Ažurira
10. april 2023: Ažurirana je "Treća faza primene" od 11. aprila 2023. do 13. juna 2023. u odeljku "Podešavanje vremena ispravki za adresu CVE-2022-37967".
U ovom članku
Rezime
Windows ispravke od 8. novembra 2022. rešavaju bezbednosni zaobajaj i podizanje ranjivosti privilegija pomoću potpisa Privilege Attribute Certificate (PAC). Ova bezbednosna ispravka adresira Kerberos ranjivosti gde bi napadač mogao digitalno da izmeni PAC potpise i poveća njihove privilegije.
Da biste obezbedili okruženje, instalirajte ovu Windows ispravku na sve uređaje, uključujući Windows upravljače domenima. Svi kontrolori domena u domenu moraju prvo da se ažuriraju pre prebacivanja ispravke na nametnut režim.
Da biste saznali više o ovim ranjivostima, pogledajte CVE-2022-37967.
Preduzimanje radnje
Da biste zaštitili okruženje i sprečili prekede, preporučujemo da izvršite sledeće korake:
-
AŽURIRAJTE Windows kontrolera domena pomoću Windows ispravke objavljene 8. novembra 2022. ili posle toga.
-
PREMESTIte Windows kontrolere domena u režim nadzora pomoću odeljka sa postavkama ključa registratora .
-
NADGLEDAJTE događaje koji su zaduženi tokom režima nadzora kako biste obezbedili okruženje.
-
OMOGUĆIRežim sprovođenja za adresu CVE-2022-37967 u okruženju.
Beleške 1. korak instaliranja ispravki objavljenih 8. novembra 2022. neće rešiti bezbednosne probleme u cve-2022-37967 za Windows uređaje. Da biste u potpunosti umanjili bezbednosni problem za sve uređaje, morate da pređete u režim nadzora (opisan u 2. koraku), a zatim na nametnut režim (opisan u 4. koraku) što je pre moguće na svim Windows kontrolerima domena.
Vaћno Od jula 2023. godine režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni. U tom trenutku nećete moći da onemogućite ispravku, ali ćete se možda vratiti na postavku režima nadzora. Režim nadzora će biti uklonjen u oktobru 2023. kao što je navedeno u odeljku Vremenski raspored ispravki za ranjivost Kerberos CVE-2022-37967 .
Vremenski raspored ispravki za adresu CVE-2022-37967
Novosti će biti objavljene u fazama: početna faza ažuriranja objavljena 8. novembra 2022. ili posle 8. novembra 2022. i faza sprovođenja ispravki objavljenih 13. juna 2023. ili posle toga.
Početna faza primene počinje ispravkama objavljenim 8. novembra 2022. i nastavlja se sa kasnijim ispravkama operativnog sistema Windows do faze sprovođenja. Ova ispravka dodaje potpise u Kerberos PAC bafer, ali ne proverava da li postoje potpisi tokom potvrde identiteta. Zbog toga je bezbedni režim podrazumevano onemogućen.
Ova ispravka:
-
Dodaje PAC potpise u Kerberos PAC bafer.
-
Dodaje mere kako bi se rešila bezbednosna zaobiti ranjivost u Protokolu Kerberos.
Druga faza primene počinje ispravkama objavljenim 13. decembra 2022. Ove i novije ispravke menjaju Kerberos protokol za nadgledanje Windows uređaja tako što kontrolori domena operativnog sistema Windows premeštaju u režim nadzora.
Sa ovom ispravkom, svi uređaji će podrazumevano biti u režimu nadzora:
-
Ako potpis nedostaje ili je nevažeći, dozvoljena je potvrda identiteta. Pored toga, biće kreirana evidencija nadzora.
-
Ako potpis nedostaje, podignite događaj i dozvolite potvrdu identiteta.
-
Ako je potpis prisutan, proverite valjanost. Ako je potpis netačan, podignite događaj i dozvolite potvrdu identiteta.
Ispravke za Windows objavljene 13. juna 2023. ili 13. juna 2023. će uraditi sledeće:
-
Uklonite mogućnost da onemogućite dodavanje PAC potpisa tako što ćete postaviti potključ KrbtgtFullPacSignature na vrednost 0.
