Evidencija promena
Promena 1: 5. april 2023: Premeštena je faza "Sprovođenje podrazumevano" ključa registratora sa 11. aprila 2023. na 13. jun 2023. u odeljku "Podešavanje vremena ispravki za adresu CVE-2022-38023". Promena 2: 20. april 2023: Uklonjena je netačna referenca za objekat smernica grupe "Kontroler domena: Dozvoli ranjive Netlogon bezbedne veze kanala" (GPO) u odeljku "Postavke ključa registratora". Promena 3: 19. jun 2023:
|
U ovom članku
Rezime
Ispravke od 8. novembra 2022. i novije verzije operativnog sistema Windows rešavaju slabosti u Netlogon protokolu kada se RPC potpisivanje koristi umesto RPC pečata. Više informacija možete pronaći u programima CVE-2022-38023 .
Interfejs udaljene procedure Netlogon Remote Protocol (RPC) prvenstveno se koristi za održavanje odnosa između uređaja i domena i odnosa između kontrolera domena (DC) i domena.
Ova ispravka podrazumevano štiti Windows uređaje od CVE-2022-38023 . Za nezavisne klijente i nezavisne kontrolere domena, ispravka je podrazumevano u režimu kompatibilnosti i dozvoljava ranjive veze takvih klijenata. Korake za premeštanje u režim sprovođenja potražite u odeljku Postavke ključa registratora.
Da biste obezbedili okruženje, instalirajte Windows ispravku koja je od 8. novembra 2022. ili novija ispravka operativnog sistema Windows na svim uređajima, uključujući upravljače domenima.
Vaћno Počev od juna 2023. godine, režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni. U tom trenutku nećete moći da onemogućite ispravku, ali ćete se možda vratiti na postavku režima kompatibilnosti. Režim kompatibilnosti biće uklonjen u julu 2023. kao što je navedeno u odeljku Podešavanje vremena ispravki za adresiranje Netlogon ranjivosti CVE-2022-38023 .
Vreme ažuriranja adrese CVE-2022-38023
Novosti će biti objavljena u nekoliko faza: početna faza ažuriranja objavljena 8. novembra 2022. i faza sprovođenja ispravki objavljenih 11. jula 2023. ili posle njih.
Početna faza primene počinje ispravkama objavljenim 8. novembra 2022. i nastavlja se sa kasnijim ispravkama operativnog sistema Windows do faze sprovođenja. Windows ispravke 8. novembra 2022. ili posle 8. novembra 2022. zaobilazi ranjivost bezbednosti CVE-2022-38023 nametanjem RPC pečata na svim Windows klijentima.
Uređaji će podrazumevano biti postavljeni u režimu kompatibilnosti. Windows kontrolori domena će zahtevati da Netlogon klijenti koriste RPC pečat ako rade pod operativnim sistemom Windows ili ako se ponašaju kao kontrolori domena ili kao pouzdani nalozi.
Ispravke za Windows objavljene 11. aprila 2023. ili posle 11. aprila 2023. ukloniće mogućnost onemogućavanja RPC pečata postavljanjem vrednosti 0 na potključ registratora RequireSeal .
Potključ registratora RequireSeal biće premešten u nametnut režim, osim ako su administratori izričito konfigurisali da se nalaze u režimu kompatibilnosti. Zabranjena je potvrda identiteta ranjivih veza od svih klijenata, uključujući nezavisne proizvođače. Pogledajte članak Promena 1.
Ispravke za Windows objavljene 11. jula 2023. ukloniće mogućnost postavljanja vrednosti 1 na potključ registratora RequireSeal . To omogućava fazu sprovođenja CVE-2022-38023.
Postavke ključa registratora
Kada se instaliraju Windows ispravke koje datiraju 8. novembra 2022. ili posle njih, sledeći potključ registratora dostupan je za netlogon protokol na Windows kontrolere domena.
VAЋNO Ova ispravka, kao i buduće promene sprovođenja, ne dodaju automatski ili ne uklanjaju potključ registratora "Zahtevano". Ovaj potključ registratora mora ručno da se doda da bi bio pročitan. Pogledajte članak Promena 3.
Potreban je potključ "Potreban je"
Ključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Vrednost |
Obavezno |
Tip podataka |
REG_DWORD |
Podataka |
0 – Onemogućeno 1 – Režim kompatibilnosti. Windows kontrolori domena zahtevaju da Netlogon klijenti koriste RPC pečat ako rade pod operativnim sistemom Windows ili ako se ponašaju kao kontrolori domena ili Trust nalozi. 2 – Režim sprovođenja. Svi klijenti su potrebni za korišćenje RPC pečata. Pogledajte članak Promena 2. |
Potrebno je ponovno pokretanje? |
Ne |
Windows događaji u vezi sa CVE-2022-38023
BELEŠKE Sledeći događaji imaju bafer od 1 sata u kojem se duplirani događaji koji sadrže iste informacije odbacuju tokom tog bafera.
Evidencija događaja |
Sistem |
Tip događaja |
Greška |
Izvor događaja |
NETLOGON |
ID događaja |
5838 |
Tekst događaja |
Usluga Netlogon je naišla na klijenta pomoću RPC potpisivanja umesto RPC pečata. |
Ako pronađete ovu poruku o grešci u evidencijama događaja, morate da preduzmete sledeće radnje da biste rešili sistemsku grešku:
-
Potvrdite da uređaj radi pod podržanom verzijom operativnog sistema Windows.
