Posodobljene
10. april 2023: Posodobitev »tretje faze uvajanja« z 11. aprila 2023 na 13. junij 2023 v razdelku »Časovna usklajenost posodobitev za naslov CVE-2022-37967«.
V tem članku
Povzetek
8. novembra 2022 sistem Windows posodobi obhod varnosti naslova in povišanje ranljivosti pravic s podpisi s potrdilom o atributu privilegija (PAC). Ta varnostna posodobitev odpravlja ranljivosti Kerberos, kjer lahko napadalec digitalno spremeni podpise PAC in dviga svoje pravice.
Če želite zaščititi svoje okolje, namestite to posodobitev sistema Windows v vse naprave, vključno s krmilniki domene sistema Windows. Preden preklopite posodobitev na vsileni način, morate najprej posodobiti vse krmilnike domene v vaši domeni.
Če želite izvedeti več o teh ranljivostih, glejte CVE-2022-37967.
Ukrepajte
Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo, da izvedete te korake:
-
Posodobite krmilnike domene sistema Windows s posodobitvijo sistema Windows, izdano 8. novembra 2022 ali po tem.
-
Krmilnike domene sistema Windows premaknite v način nadzora v razdelku Nastavitev registrskega ključa.
-
SPREMLJAjte dogodke, ki ste jih vložili med načinom nadzora, da zaščitite svoje okolje.
-
OMOGOČINačin uveljavljanja za naslov CVE-2022-37967 v vašem okolju.
Opomba 1. korak namestitve posodobitev, izdanih 8. novembra 2022 ali po tem, privzeto ne bo odpravil varnostnih težav v CVE-2022-37967 za naprave s sistemom Windows. Če želite v celoti ublažiti varnostno težavo za vse naprave, morate čim prej v vseh krmilnikih domene sistema Windows premakniti v način nadzora (opisan v 2. koraku), ki mu sledi vsiljeni način (opisan v 4. koraku).
Pomembno Od julija 2023 bo način uveljavljanja omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave iz neskladnih naprav. V tem času posodobitve ne boste mogli onemogočiti, lahko pa se premaknete nazaj na nastavitev načina nadzora. Način nadzora bo oktobra 2023 odstranjen, kot je opisano v razdelku Časovna usklajenost posodobitev za naslov ranljivosti Kerberos CVE-2022-37967 .
Čas posodobitev za naslov CVE-2022-37967
Posodobitve bodo izdane v fazah: začetna faza za posodobitve, izdane 8. novembra 2022 ali po tem 8. novembru, in faze uveljavljanja za posodobitve, izdane 13. junija 2023 ali po tem.
Faza začetnega uvajanja se začne s posodobitvami, izdanimi 8. novembra 2022, in se nadaljuje s poznejšimi posodobitvami sistema Windows do faze uveljavljanja. Ta posodobitev doda podpise v medpomnilnik Kerberos PAC, vendar med preverjanjem pristnosti ne preveri, ali so na voljo podpisi. Tako je varni način privzeto onemogočen.
Ta posodobitev:
-
Doda podpise PAC medpomnilniku Kerberos PAC.
-
Doda ukrepe za zaščito ranljivosti obhoda v protokolu Kerberos.
Druga faza uvajanja se začne s posodobitvami, izdanimi 13. decembra 2022. S temi in novejšimi posodobitvami spremenite protokol Kerberos za nadzor naprav s sistemom Windows tako , da krmilnike domene sistema Windows premaknete v način nadzora.
S to posodobitvijo bodo vse naprave privzeto v načinu nadzora:
-
Če podpis manjka ali je neveljaven, je dovoljeno preverjanje pristnosti. Poleg tega bo ustvarjen dnevnik nadzora.
-
Če podpis manjka, dvignite dogodek in omogočite preverjanje pristnosti.
-
Če je podpis prisoten, ga preverite. Če podpis ni pravilen, dvignite dogodek in omogočite preverjanje pristnosti.
Posodobitve sistema Windows, izdane 13. junija 2023 ali po tem, bodo storile to:
-
Odstranite možnost onemogočanja dodajanja podpisa PAC tako, da podključ KrbtgtFullPacSignature nastavite na vrednost 0.
Posodobitve sistema Windows, izdane 11. julija 2023 ali po tem, bodo storile to:
-
Odstrani možnost nastaviti vrednost 1 za podključ KrbtgtFullPacSignature.
