Uppdaterad
10 april 2023: Uppdaterade "Tredje distributionsfasen" från 11 april 2023 till 13 juni 2023 i avsnittet "Tidpunkt för uppdateringar för att hantera CVE-2022-37967".
I denna artikel
Sammanfattning
Windows-uppdateringarna från 8 november 2022 åtgärdar säkerhetsfel och säkerhetsrisker med utökade privilegier med PAC-signaturer (Privilege Attribute Certificate). Den här säkerhetsuppdateringen åtgärdar Kerberos sårbarheter där en angripare kan ändra PAC-signaturer digitalt och öka sina privilegier.
För att skydda din miljö installerar du den här Windows-uppdateringen på alla enheter, inklusive Windows domänkontrollanter. Alla domänkontrollanter i domänen måste uppdateras först innan uppdateringen växlar till framtvingat läge.
Mer information om dessa sårbarheter finns i CVE-2022-37967.
Vidta åtgärder
För att skydda din miljö och förhindra avbrott rekommenderar vi att du gör följande:
-
UPPDATERA dina Windows-domänkontrollanter med en Windows-uppdatering som släpptes 8 november 2022 eller senare.
-
FLYTTA windows-domänkontrollanterna till granskningsläge med hjälp av avsnittet Registernyckelinställning .
-
ÖVERVAKA händelser som sparats i granskningsläget för att skydda din miljö.
-
AKTIVERATillämpningsläge för att hantera CVE-2022-37967 i din miljö.
Observera Steg 1 i installationen av uppdateringar som släpptes 8 november 2022 eller senare kommer INTE att åtgärda säkerhetsproblemen i CVE-2022-37967 för Windows-enheter som standard. Om du vill minimera säkerhetsproblemen för alla enheter måste du gå över till granskningsläge (beskrivs i steg 2) följt av framtvingat läge (beskrivs i steg 4) så snart som möjligt på alla Windows-domänkontrollanter.
Viktigt! Från och med juli 2023 aktiveras tvingande läge på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter. Då kan du inte inaktivera uppdateringen, men du kan gå tillbaka till inställningen Granskningsläge. Granskningsläget tas bort i oktober 2023, vilket beskrivs i avsnittet Tidsinställning för uppdateringar för att åtgärda Kerberos säkerhetsrisker CVE-2022-37967 .
Tidpunkt för uppdateringar för CVE-2022-37967
Uppdateringar kommer att släppas i faser: den första fasen för uppdateringar som släpptes den 8 november 2022 eller senare och fasen för tillämpning för uppdateringar som släpptes den 13 juni 2023 eller senare.
Den första distributionsfasen börjar med uppdateringarna som släpptes 8 november 2022 och fortsätter med senare Windows-uppdateringar fram till tvingande fas. Den här uppdateringen lägger till signaturer i Kerberos PAC-buffert men söker inte efter signaturer under autentiseringen. Detta innebär att säkert läge är inaktiverat som standard.
Den här uppdateringen:
-
Lägger till PAC-signaturer i Kerberos PAC-buffert.
-
Lägger till åtgärder för att åtgärda säkerhetsbrister i Kerberos-protokollet.
Den andra distributionsfasen börjar med uppdateringar som släpptes 13 december 2022. Dessa och senare uppdateringar gör ändringar i Kerberos-protokollet för att granska Windows-enheter genom att flytta Windows-domänkontrollanter till granskningsläge.
Med den här uppdateringen är alla enheter i granskningsläge som standard:
-
Om signaturen saknas eller är ogiltig tillåts autentisering. Dessutom skapas en granskningslogg.
-
Om signaturen saknas kan du skapa en händelse och tillåta autentiseringen.
-
Om signaturen finns verifierar du den. Om signaturen är felaktig kan du upphöcka en händelse och tillåta autentiseringen.
Windows-uppdateringarna som släpptes 13 juni 2023 eller senare gör följande:
-
Ta bort möjligheten att inaktivera PAC-signaturtillägg genom att ange undernyckeln KrbtgtFullPacSignature till värdet 0.
Windows-uppdateringarna som släpptes 11 juli 2023 eller senare gör följande:
-
Tar bort möjligheten att ange värdet 1 för undernyckeln KrbtgtFullPacSignature.
