Журнал изменений
|
Изменение 1: 5 апреля 2023 г.: Этап "Принудительное применение по умолчанию" раздела реестра перемещен с 11 апреля 2023 г. на 13 июня 2023 г. в разделе "Время обновления для решения CVE-2022-38023". Изменение 2: 20 апреля 2023 г.: Удалена неточная ссылка на объект групповой политики (GPO) "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" в разделе "Параметры раздела реестра". Изменение 3: 19 июня 2023 г.:
|
В этой статье
Сводка
Обновления Windows от 8 ноября 2022 г. и более поздних версий устраняют недостатки в протоколе Netlogon при использовании подписывания RPC вместо запечатывания RPC. Дополнительные сведения см. в статье CVE-2022-38023 .
Интерфейс удаленного вызова процедур netlogon Remote Protocol (RPC) в основном используется для поддержания связи между устройством и его доменом , а также связей между контроллерами домена (DCs) и доменами.
Это обновление защищает устройства Windows от CVE-2022-38023 по умолчанию. Для сторонних клиентов и сторонних контроллеров домена обновление по умолчанию выполняется в режиме совместимости и разрешает уязвимые подключения из таких клиентов. Инструкции по переходу в режим принудительного применения см. в разделе Параметры раздела реестра .
Чтобы защитить среду, установите обновление Windows от 8 ноября 2022 г. или более поздней версии для всех устройств, включая контроллеры домена.
Важно Начиная с июня 2023 г. режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям. В это время вы не сможете отключить обновление, но можете вернуться к параметру Режим совместимости. Режим совместимости будет удален в июле 2023 г., как описано в разделе Время обновления для устранения уязвимости netlogon CVE-2022-38023 .
Сроки обновления для решения CVE-2022-38023
Обновления будет выпущено в несколько этапов: начальный этап обновления, выпущенный 8 ноября 2022 года или позже, и этап принудительного применения для обновлений, выпущенных 11 июля 2023 года или позже.
Начальный этап развертывания начинается с обновлений, выпущенных 8 ноября 2022 г., и продолжается с последующими обновлениями Windows до этапа принудительного применения. Обновления Windows с 8 ноября 2022 г. или позже устраняют уязвимость обхода безопасности CVE-2022-38023 , применяя запечатывание RPC на всех клиентах Windows.
По умолчанию устройства будут настроены в режиме совместимости. Контроллерам домена Windows потребуется, чтобы клиенты Netlogon использовали печать RPC, если они работают под управлением Windows или работают в качестве контроллеров домена или учетных записей доверия.
Обновления Windows, выпущенные 11 апреля 2023 г. или позже, отключают возможность отключения запечатывания RPC, задав значение 0 в подразделе реестра RequireSeal .
Подраздел реестра RequireSeal будет перемещен в режим Принудительно, если администраторы явно не настроят режим совместимости. Уязвимым подключениям от всех клиентов, включая сторонних, будет отказано в проверке подлинности. См. раздел Изменение 1.
Обновления Windows, выпущенные 11 июля 2023 г., отключат возможность присваивать значение 1 подразделу реестра RequireSeal . Это включает этап принудительного применения CVE-2022-38023.
Параметры раздела реестра
После установки обновлений Windows, датируемых 8 ноября 2022 г. или позже, для протокола Netlogon на контроллерах домена Windows будет доступен следующий подраздел реестра.
ВАЖНО Это обновление, а также будущие принудительные изменения не добавляют или не удаляют автоматически подраздел реестра RequireSeal. Этот подраздел реестра необходимо добавить вручную, чтобы его можно было прочитать. См . раздел Изменение 3.
Подраздел RequireSeal
|
Раздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Значение |
RequireSeal |
|
Тип данных |
REG_DWORD |
|
Данные |
0 — отключено 1 — режим совместимости. Контроллерам домена Windows потребуется, чтобы клиенты Netlogon использовали печать RPC, если они работают под управлением Windows или если они действуют в качестве контроллеров домена или учетных записей доверия. 2 — режим принудительного применения. Все клиенты должны использовать печать RPC. См . раздел Изменение 2. |
|
Требуется перезапуск? |
Нет |
События Windows, связанные с CVE-2022-38023
ПРИМЕЧАНИЕ Следующие события имеют 1-часовой буфер, в котором повторяющиеся события, содержащие одну и ту же информацию, удаляются во время этого буфера.
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
NETLOGON |
|
Идентификатор события |
5838 |
|
Текст события |
Служба Netlogon обнаружила клиент, использующий подписывание RPC вместо запечатывания RPC. |
Если это сообщение об ошибке отображается в журналах событий, необходимо выполнить следующие действия, чтобы устранить системную ошибку:
-
Убедитесь, что на устройстве установлена поддерживаемая версия Windows.
-
Убедитесь, что все устройства обновлены.