Ispravke za Windows objavljene 11. jula 2023. ili 11. jula 2023. će uraditi sledeće:
-
Uklanja mogućnost postavljanja vrednosti 1 za potključ KrbtgtFullPacSignature.
-
Premešta ispravku u režim sprovođenja (Podrazumevano) (KrbtgtFullPacSignature = 3) koji administrator može da zameni postavkom izričitog nadzora.
Ispravke za Windows objavljene 10. oktobra 2023. ili posle toga će uraditi sledeće:
-
Uklanja podršku za potključ registratora KrbtgtFullPacSignature.
-
Uklanja podršku za režim nadzora.
-
Odbiće se potvrda identiteta svih tiketa za usluge bez novih PAC potpisa.
Uputstva za primenu
Da biste primenili Ispravke za Windows koje su od 8. novembra 2022. ili novije, pratite ove korake:
-
AŽURIRAJTE Windows kontrolere domena ispravkom objavljenom 8. novembra 2022. ili nakon toga.
-
PREMESTIte kontrolere domena u režim nadzora pomoću odeljka sa postavkama ključa registratora.
-
NADGLEDAJTE događaje koji su zaduženi tokom režima nadzora da biste obezbedili okruženje.
-
OMOGUĆI Režim sprovođenja za adresu CVE-2022-37967 u okruženju.
1. KORAK: AŽURIRANJE
Primenite ispravke od 8. novembra 2022. ili novije na sve primenljive Windows kontrolere domena (DC). Nakon primene ispravke, Windows kontrolori domena koji su ažurirani dodaće potpise u Kerberos PAC bafer i podrazumevano će biti nesigurni (PAC potpis nije proveren).
-
Prilikom ažuriranja, obavezno zadržite vrednost registratora KrbtgtFullPacSignature u podrazumevanom stanju dok se ne ažuriraju svi Windows kontrolori domena.
2. KORAK: PREMEŠTANJE
Kada se Windows kontrolori domena ažuriraju, prebacite se u režim nadzora tako što ćete promeniti vrednost KrbtgtFullPacSignature na 2.
3. KORAK: PRONALAŽENJE/NADGLEDANJE
Identifikujte oblasti kojima nedostaju PAC potpisi ili imaju PAC potpise koji ne uspeju da provere valjanost putem evidencija događaja pokrenutih tokom režima nadzora.
-
Uverite se da je funkcionalni nivo domena podešen na najmanje 2008. ili noviju vrednost pre nego što se premestite u režim sprovođenja. Prelazak u režim sprovođenja sa domenima na funkcionalnom nivou domena 2003 može dovesti do otkazivanja potvrde identiteta.
-
Događaji nadzora će se pojaviti ako domen nije u potpunosti ažuriran ili ako u domenu i dalje postoje istaknute tikete za usluge koje ste prethodno izdali.
-
Nastavite da nadgledate dodatne evidencije događaja koje ukazuju na to da nedostaju PAC potpisi ili neuspešna provera valjanosti postojećih PAC potpisa.
-
Kada se ažurira ceo domen i isteknu svi otvoreni tiketi, događaji nadzora više ne bi trebalo da se pojavljuju. Zatim bi trebalo da možete da pređete u režim sprovođenja bez neuspeha.
4. KORAK: OMOGUĆAVANJE
Omogućite režim sprovođenja za adresu CVE-2022-37967 u okruženju.
-
Kada se svi događaji nadzora reše i više se ne pojave, premestite domene u režim sprovođenja tako što ćete ažurirati vrednost registratora KrbtgtFullPacSignature kao što je opisano u odeljku Postavke ključa registratora.
-
Ako tiket usluge ima nevažeći PAC potpis ili nedostaje PAC potpisi, provera valjanosti neće uspeti i biće evidentiran događaj greške.
