Dnevnik sprememb
Sprememba 1: 5. april 2023: Premaknili smo fazo »Privzeti uveljavljanje« registrskega ključa iz 11. aprila 2023 na 13. junij 2023 v razdelku »Časovna usklajenost posodobitev za naslov CVE-2022-38023«. Sprememba 2: 20. april 2023: Odstranjeno je nenatančno sklicevanje na predmet pravilnika skupine »Krmilnik domene: dovoli ranljive povezave v varnem kanalu« v razdelku »Nastavitve registrskega ključa«. Sprememba 3: 19. junij 2023:
|
V tem članku
Povzetek
8. novembra 2022 in novejše posodobitve sistema Windows odpravijo pomanjkljivosti v Protokolu Netlogon, ko se namesto žiga RPC uporablja podpisovanje protokola RPC. Več informacij je na voljo v CVE-2022-38023 .
Vmesnik Netlogon Remote Protocol remote procedure call (RPC) se primarno uporablja za vzdrževanje odnosa med napravo in njeno domeno ter relacij med krmilniki domene in domenami.
Ta posodobitev privzeto ščiti naprave s sistemom Windows pred CVE-2022-38023 . Za odjemalce drugih ponudnikov in krmilnike domene drugih ponudnikov je posodobitev privzeto v združljivostnem načinu in omogoča ranljive povezave takih odjemalcev. Navodila za premik v način uveljavljanja najdete v razdelku Nastavitve registrskega ključa.
Če želite zaščititi svoje okolje, namestite posodobitev sistema Windows iz 8. novembra 2022 ali novejšo posodobitev sistema Windows v vse naprave, vključno s krmilniki domene.
Pomembno Od junija 2023 bo način uveljavljanja omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave iz neskladnih naprav. V tem času posodobitve ne boste mogli onemogočiti, lahko pa se premaknete nazaj na nastavitev Združljivostni način. Združljivostni način bo odstranjen julija 2023, kot je opisano v razdelku Časovna usklajenost posodobitev za odpravljanje ranljivosti Netlogon CVE-2022-38023 .
Čas posodobitev za naslov CVE-2022-38023
Posodobitve bo izdana v več fazah: začetna faza za posodobitve, izdane 8. novembra 2022 ali po tem 8. novembru, in za fazo uveljavljanja za posodobitve, izdane 11. julija 2023 ali po tem.
Faza začetnega uvajanja se začne s posodobitvami, izdanimi 8. novembra 2022, in se nadaljuje s poznejšimi posodobitvami sistema Windows do faze uveljavljanja. Posodobitve sistema Windows 8. novembra 2022 ali po tem odpravljajo ranljivost zaradi varnostnega obhoda CVE-2022-38023 z uveljavljanjem pečata RPC v vseh odjemalcih sistema Windows.
Naprave bodo privzeto nastavljene v združljivostnem načinu. Krmilniki domene sistema Windows zahtevajo, da odjemalci storitve Netlogon uporabljajo tjulenj RPC, če se izvajajo v sistemu Windows, ali če delujejo kot krmilniki domene ali kot računi zaupanja.
Posodobitve sistema Windows, izdane 11. aprila 2023 ali pozneje, bodo odstranile možnost onemogočanja zapečanja RPC tako, da vrednost 0 nastavite na registrski podključ RequireSeal .
Registrski podključ RequireSeal bo premaknjen v način Vsili, razen če skrbniki izrecno konfigurirajo, da so v združljivostnem načinu. Ranljive povezave vseh odjemalcev, vključno s tretjimi osebami, bodo zavrnjene. Glejte Sprememba 1.
S posodobitvami sistema Windows, izdanimi 11. julija 2023, ne bo mogoče nastaviti vrednosti 1 na registrski podključ RequireSeal . To omogoča izvajanje faze CVE-2022-38023.
Nastavitve registrskega ključa
Po namestitvi posodobitev sistema Windows z datumom 8. novembra 2022 ali po tem, je za protokol Netlogon v krmilnikih domene sistema Windows na voljo naslednji registrski podključ.
POMEMBNO Ta posodobitev in prihodnje spremembe uveljavljanja ne dodajo ali odstranijo registrskega podključa »RequireSeal« ali ga ne odstrani samodejno. Ta registrski podključ mora biti dodan ročno, da ga je mogoče prebrati. Glejte Sprememba 3.
RequireSeal subkey
Registrski ključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Vrednost |
ZahtevaJSeal |
Podatkovni tip |
REG_DWORD |
Podatki |
0 – Onemogočeno 1 – Združljivostni način. Krmilniki domene sistema Windows zahtevajo, da odjemalci storitve Netlogon uporabijo Tjulenj RPC, če se izvajajo v sistemu Windows, ali če delujejo kot krmilniki domene ali kot zaupanja vreden račun. 2 – Način uveljavljanja. Vsi odjemalci morajo uporabljati pečat RPC. Glejte Sprememba 2. |
Ali je potreben vnovični zagon? |
Ne |
Dogodki sistema Windows, povezani s CVE-2022-38023
OPOMBA Ti dogodki imajo 1-urni medpomnilnik, v katerem so podvojeni dogodki, ki vsebujejo iste informacije, med tem medpomnilniku zavrženi.
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Napaka |
Vir dogodka |
NETLOGON |
ID dogodka |
5838 |
Besedilo dogodka |
Storitev Netlogon je naletela na odjemalca, ki je namesto zapečanja RPC uporabljali podpisovanje klica oddaljene procedure. |
Če najdete to sporočilo o napaki v dnevnikih dogodkov, morate za odpravo sistemske napake izvesti ta dejanja:
-
Preverite, ali se v napravi izvaja podprta različica sistema Windows.
