Aktualizované
10. apríla 2023: Aktualizovala sa tretia fáza nasadenia od 11. apríla 2023 do 13. júna 2023 v časti Načasovanie aktualizácií na riešenie problému s CVE-2022-37967.
V tomto článku
Zhrnutie
Aktualizácie Windowsu z 8. novembra 2022 riešia obídenie zabezpečenia a zvýšenie zraniteľnosti oprávnení s podpismi certifikátu Atribút oprávnenia (PAC). Táto aktualizácia zabezpečenia rieši chyby protokolu Kerberos, kde útočník mohol digitálne zmeniť podpisy PAC, čím sa zvyšujú ich oprávnenia.
Ak chcete zabezpečiť svoje prostredie, nainštalujte túto aktualizáciu Windowsu do všetkých zariadení vrátane radičov domény systému Windows. Pred prepnutím aktualizácie do vynúteného režimu je potrebné najprv aktualizovať všetky radiče domény vo vašej doméne.
Ďalšie informácie o týchto rizikách nájdete v téme CVE-2022-37967.
Vykonať akciu
Ak chcete chrániť svoje prostredie a zabrániť výpadkom, odporúčame vykonať tieto kroky:
-
AKTUALIZUJTE radiče domény systému Windows aktualizáciou windowsu vydanou 8. novembra 2022 alebo po jej vydaní.
-
Presuňte radiče domény systému Windows do režimu auditu pomocou sekcie nastavenia kľúča databázy Registry .
-
Monitorujte udalosti zaradené počas režimu auditu na zabezpečenie vášho prostredia.
-
POVOLIŤRežim presadzovania na riešenie CVE-2022-37967 vo vašom prostredí.
Poznámka Krok 1 inštalácie aktualizácií vydaných 8. novembra 2022 alebo po 8. novembri 2022 nebude predvolene riešiť problémy so zabezpečením v systéme CVE-2022-37967 pre zariadenia s Windowsom. Ak chcete úplne vyriešiť problém so zabezpečením pre všetky zariadenia, musíte čo najskôr prejsť do režimu auditu (popísaného v kroku 2) nasledovaného vynúteným režimom (popísaný v kroku 4) vo všetkých radičoch domény systému Windows.
Dôležité Od júla 2023 bude režim presadzovania povolený vo všetkých radičoch domény systému Windows a zablokuje zraniteľné pripojenia z nevyhovujúcich zariadení. V tom čase nebudete môcť aktualizáciu vypnúť, ale môžete sa vrátiť na nastavenie režimu auditu. Režim auditu sa odstráni v októbri 2023, ako je to uvedené v časovaní aktualizácií na riešenie nedostatočného zabezpečenia protokolu Kerberos v časti CVE-2022-37967 .
Načasovanie aktualizácií na adresu CVE-2022-37967
Aktualizácie budú vydané vo fázach: počiatočná fáza aktualizácií vydaných 8. novembra 2022 alebo po jej skončení a fáza presadzovania aktualizácií vydaných 13. júna 2023 alebo po jej skončení.
Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 8. novembra 2022 a pokračuje s neskoršími aktualizáciami systému Windows až do fázy vynútenia. Táto aktualizácia pridá podpisy do medzipamäte PAC protokolu Kerberos, ale počas overovania nekontroluje podpisy. Zabezpečený režim je preto predvolene vypnutý.
Táto aktualizácia:
-
Pridá podpisy PAC do medzipamäte PAC protokolu Kerberos.
-
Pridá mierky na riešenie nedostatočného zabezpečenia obídu v protokole Kerberos.
Druhá fáza nasadenia sa začína aktualizáciami vydanými 13. decembra 2022. Tieto a novšie aktualizácie robia zmeny v protokole Kerberos na auditovanie zariadení s Windowsom premiestnením radičov domény Windowsu do režimu auditovania.
Pri tejto aktualizácii budú všetky zariadenia predvolene v režime auditu:
-
Ak podpis chýba alebo je neplatný, overovanie je povolené. Okrem toho sa vytvorí denník auditu.
-
Ak podpis chýba, zvýšte udalosť a povoľte overenie.
-
Ak je podpis prítomný, overte ho. Ak je podpis nesprávny, zvýšte udalosť a povoľte overenie.
Aktualizácie Windowsu vydané 13. júna 2023 alebo po tomto dátume budú:
-
Odstráňte možnosť zakázať pridanie podpisu PAC nastavením podkľúča KrbtgtFullPacSignature na hodnotu 0.