-
Premakne posodobitev v način uveljavljanja (privzeto) (KrbtgtFullPacSignature = 3), ki ga lahko preglasi skrbnik z eksplicitno nastavitvijo Nadzora.
Posodobitve sistema Windows, izdane 10. oktobra 2023 ali po tem, bodo storile to:
-
Odstrani podporo za registrski podključ KrbtgtFullPacSignature.
-
Odstrani podporo za način nadzora.
-
Vse naročila storitev brez novih podpisov PAC bodo zavrnjena za preverjanje pristnosti.
Smernice za uvajanje
Če želite uvesti posodobitve sistema Windows z dne 8. novembra 2022 ali novejše posodobitve sistema Windows, sledite tem korakom:
-
Posodobite krmilnike domene sistema Windows s posodobitvijo, izdano 8. novembra 2022 ali po tem.
-
Krmilnike domene premaknite v način nadzora v razdelku Nastavitev registrskega ključa.
-
SPREMLJAjte dogodke, ki ste jih vložili med načinom nadzora, da zaščitite svoje okolje.
-
OMOGOČI Način uveljavljanja za naslov CVE-2022-37967 v vašem okolju.
1. KORAK: POSODOBITEV
Uvedi posodobitve z dne 8. novembra 2022 ali novejše posodobitve za vse veljavne krmilnike domene sistema Windows. Po uvedbi posodobitve bodo posodobljeni krmilniki domene sistema Windows imeli v medpomnilnik Kerberos PAC dodano podpise in bodo privzeto negotovi (podpis PAC ni preverjen).
-
Med posodabljanjem ne pozabite ohraniti registrske vrednosti KrbtgtFullPacSignature v privzetem stanju, dokler niso posodobljeni vsi krmilniki domene sistema Windows.
2. KORAK: PREMAKNI
Ko so krmilniki domene sistema Windows posodobljeni, preklopite v način nadzora tako, da vrednost KrbtgtFullPacSignature spremenite na 2.
3. KORAK: NAJDI/MONITOR
Identificirajte območja, kjer manjkajo podpisi PAC ali pa imajo podpise PAC, ki ne morejo izvesti preverjanja veljavnosti v dnevnikih dogodkov, sproženih med načinom nadzora.
-
Prepričajte se, da je funkcionalna raven domene nastavljena na vsaj 2008 ali več, preden se premaknete v način uveljavljanja. Če z domenami na ravni funkcij domene 2003 nadaljujete z načinom uveljavljanja, lahko pride do napak pri preverjanju pristnosti.
-
Dogodki nadzora bodo prikazani, če vaša domena ni v celoti posodobljena ali če v vaši domeni še vedno obstajajo neporavnane že izdane vstopnice storitve.
-
Še naprej spremljajte, ali so shranjeni dodatni dnevniki dogodkov, ki kažejo manjkajoče podpise PAC ali napake pri preverjanju veljavnosti obstoječih podpisov PAC.
-
Ko je celotna domena posodobljena in vse neporavnane vstopnice potečejo, dogodki nadzora ne bi več morali biti prikazani. Nato se boste lahko premaknili v način uveljavljanja brez napak.
4. KORAK: OMOGOČITE
Omogočite način uveljavljanja za naslov CVE-2022-37967 v svojem okolju.
-
Ko so vsi dogodki nadzora odpravljeni in niso več prikazani, premaknite domene v način uveljavljanja tako, da posodobite vrednost registra KrbtgtFullPacSignature , kot je opisano v razdelku Nastavitve registrskega ključa.
-
Če ima servisna vstopnica neveljaven podpis PAC ali manjkajo podpisi PAC, preverjanje veljavnosti ne bo uspelo in dogodek napake bo zabeležen.
Nastavitve registrskega ključa
Protokol Kerberos
Po namestitvi posodobitev sistema Windows z datumom ali po 8. novembru 2022 je za protokol Kerberos na voljo ta registrski ključ:
-
KrbtgtFullPacSignature
Ta registrski ključ se uporablja za zadržanje uvajanja sprememb Kerberos. Ta registrski ključ je začasen in ne bo več prebran po polnem datumu uveljavljanja, ki je 10. oktobra 2023.Registrski ključ
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Vrednost
KrbtgtFullPacSignature
Podatkovni tip
REG_DWORD
Podatki
0 – Onemogočeno
1 – Dodani so novi podpisi, vendar niso preverjeni. (Privzeta nastavitev)
2 – Način nadzora. Dodani so novi podpisi in preverjeni, če so prisotni. Če podpis manjka ali pa je neveljaven, je preverjanje pristnosti dovoljeno in ustvarjeni so dnevniki nadzora.