Postavke ključa registratora
Kerberos protokol
Kada instalirate Windows ispravke koje su navedene 8. novembra 2022. ili posle toga, sledeći ključ registratora je dostupan za Kerberos protokol:
-
KrbtgtFullPacSignature
Ovaj ključ registratora se koristi za mrežnu primenu Kerberos promena. Ovaj ključ registratora je privremen i više neće biti pročitan nakon punog datuma primene 10. oktobra 2023. godine.Ključ registratora
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Vrednost
KrbtgtFullPacSignature
Tip podataka
REG_DWORD
Podataka
0 – Onemogućeno
1 – Dodaju se novi potpisi, ali nisu verifikovani. (Podrazumevana postavka)
2 – Režim nadzora. Dodaju se novi potpisi i verifikuju se ako postoje. Ako potpis nedostaje ili je nevažeći, dozvoljena je potvrda identiteta i kreiraju se evidencije nadzora.
3 – Režim sprovođenja. Dodaju se novi potpisi i verifikuju se ako postoje. Ako potpis nedostaje ili je nevažeći, potvrda identiteta je odbijena i kreiraju se evidencije nadzora.
Potrebno je ponovno pokretanje?
Ne
Beleške Ako treba da promenite vrednost registratora KrbtgtFullPacSignature, ručno dodajte i konfigurišite ključ registratora da biste zamenili podrazumevanu vrednost.
Windows događaji u vezi sa CVE-2022-37967
U režimu nadzora možete da pronađete neku od sledećih grešaka ako PAC potpisi nedostaju ili nisu važeći. Ako se ovaj problem nastavi tokom režima sprovođenja, ovi događaji će biti evidentirani kao greške.
Ako pronađete bilo koju grešku na uređaju, verovatno svi Windows kontrolori domena u domenu nisu ažurirani sa Windows ispravkom od 8. novembra 2022. ili novijim. Da biste umanjili probleme, moraćete dodatno da istražite domen da biste pronašli Windows kontrolere domena koji nisu ažurirani.
Beleške Ako pronađete grešku sa ID-om događaja 42, pročitajte članak KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
43 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket koji nije mogao da proveri valjanost potpuni PAC potpis. Pogledajte https://go.microsoft.com/fwlink/?linkid=2210019 da biste saznali više. Klijent : <realm>/<Name> |
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
44 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket koji nije sadržao ceo PAC potpis. Pogledajte https://go.microsoft.com/fwlink/?linkid=2210019 da biste saznali više. Klijent : <realm>/<Name> |
Uređaji nezavisnih proizvođača koji primenjuju Kerberos protokol
Domeni koji imaju kontrolere domena nezavisnih proizvođača mogu da vide greške u režimu sprovođenja.
Domenima sa klijentima nezavisnih proizvođača možda će biti potrebno više vremena da se u potpunosti obriše sa događaja nadzora nakon instalacije ispravke za Windows od 8. novembra 2022. ili novije.
Obratite se proizvođaču uređaja (OEM) ili prodavcu softvera da biste utvrdili da li je njihov softver kompatibilan sa najnovijom promenom protokola.
Informacije o ispravkama protokola potražite u temi Windows protokola na Microsoft veb lokaciji.
Rečnik
Kerberos je protokol za potvrdu identiteta na računaru na mreži koji radi na osnovu "tiketa" kako bi omogućio da čvorovi komuniciraju preko mreže kako bi se na bezbedan način dokazao njihov identitet.
Kerberos usluga koja primenjuje usluge potvrde identiteta i dodele tiketa navedene u Kerberos protokolu. Usluga se pokreće na računarima koje izabere administrator domena ili domena; On nije prisutan na svakom računaru na mreži. Mora da ima pristup bazi podataka naloga za stvar u koju sluћi. KDC-i su integrisani u ulogu kontrolera domena. To je mrežna usluga koja obezbeđuje tikete klijentima za korišćenje u potvrdi identiteta za usluge.
Privilege Attribute Certificate (PAC) je struktura koja prenosi informacije u vezi sa autorizacijom koje pružaju kontrolori domena (DCs). Više informacija potražite u članku Struktura podataka certifikata atributa privilegija.
Poseban tip tiketa koji se može koristiti za pribavljanje drugih karata. Tiket za dodelu tiketa (TGT) dobija se nakon početne potvrde identiteta u razmeni usluge potvrde identiteta (AS) ; posle toga, korisnici ne moraju da izlaže svoje akreditive, ali mogu da koriste TGT da bi dobili naredne tikete.