Denník zmien
Zmena 1: 5. apríla 2023: Presunula fázu Vynútenie predvolene kľúča databázy Registry z 11. apríla 2023 do 13. júna 2023 v časti Načasovanie aktualizácií na riešenie CVE-2022-38023. Zmena 2: 20. apríla 2023: Odstránený nepresný odkaz na "Radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon" objektu skupinovej politiky (GPO) v časti Nastavenie kľúča databázy Registry. Zmena 3: 19. júna 2023:
|
V tomto článku
Zhrnutie
Aktualizácie Windowsu z 8. novembra 2022 a novšej verzie riešia nedostatky v protokole Netlogon, keď sa namiesto tesnenia RPC používa podpisovanie RPC. Ďalšie informácie nájdete v CVE-2022-38023 .
Rozhranie vzdialeného volania procedúr vzdialeného protokolu Netlogon (RPC) sa používa predovšetkým na udržiavanie vzťahu medzi zariadením a jeho doménou a vzťahov medzi radičmi domény (DCs) a doménami.
Táto aktualizácia predvolene chráni zariadenia s Windowsom pred cve-2022-38023 . V prípade klientov tretích strán a radičov domény tretích strán je aktualizácia predvolene v režime kompatibility a umožňuje zraniteľné pripojenia z takýchto klientov. Kroky na prechod do režimu presadzovania nájdete v časti Nastavenia kľúča databázy Registry .
Ak chcete zabezpečiť svoje prostredie, nainštalujte aktualizáciu Windowsu z 8. novembra 2022 alebo novšiu aktualizáciu Windowsu na všetky zariadenia vrátane radičov domény.
Dôležité Od júna 2023 bude režim presadzovania povolený vo všetkých radičoch domény systému Windows a zablokuje zraniteľné pripojenia z nevyhovujúcich zariadení. V tom čase nebudete môcť vypnúť aktualizáciu, ale môžete prejsť späť na nastavenie režimu kompatibility. Režim kompatibility sa odstráni v júli 2023, ako je uvedené v časovaní aktualizácií na riešenie zraniteľnosti netlogon CVE-2022-38023 .
Načasovanie aktualizácií na adresu CVE-2022-38023
Aktualizácie budú vydané v niekoľkých fázach: počiatočná fáza aktualizácií vydaných 8. novembra 2022 alebo po 8. novembri 2022 a fáza presadzovania aktualizácií vydaných 11. júla 2023 alebo po jej skončení.
Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 8. novembra 2022 a pokračuje s neskoršími aktualizáciami systému Windows až do fázy vynútenia. Aktualizácie Windowsu 8. novembra 2022 alebo po ich skončení riešia zraniteľnosť zabezpečenia systému CVE-2022-38023 vynucovaním tesnenia RPC vo všetkých klientoch s Windowsom.
Predvolene sa zariadenia nastavia v režime kompatibility. Radiče domény systému Windows budú vyžadovať, aby klienti služby Netlogon používali pečať RPC, ak používajú Systém Windows, alebo ak pôsobia ako radiče domény alebo ako dôveryhodné kontá.
Aktualizácie Windowsu vydané 11. apríla 2023 alebo po ich skončení odstránia možnosť zakázať utesnenie RPC nastavením hodnoty 0 na podkľúč RequireSeal Databázy Registry.
Podkľúč databázy Registry RequireSeal sa premiestni do vynúteného režimu, pokiaľ ho správcovia explicitne nenakonfigurujú tak, aby bol v režime kompatibility. Zraniteľné pripojenia zo všetkých klientov vrátane tretích strán budú overenia odmietnuté. Pozrite si tému Zmena 1.
Aktualizácie Windowsu vydané 11. júla 2023 odstránia možnosť nastaviť hodnotu 1 na podkľúč RequireSeal Registry. To umožňuje fázu presadzovania cve-2022-38023.
Nastavenie kľúča databázy Registry
Po nainštalovaní aktualizácií Windowsu, ktoré sú datované 8. novembra 2022 alebo po tomto dátume, je pre protokol Netlogon v radičoch domény systému Windows k dispozícii nasledujúci podkľúč databázy Registry.
DÔLEŽITÉ Táto aktualizácia, ako aj budúce zmeny vynútenia, nepridávajú automaticky ani neodstraňujú podkľúč databázy Registry RequireSeal. Tento podkľúč databázy Registry je potrebné pridať manuálne, aby sa načítal. Pozrite si tému Zmena 3.
Podkľúč RequireSeal
Kľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Hodnota |
RequireSeal (VyžadovaťSeal) |
Typ údajov |
REG_DWORD |
Údaje |
0 – Zakázané 1 – Režim kompatibility. Radiče domény systému Windows budú vyžadovať, aby klienti služby Netlogon používali protokol RPC Seal, ak používajú Systém Windows, alebo ak pôsobia ako radiče domény alebo ako kontá Trust. 2 – Režim vynútenia. Všetci klienti musia používať RPC Seal. Pozrite si tému Zmena 2. |
Vyžaduje sa reštartovanie? |
Nie |
Udalosti Windowsu týkajúce sa CVE-2022-38023
POZNÁMKA Nasledujúce udalosti majú 1-hodinovú medzipamäť, v ktorej sa duplicitné udalosti, ktoré obsahujú rovnaké informácie, zahodia počas tejto medzipamäte.
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
NETLOGON |
Identifikačné číslo udalosti |
5838 |
Text udalosti |
Služba Netlogon zistila, že klient používa podpisovanie RPC namiesto tesnenia RPC. |
Ak nájdete toto chybové hlásenie v denníkoch udalostí, na vyriešenie systémovej chyby musíte vykonať nasledujúce akcie:
-
Potvrďte, že zariadenie používa podporovanú verziu Windowsu.
