sleutels, wat betekent dat dezelfde sleutel wordt gebruikt voor de versleutelings- en ontsleutelingsbewerkingen. Het is ook een blokcodering, wat betekent dat het werkt op blokken met vaste grootte van plaintext en coderingstekst, en vereist dat de grootte van de tekst zonder opmaak en de coderingstekst een exact veelvoud van deze blokgrootte is. AES wordt ook wel het Rijndael symmetrische versleutelingsalgoritmen [FIPS197] genoemd.
In een netwerkbeveiligingsomgeving die compatibel is met het Windows NT-besturingssysteem, functioneert het onderdeel dat verantwoordelijk is voor synchronisatie en onderhoud tussen een primaire domeincontroller (PDC) en back-updomeincontrollers (BDC). Netlogon is een voorloper van het DRS-protocol (Directory Replication Server). De RPC-interface (Remote Procedure Call) van Netlogon Remote Protocol wordt voornamelijk gebruikt voor het onderhouden van de relatie tussen een apparaat en het bijbehorende domein , en relaties tussen domeincontrollers (DC's) en domeinen. Zie Netlogon Remote Protocol voor meer informatie.
RC4-HMAC (RC4) is een symmetrisch versleutelingsalgoritmen met variabele sleutellengte. Zie [SCHNEIER] sectie 17.1 voor meer informatie.
Een geverifieerde RPC-verbinding (Remote Procedure Call) tussen twee computers in een domein met een tot stand gebrachte beveiligingscontext die wordt gebruikt voor het ondertekenen en versleutelen van RPC-pakketten .