-
Proverite da li su svi uređaji aћurni.
-
Proverite da li je član domena: Član domena Digitalno šifruj ili potpiši bezbedne podatke kanala (uvek) postavljen je na Omogućeno .
Evidencija događaja |
Sistem |
Tip događaja |
Greška |
Izvor događaja |
NETLOGON |
ID događaja |
5839 |
Tekst događaja |
Usluga Netlogon je naišla na poverenje pomoću RPC potpisivanja umesto RPC pečata. |
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
NETLOGON |
ID događaja |
5840 |
Tekst događaja |
Usluga Netlogon je kreirala bezbedni kanal sa klijentom sa RC4. |
Ako pronađete Događaj 5840, ovo je znak da klijent na vašem domenu koristi slabu kriptografiju.
Evidencija događaja |
Sistem |
Tip događaja |
Greška |
Izvor događaja |
NETLOGON |
ID događaja |
5841 |
Tekst događaja |
Usluga Netlogon je odbila klijenta koji koristi RC4 zbog postavke "RejectMd5Clients". |
Ako pronađete Događaj 5841, to je znak da je vrednost RejectMD5Clients postavljena na TRUE .
opisu RejectMD5Clients modela sabiranja podataka.
Ključ RejectMD5Clients je već postojeći ključ u usluzi Netlogon. Dodatne informacije potražite uNajčešća pitanja (najčešća pitanja)
Ovaj CVE utiče na sve naloge pridružene domenu. Događaji će pokazati na koga ovaj problem najviše utiče nakon instalacije ispravki za Windows od 8. novembra 2022. ili novije. Pregledajte odeljak Greške u evidenciji događaja da biste rešili probleme.
Ova ispravka uvodi evidencije događaja za klijente koji koriste RC4 da bi pomogla u otkrivanju starijih klijenata koji ne koriste najjači dostupni crypto.
RPC potpisivanje je kada Netlogon protokol koristi RPC za potpisivanje poruka koje šalje preko žice. RPC sealing je kada Netlogon protokol potpiše i šifruje poruke koje šalje preko žice.
Windows kontroler domena utvrđuje da li Netlogon klijent radi pod operativnim sistemom Windows izvršava upitom atributa "OperatingSystem" u aktivnom direktorijumu za Netlogon klijent i proveravanjem sledećih niski:
-
"Windows", "Hyper-V Server" i "Azure Stack HCI"
Ne preporučujemo niti podržavamo da ovaj atribut promene Netlogon klijenti ili administratori domena u vrednost koja nije predstavnik operativnog sistema (OS) koju pokreće Netlogon klijent. Trebalo bi da imate na umu da kriterijume pretrage možemo da promenimo u bilo kom trenutku. Pogledajte članak Promena 3.
Faza sprovođenja ne odbacuje Netlogon klijente na osnovu tipa šifrovanja koji klijenti koriste. On će odbaciti Netlogon klijente samo ako imaju RPC potpisivanje umesto RPC sealing. Odbacivanje RC4 Netlogon klijenata zasnovano je na ključu registratora "RejectMd5Clients" dostupnom za Windows Server 2008 R2 i novije Windows kontrolere domena. Faza sprovođenja za ovu ispravku ne menja vrednost "RejectMd5Clients". Preporučujemo da klijenti omoguće vrednost "RejectMd5Clients" za višu bezbednost u svojim domenima. Pogledajte članak Promena 3.
Rečnik
Advanced Encryption Standard (AES) je šifrovanje bloka koje zamenaje standard šifrovanja podataka (DES). AES se može koristiti za zaštitu elektronskih podataka. AES algoritam se može koristiti za šifrovanje (encipher) i dešifrovanje (dešifrovanje) informacija. Šifrovanje konvertuje podatke u neobličajni obrazac koji se zove šifrovani tekst; dešifrovanje šifrovanog teksta konvertuje podatke nazad u originalni obrazac, koji se naziva čisti tekst. AES se koristi u kriptografiji simetričnog ključa, što znači da se isti ključ koristi za operacije šifrovanja i dešifrivanja. To je takođe blokadni tekst, što znači da radi na blokovima čistog teksta i teksta fiksne veličine i zahteva veličinu čistog teksta, kao i da bude tačan umnožak ove veličine bloka. AES je poznat i kao Rijndael algoritam simetričnog šifrovanja [FIPS197] .
U okruženju bezbednosti mreže kompatibilnom sa operativnim sistemom Windows NT, komponenta odgovorna za funkcije sinhronizacije i održavanja između primarnog kontrolera domena (PDC) i kontrolera domena rezervne kopije (BDC). Netlogon je predusl za protokol servera replikacije direktorijuma (DRS). Interfejs udaljene procedure Netlogon Remote Protocol (RPC) prvenstveno se koristi za održavanje odnosa između uređaja i domena i odnosa između kontrolera domena (DC) i domena. Više informacija potražite u članku Netlogon Remote Protocol.
RC4-HMAC (RC4) je simetričnog algoritma simetričnog šifrovanja promenljive dužine ključa. Više informacija potražite u odeljku [SCHNEIER] 17.1.
Potvrđena veza poziva udaljene procedure (RPC) između dva računara u domenu sa uspostavljenim bezbednosnim kontekstom koji se koristi za potpisivanje i šifrovanje RPC paketa.