-
Skontrolujte, či sú všetky zariadenia aktuálne.
-
Skontrolujte, či je člen domény: Člen domény digitálne šifruje alebo podpisuje údaje zabezpečeného kanála (vždy) nastavený na možnosť Povolené .
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
NETLOGON |
Identifikačné číslo udalosti |
5839 |
Text udalosti |
Služba Netlogon zistila dôveryhodnosť pomocou podpisovania RPC namiesto tesnenia RPC. |
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
NETLOGON |
Identifikačné číslo udalosti |
5840 |
Text udalosti |
Služba Netlogon vytvorila zabezpečený kanál s klientom s RC4. |
Ak nájdete udalosť 5840, je to znamenie, že klient vo vašej doméne používa slabú kryptografiu.
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
NETLOGON |
Identifikačné číslo udalosti |
5841 |
Text udalosti |
Služba Netlogon odmietla klientovi používať RC4 z dôvodu nastavenia RejectMd5Clients. |
Ak nájdete udalosť 5841, je to znamenie, že hodnota RejectMD5Clients je nastavená na hodnotu TRUE .
RejectMD5Clients abstraktného dátového modelu.
Kľúč RejectMD5Clients je už existujúci kľúč v službe Netlogon. Ďalšie informácie nájdete v popiseNajčastejšie otázky
Toto CVE ovplyvňuje všetky kontá pripojené k doméne a počítačom. Udalosti ukážu, kto je týmto problémom najviac ovplyvnený po nainštalovaní aktualizácií Windowsu z 8. novembra 2022 alebo novších. Ak chcete tieto problémy vyriešiť, pozrite si časť s chybami denníka udalostí.
S cieľom pomôcť zistiť starších klientov, ktorí nepoužívajú najsilnejšie dostupné crypto, táto aktualizácia zavádza denníky udalostí pre klientov, ktorí používajú RC4.
Podpisovanie RPC je vtedy, keď protokol Netlogon používa protokol RPC na podpísanie správ odosielaných cez drôt. Utesnenie RPC je, keď protokol Netlogon podpisuje a šifruje správy, ktoré odosiela cez drôt.
Radič domény systému Windows určuje, či klient Netlogon používa Windows dotazovaním atribútu OperatingSystem v službe Active Directory pre klienta Netlogon a vyhľadaním nasledujúcich reťazcov:
-
Windows, Hyper-V Server a Azure Stack HCI
Neodporúčame ani nepodporovať zmenu tohto atribútu klientmi služby Netlogon alebo správcami domén na hodnotu, ktorá nie je reprezentatívna pre operačný systém (OS), ktorý je spustený klient netlogon. Mali by ste vedieť, že kritériá vyhľadávania môžeme kedykoľvek zmeniť. Pozrite si tému Zmena 3.
Fáza vynútenia neodmieta klientov Netlogon na základe typu šifrovania, ktoré klienti používajú. Bude len odmietnuť Netlogon klientov, ak sa RPC podpisu miesto RPC tesnenie. Odmietnutie RC4 Netlogon klientov je založený na "RejectMd5Clients" kľúč databázy Registry k dispozícii pre Windows Server 2008 R2 a novšie Windows Radiče domény. Fáza vynútenia pre túto aktualizáciu nemení hodnotu RejectMd5Clients. Odporúčame, aby zákazníci povolili hodnotu RejectMd5Clients pre vyššie zabezpečenie vo svojich doménach. Pozrite si tému Zmena 3.
Slovník
Advanced Encryption Standard (AES) je bloková šifra, ktorá nahrádza štandard DES (Data Encryption Standard). AES možno použiť na ochranu elektronických údajov. Algoritmus AES možno použiť na šifrovanie (šifrovanie) a dešifrovanie (dešifrovanie) informácií. Šifrovanie skonvertuje údaje na nezrozumiteľnú formu nazývanú šifrovací text. dešifrovaním šifrovacieho textu sa údaje skonvertujú späť do pôvodnej podoby nazývanej obyčajný text. AES sa používa v kryptografii symetrickým kľúčom, čo znamená, že rovnaký kľúč sa používa na operácie šifrovania a dešifrovania. To je tiež blok šifra, čo znamená, že pracuje na pevnej veľkosti-bloky obyčajný text a šifrovacie písmo, a vyžaduje veľkosť obyčajného textu, rovnako ako šifrovaný text byť presný násobok tejto veľkosti bloku. AES je tiež známy ako Rijndael symetrické šifrovací algoritmus [FIPS197] .
V prostredí zabezpečenia siete kompatibilnom s operačným systémom systém Windows NT súčasť zodpovedná za synchronizáciu a údržbu medzi primárnym radičom domény (PDC) a radičmi záložnej domény (BDC). Netlogon je predchodcom protokolu DRS (Directory Replication Server). Rozhranie vzdialeného volania procedúr vzdialeného protokolu Netlogon (RPC) sa používa predovšetkým na udržiavanie vzťahu medzi zariadením a jeho doménou a vzťahov medzi radičmi domény (DCs) a doménami. Ďalšie informácie nájdete v téme Vzdialený protokol Netlogon.
RC4-HMAC (RC4) je symetrický šifrovací algoritmus s variabilnou dĺžkou kľúča. Ďalšie informácie nájdete v časti [SCHNEIER] 17.1.
Overené pripojenie vzdialeného volania procedúr (RPC) medzi dvoma počítačmi v doméne so zaužívaným kontextom zabezpečenia , ktorý sa používa na podpisovanie a šifrovanie paketov RPC .