-
Preverite, ali so vse naprave posodobljene.
-
Preverite, ali je član domene: Član domene Digitalno šifriraj ali podpiši podatke v varnem kanalu (vedno) nastavljen na Omogočeno .
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Napaka |
Vir dogodka |
NETLOGON |
ID dogodka |
5839 |
Besedilo dogodka |
Storitev Netlogon je naletela na zaupanje pri uporabi podpisovanja klica oddaljene procedure namesto zapečanja RPC. |
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
NETLOGON |
ID dogodka |
5840 |
Besedilo dogodka |
Storitev Netlogon je ustvarila varen kanal z odjemalcem s storitvijo RC4. |
Če najdete dogodek 5840, je to znak, da odjemalec v vaši domeni uporablja šibko šifriranje.
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Napaka |
Vir dogodka |
NETLOGON |
ID dogodka |
5841 |
Besedilo dogodka |
Storitev Netlogon je odjemalcu zavrnila uporabo rc4 zaradi nastavitve »RejectMd5Clients«. |
Če najdete dogodek 5841, je to znak, da je vrednost RejectMD5Clients nastavljena na TRUE .
glejte opis rejectMD5Clients abstraktnega podatkovnega modela.
Tipka RejectMD5Clients je predhodno obstoječi ključ v storitvi Netlogon. Če želite več informacij,Pogosta vprašanja
Ta CVE vpliva na vse račune računalnika, pridružene domeni. Dogodki bodo pokazali, na koga ta težava najbolj vpliva po namestitvi posodobitev sistema Windows z dne 8. novembra 2022 ali novejših. Preglejte razdelek Napake dnevnika dogodkov in odpravite težave.
Za lažje zaznavanje starejših odjemalcev, ki ne uporabljajo najmočnejšega razpoložljivega kriptografije, ta posodobitev uvaja dnevnike dogodkov za odjemalce, ki uporabljajo RC4.
Podpisovanje oddaljene procedure je takrat, ko protokol Netlogon uporablja protokol RPC za podpisovanje sporočil, ki jih pošlje po žici. Žig RPC je takrat, ko Netlogon protokol obeh znakov in šifrira sporočila, ki jih pošlje po žici.
Krmilnik domene sistema Windows ugotovi, ali se v odjemalcu storitve Netlogon izvaja Windows, tako da v imeniku Active Directory poizvedi o atributu »OperatingSystem« odjemalca storitve Netlogon in poišče te nize:
-
»Windows«, »Hyper-V Server« in »Azure Stack HCI«
Ne priporočamo niti ne podpore, da netlogon odjemalci ali skrbniki domene spremenijo ta atribut v vrednost, ki ne pomeni operacijskega sistema (OS), ki ga uporablja odjemalec Netlogon. Pogoje iskanja lahko kadar koli spremenimo. Glejte Sprememba 3.
Faza uveljavljanja ne zavrne odjemalcev storitve Netlogon na podlagi vrste šifriranja, ki ga uporabljajo odjemalci. Zavrne le odjemalce storitve Netlogon, če ne bodo podpisovanju RPC namesto RPC-ja zapečatili. Zavrnitev odjemalcev RC4 Netlogon temelji na registrskem ključu »RejectMd5Clients«, ki je na voljo za Windows Server 2008 R2 in novejše krmilnike domene sistema Windows. Faza uveljavljanja za to posodobitev ne spremeni vrednosti »RejectMd5Clients«. Priporočamo, da stranke omogočijo vrednost »RejectMd5Clients« za večjo varnost v svojih domenah. Glejte Sprememba 3.
Slovar
Advanced Encryption Standard (AES) je šifriranje bloka, ki nadomešča standard za šifriranje podatkov (DES). Sistem AES se lahko uporablja za zaščito elektronskih podatkov. Algoritem AES lahko uporabljate za šifriranje (šifriranje) in dešifriranje (dešifriranje) informacij. Šifriranje pretvori podatke v nerazumno obliko, imenovano ciphertext; dešifriranje ciphertext pretvori podatke nazaj v izvirno obliko, imenovano navadno besedilo. AES se uporablja v kriptografiji s simetričnim ključem, kar pomeni, da se isti ključ uporablja za postopke šifriranja in dešifriranja. Gre tudi za kodo bloka, kar pomeni, da deluje v blokih navadnega besedila in ciphertext v nespremenljivi velikosti, ter zahteva, da sta velikost navadnega besedila in ciphertext natančno večkratnik te velikosti bloka. AES je znan tudi kot algoritem simetričnega šifriranja Rijndael [FIPS197] .
V varnostnem Windows NT, združljivem z operacijskim sistemom, komponento, odgovorno za sinhronizacijo in vzdrževanje med primarnim krmilnikom domene (PDC) in krmilniki domene za varnostno kopiranje (BDC). Netlogon je predpona za protokol strežnika za podvajanje imenika (DRS). Vmesnik Netlogon Remote Protocol remote procedure call (RPC) se primarno uporablja za vzdrževanje odnosa med napravo in njeno domeno ter relacij med krmilniki domene in domenami. Če želite več informacij, glejte Netlogon Remote Protocol.
RC4-HMAC (RC4) je algoritem simetričnega šifriranja dolžine spremenljive dolžine ključa. Če želite več informacij, glejte [SCHNEIER] poglavje 17.1.
Povezava klica oddaljene procedure s preverjeno pristnostjo (RPC) med dvema računalnikoma v domeni z uveljavljenim varnostnim kontekstom, ki se uporablja za podpisovanje in šifriranje paketov RPC.