Aktualizácie Windowsu vydané 11. júla 2023 alebo po tomto dátume budú:
-
Odstráni možnosť nastaviť hodnotu 1 pre podkľúč KrbtgtFullPacSignature.
-
Premiestni aktualizáciu do režimu presadzovania (Default) (KrbtgtFullPacSignature = 3), ktorý môže správca prepísať explicitným nastavením auditu.
Aktualizácie Windowsu vydané 10. októbra 2023 alebo po tomto dátume budú:
-
Odstráni podporu podkľúča Databázy Registry KrbtgtFullPacSignature.
-
Odstráni podporu režimu auditu.
-
Všetky žiadosti o službu bez nových podpisov PAC budú zamietnuté.
Pokyny na nasadenie
Ak chcete nasadiť aktualizácie Windowsu, ktoré sú z 8. novembra 2022 alebo novšie, postupujte podľa týchto krokov:
-
AKTUALIZUJTE radiče domény systému Windows aktualizáciou vydanou 8. novembra 2022 alebo po jej vydaní.
-
Presuňte radiče domény do režimu auditu pomocou sekcie nastavenia kľúča databázy Registry.
-
Monitorovanie udalostí podaných počas režimu auditu na zabezpečenie vášho prostredia.
-
POVOLIŤ Režim presadzovania na riešenie CVE-2022-37967 vo vašom prostredí.
KROK 1: AKTUALIZÁCIA
Nasadenie aktualizácií z 8. novembra 2022 alebo novších verzií pre všetky príslušné radiče domény systému Windows. Po nasadení aktualizácie budú mať aktualizované radiče domény systému Windows podpisy pridané do medzipamäte PAC protokolu Kerberos a budú predvolene nezabezpečené (podpis PAC sa neoverí).
-
Pri aktualizácii nezabudnite ponechať hodnotu databázy Registry KrbtgtFullPacSignature v predvolenom stave, kým sa neaktualizujú všetky radiče domény systému Windows.
KROK 2: PREMIESTNENIE
Po aktualizácii radičov domény systému Windows prepnite do režimu auditu zmenou hodnoty KrbtgtFullPacSignature na hodnotu 2.
KROK 3: VYHĽADANIE ALEBO MONITOROVANIE
Identifikujte oblasti, v ktorých chýbajú podpisy PAC, alebo podpisy PAC, ktoré zlyhajú pri overovaní prostredníctvom denníkov udalostí spúšťaných počas režimu auditu.
-
Pred prechodom do režimu vynútenia skontrolujte, či je funkčná úroveň domény nastavená aspoň na hodnotu 2008 alebo vyššiu. Prechod do režimu vynútenia s doménami na funkčnej úrovni domény 2003 môže mať za následok zlyhanie overovania.
-
Udalosti auditu sa zobrazia, ak doména nie je úplne aktualizovaná alebo ak vo vašej doméne stále existujú nevybavené predtým vydané lístky na služby.
-
Pokračujte v sledovaní ďalších zapísaných denníkov udalostí, ktoré označujú chýbajúce podpisy PAC alebo zlyhania overenia existujúcich podpisov PAC.
-
Po aktualizácii celej domény a uplynutí platnosti všetkých nevybavených žiadostí by sa už udalosti auditu nemali zobrazovať. Potom by ste mali mať možnosť prejsť do režimu presadzovania bez chýb.
KROK 4: POVOLENIE
Povoľte režim presadzovania na riešenie CVE-2022-37967 vo vašom prostredí.
-
Po vyriešení všetkých udalostí auditu, ktoré sa už nezobrazujú, presuňte domény do režimu presadzovania aktualizáciou hodnoty databázy Registry KrbtgtFullPacSignature , ako je popísané v časti Nastavení kľúča databázy Registry.
-
Ak má lístok služby neplatný podpis PAC alebo chýbajú podpisy PAC, overenie zlyhá a zaznamená sa chybová udalosť.