-
Убедитесь, что элемент домена: член домена Цифровое шифрование или подпись данных безопасного канала (всегда) имеет значение Включено .
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
NETLOGON |
|
Идентификатор события |
5839 |
|
Текст события |
Служба Netlogon обнаружила доверие с использованием подписывания RPC вместо запечатывания RPC. |
|
Журнал событий |
Система |
|
Тип события |
Предупреждение |
|
Источник события |
NETLOGON |
|
Идентификатор события |
5840 |
|
Текст события |
Служба Netlogon создала безопасный канал с клиентом с rc4. |
Если вы нашли событие 5840, это означает, что клиент в вашем домене использует слабое шифрование.
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
NETLOGON |
|
Идентификатор события |
5841 |
|
Текст события |
Служба Netlogon отклонила клиент, использующий RC4, из-за параметра RejectMd5Clients. |
Если вы нашли событие 5841, это означает, что значение RejectMD5Clients имеет значение TRUE .
Ключ RejectMD5Clients — это уже существующий ключ в службе Netlogon. Дополнительные сведения см. в описании RejectMD5Clients абстрактной модели данных.
Часто задаваемые вопросы
Эта CVE влияет на все присоединенные к домену учетные записи компьютеров. События покажут, на кого эта проблема больше всего влияет после установки обновлений Windows от 8 ноября 2022 г. или более поздних версий. Чтобы устранить эти проблемы, ознакомьтесь с разделом Об ошибках журнала событий .
Чтобы помочь обнаружить более старые клиенты, которые не используют самую надежную доступную криптографию, в этом обновлении представлены журналы событий для клиентов, использующих RC4.
Подписывание RPC — это когда протокол Netlogon использует RPC для подписывания сообщений, отправляемых по сети. Запечатывание RPC — это когда протокол Netlogon подписывает и шифрует сообщения, отправляемые по сети.
Контроллер домена Windows определяет, работает ли клиент Netlogon под управлением Windows, запрашивая атрибут OperatingSystem в Active Directory для клиента Netlogon и проверяя наличие следующих строк:
-
"Windows", "Hyper-V Server" и "Azure Stack HCI"
Мы не рекомендуем и не поддерживаем изменение этого атрибута клиентами Netlogon или администраторами домена на значение, которое не соответствует операционной системе (ОС), выполняемой клиентом Netlogon. Следует помнить, что мы можем изменить критерии поиска в любое время. См . раздел Изменение 3.
Этап принудительного применения не отклоняет клиенты Netlogon в зависимости от типа шифрования, используемого клиентами. Клиенты Netlogon будут отклоняться только в том случае, если они выполняют подписывание RPC вместо запечатывания RPC. Отклонение клиентов Netlogon rc4 основано на разделе реестра RejectMd5Clients, доступном для контроллеров домена Windows Server 2008 R2 и более поздних версий. Этап принудительного применения для этого обновления не изменяет значение "RejectMd5Clients". Мы рекомендуем клиентам включить значение "RejectMd5Clients" для повышения безопасности в своих доменах. См . раздел Изменение 3.
Глоссарий
Расширенный стандарт шифрования (AES) — это блочный шифр, заменяющий стандарт шифрования данных (DES). AES можно использовать для защиты электронных данных. Алгоритм AES можно использовать для шифрования (шифрования) и расшифровки (расшифровки) информации. Шифрование преобразует данные в неразборчивую форму, называемую шифртекстом; Расшифровка зашифрованного текста преобразует данные обратно в исходную форму, называемую plaintext. AES используется в шифровании с симметричным ключом, что означает, что один и тот же ключ используется для операций шифрования и расшифровки. Это также блочный шифр, то есть он работает с блоками открытого текста и шифротекста фиксированного размера и требует, чтобы размер открытого текста, а также шифрового текста был точно кратным этому размеру блока. AES также называется алгоритмом симметричного шифрования Rijndael [FIPS197] .
В Windows NT совместимой с операционной системой среде сетевой безопасности компонент, отвечающий за синхронизацию и обслуживание между основным контроллером домена (PDC) и резервными контроллерами домена (BDC). Netlogon является предшественником протокола сервера репликации каталогов (DRS). Интерфейс удаленного вызова процедур netlogon Remote Protocol (RPC) в основном используется для поддержания связи между устройством и его доменом , а также связей между контроллерами домена (DCs) и доменами. Дополнительные сведения см. в разделе Удаленный протокол Netlogon.
RC4-HMAC (RC4) — это алгоритм симметричного шифрования переменной длины ключа. Дополнительные сведения см. в разделе [SCHNEIER] 17.1.
Подключение удаленного вызова процедуры (RPC) с проверкой подлинности между двумя компьютерами в домене с установленным контекстом безопасности , используемым для подписывания и шифрования пакетов RPC .