3 – Način uveljavljanja. Dodani so novi podpisi in preverjeni, če so prisotni. Če podpis manjka ali je neveljaven, je preverjanje pristnosti zavrnjeno in ustvarjeni so dnevniki nadzora.
Ali je potreben vnovični zagon?
Ne
Opomba Če morate spremeniti registrsko vrednost KrbtgtFullPacSignature, ročno dodajte in nato konfigurirajte registrski ključ tako, da preglasi privzeto vrednost.
Dogodki sistema Windows, povezani s CVE-2022-37967
V načinu nadzora lahko najdete eno od teh napak, če podpisi PAC manjkajo ali niso veljavni. Če se ta težava ponavlja med načinom uveljavljanja, bodo ti dogodki zabeleženi kot napake.
Če v svoji napravi najdete napako, verjetno niso posodobljeni vsi krmilniki domene sistema Windows v vaši domeni s posodobitvijo sistema Windows z dne 8. novembra 2022 ali novejše. Če želite odpraviti težave, morate podrobneje raziskati svojo domeno, da boste našli krmilnike domene sistema Windows, ki niso posodobljeni.
Opomba Če najdete napako z ID-jem dogodka 42, glejte KB5021131: Kako upravljati spremembe protokola Kerberos, povezane s CVE-2022-37966.
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID dogodka |
43 |
Besedilo dogodka |
Središče za distribucijo ključa (KDC) je naletelo na vstopnico, da ni mogel preveriti veljavnosti celoten podpis PAC. Če želite https://go.microsoft.com/fwlink/?linkid=2210019 več informacij, glejte Članek z več podatki. Odjemalec: <sfero>/<Ime> |
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID dogodka |
44 |
Besedilo dogodka |
Središče za distribucijo ključa (KDC) je naletelo na vstopnico, ki ni vsebovala celotnega podpisa PAC. Če želite https://go.microsoft.com/fwlink/?linkid=2210019 več informacij, glejte Članek z več podatki. Odjemalec: <sfero>/<Ime> |
Naprave drugih ponudnikov, ki uporabljajo protokol Kerberos
Domene, ki imajo krmilnike domene neodvisnih izdelovalcev, lahko vidijo napake v načinu uveljavljanja.
Domene z odjemalci tretjih oseb bodo po namestitvi posodobitve sistema Windows z dne 8. novembra 2022 ali novejše posodobitve sistema Windows morda dlje počiščene.
Obrnite se na proizvajalca naprave (OEM) ali prodajalca programske opreme in preverite, ali je njegova programska oprema združljiva z najnovejšo spremembo protokola.
Če želite več informacij o posodobitvah protokola, glejte temo Protokola Windows na Microsoftovem spletnem mestu.
Slovar
Kerberos je protokol preverjanja pristnosti v omrežju računalnika, ki deluje na osnovi »vstopnic«, ki vozliščem, ki prek omrežja komunicirajo, da dokažejo svojo identiteto med seboj na varen način.
Storitev Kerberos, ki izvaja storitve preverjanja pristnosti in dodeljevanja vstopnic, določenih v protokolu Kerberos. Storitev se izvaja v računalnikih, ki jih izbere skrbnik sfere ali domene; ni prisoten v vseh računalnikih v omrežju. Za sfero, ki ji služi, mora imeti dostop do zbirke podatkov računa. KD-ji so integrirani v vlogo krmilnika domene. Gre za omrežno storitev, ki odjemalcem dobavlja vstopnice za uporabo pri omogočanja pristnosti storitev.
Potrdilo o atributu pravic (PAC) je struktura, ki sporoča informacije, povezane s pooblastilom, ki jih posredujejo krmilniki domene. Če želite več informacij, glejte Podatkovna struktura potrdila s atributom privilegija.
Posebna vrsta vozovnice, ki jo je mogoče uporabiti za pridobitev drugih vstopnic. Ticket-granting Ticket (TGT) se pridobi po prvotnem preverjanju pristnosti v izmenjavo AS (Authentication Service); nato uporabnikom ni treba predstaviti svojih poverilnic, lahko pa uporabijo TGT za pridobitev poznejših vozovnic.