Nastavenie kľúča databázy Registry
Protokol Kerberos
Po inštalácii aktualizácií Windowsu, ktoré sú datované 8. novembra 2022 alebo po tomto dátume, je pre protokol Kerberos k dispozícii tento kľúč databázy Registry:
-
KrbtgtFullPacSignature
Tento kľúč databázy Registry sa používa na bránu nasadenia zmien protokolu Kerberos. Tento kľúč databázy Registry je dočasný a nebude sa čítať po úplnom dátume uplatnenia 10. októbra 2023.Kľúč databázy Registry
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Hodnota
KrbtgtFullPacSignature
Typ údajov
REG_DWORD
Údaje
0 – Zakázané
1 – Nové podpisy sa pridajú, ale nebudú overené. (Predvolené nastavenie)
2 – Režim auditu. Pridajú sa nové podpisy a overia sa, ak existujú. Ak podpis chýba alebo je neplatný, overovanie je povolené a vytvoria sa denníky auditu.
3 – Režim vynútenia. Pridajú sa nové podpisy a overia sa, ak existujú. Ak podpis chýba alebo je neplatný, overovanie sa zamietne a vytvoria sa denníky auditu.
Vyžaduje sa reštartovanie?
Nie
Poznámka Ak potrebujete zmeniť hodnotu databázy Registry KrbtgtFullPacSignature, manuálne pridajte a potom nakonfigurujte kľúč databázy Registry na prepísanie predvolenej hodnoty.
Udalosti Windowsu týkajúce sa CVE-2022-37967
Ak podpisy PAC chýbajú alebo sú neplatné, v režime auditu sa môže vyskytnúť niektorá z nasledujúcich chýb. Ak tento problém pretrváva počas režimu vynútenia, tieto udalosti sa zapíšu do denníka ako chyby.
Ak v zariadení nájdete niektorú z chýb, je pravdepodobné, že všetky radiče domény Systému Windows vo vašej doméne nie sú aktualizované aktualizáciou Windowsu z 8. novembra 2022 alebo novšej. Na zmiernenie problémov bude potrebné preskúmať vašu doménu, aby ste našli radiče domény systému Windows, ktoré nie sú aktuálne.
Poznámka Ak nájdete chybu s identifikáciou udalosti 42, pozrite si článok KB5021131: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37966.
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identifikačné číslo udalosti |
43 |
Text udalosti |
V centre distribúcie kľúčov (KDC) sa zistil lístok, ktorý nemohol overiť úplný podpis PAC. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2210019. Klient: <oblasť>/<Názov> |
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identifikačné číslo udalosti |
44 |
Text udalosti |
Centrum distribúcie kľúčov (KDC) narazilo na lístok, ktorý neobsahoval úplný podpis PAC. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2210019. Klient: <oblasť>/<Názov> |
Zariadenia tretích strán implementujúce protokol Kerberos
V doménach, ktoré majú radiče domény tretích strán, sa môžu zobraziť chyby v režime vynútenia.
Úplné vymazanie udalostí auditu po inštalácii aktualizácie Windowsu z 8. novembra 2022 alebo novšej môže trvať dlhšie domény s klientmi tretích strán.
Obráťte sa na výrobcu zariadenia (OEM) alebo dodávateľa softvéru a zistite, či je jeho softvér kompatibilný s najnovšou zmenou protokolu.
Informácie o aktualizáciách protokolu nájdete v téme Protokol systému Windows na webovej lokalite spoločnosti Microsoft.
Slovník
Protokol Kerberos je protokol overenia počítačovej siete, ktorý funguje na základe žiadostí, aby uzly oznamujúce prostredníctvom siete mohli bezpečne preukázať svoju identitu.
Služba Kerberos, ktorá implementuje služby overovania a poskytovania lístkov zadané v protokole Kerberos. Služba sa spúšťa v počítačoch vybratých správcom oblasti alebo domény. nie je prítomný na každom počítači v sieti. Musí mať prístup k databáze konta pre oblasť, ktorá slúži. KDCs sú integrované do roly radiča domény. Ide o sieťovú službu, ktorá klientom poskytuje lístky na použitie pri overovaní služieb.
Certifikát atribútu oprávnenia (PAC) je štruktúra, ktorá sprostredkúva informácie týkajúce sa oprávnenia poskytované radičmi domény. Ďalšie informácie nájdete v téme Štruktúra údajov certifikátu atribútu oprávnenia.
Špeciálny typ lístka, ktorý možno použiť na získanie iných vstupeniek. Tiket na udelenie tiketu (TGT) sa získa po počiatočnom overení vo výmene overovacích služieb (AS). potom používatelia nemusia predložiť svoje poverenia, ale môžu použiť TGT na získanie následných žiadostí.