-
Flyttar uppdateringen till tvingande läge (standard) (KrbtgtFullPacSignature = 3) som kan åsidosättas av en administratör med en explicit granskningsinställning.
Windows-uppdateringarna som släpptes den 10 oktober 2023 eller senare gör följande:
-
Tar bort stöd för registerundernyckeln KrbtgtFullPacSignature.
-
Tar bort stöd för granskningsläge.
-
Alla serviceärenden utan de nya PAC-signaturerna nekas autentisering.
Riktlinjer för distribution
Så här distribuerar du Windows-uppdateringarna från 8 november 2022 eller senare Windows-uppdateringar:
-
UPPDATERA dina Windows-domänkontrollanter med en uppdatering som släpptes 8 november 2022 eller senare.
-
FLYTTA domänkontrollanterna till granskningsläge med hjälp av avsnittet Registernyckelinställning.
-
ÖVERVAKA händelser som sparats i granskningsläget för att skydda din miljö.
-
AKTIVERA Tillämpningsläge för att hantera CVE-2022-37967 i din miljö.
STEG 1: UPPDATERA
Distribuera uppdateringarna från 8 november 2022 eller senare till alla tillämpliga Windows-domänkontrollanter (DCs). När uppdateringen har distribuerats kommer Windows domänkontrollanter som har uppdaterats att ha signaturer tillagda i Kerberos PAC Buffer och är osäkra som standard (PAC-signatur valideras inte).
-
Under uppdateringen ser du till att behålla registervärdet KrbtgtFullPacSignature i standardtillståndet tills alla Windows-domänkontrollanter uppdateras.
STEG 2: FLYTTA
När Windows-domänkontrollanterna har uppdaterats växlar du till granskningsläge genom att ändra värdet KrbtgtFullPacSignature till 2.
STEG 3: HITTA/ÖVERVAKA
Identifiera områden som antingen saknar PAC-signaturer eller har PAC-signaturer som inte kan valideras via händelseloggarna som utlöses i granskningsläget.
-
Kontrollera att domänfunktionsnivån är inställd på minst 2008 eller senare innan du går över till tvingande läge. Om du går över till tvingande läge med domäner på 2003-domänfunktionsnivån kan det resultera i autentiseringsfel.
-
Granskningshändelser visas om domänen inte är helt uppdaterad eller om det fortfarande finns utestående serviceärenden som utfärdats tidigare i domänen.
-
Fortsätt att övervaka om det finns ytterligare händelseloggar som anger att pac-signaturer saknas eller verifieringsfel i befintliga PAC-signaturer.
-
När hela domänen har uppdaterats och alla utestående biljetter har gått ut bör granskningshändelserna inte längre visas. Sedan ska du kunna gå över till tvingande läge utan fel.
STEG 4: AKTIVERA
Aktivera tvingande läge för att hantera CVE-2022-37967 i din miljö.
-
När alla granskningshändelser har lösts och inte längre visas flyttar du domänerna till tvingande läge genom att uppdatera registervärdet KrbtgtFullPacSignature enligt beskrivningen i avsnittet Registernyckelinställningar.
-
Om ett serviceärende har ogiltig PAC-signatur eller saknar PAC-signaturer misslyckas valideringen och en felhändelse loggas.
Registernyckelinställningar
Kerberos-protokoll
När du har installerat Windows-uppdateringarna från 8 november 2022 eller senare är följande registernyckel tillgänglig för Kerberos-protokollet:
-
KrbtgtFullPacSignature
Den här registernyckeln används för att gate distributionen av Kerberos-ändringarna. Registernyckeln är tillfällig och kommer inte längre att läsas efter det fullständiga tillämpningsdatumet den 10 oktober 2023.Registernyckel
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Värde
KrbtgtFullPacSignature
Datatyp
REG_DWORD
Data
0 – Inaktiverad
1 – Nya signaturer läggs till, men verifieras inte. (Standardinställning)
2 – Granskningsläge. Nya signaturer läggs till och verifieras om de finns. Om signaturen saknas eller är ogiltig tillåts autentisering och granskningsloggar skapas.
3 – Tillämpningsläge. Nya signaturer läggs till och verifieras om de finns. Om signaturen saknas eller är ogiltig nekas autentiseringen och granskningsloggar skapas.
Krävs en omstart?
Nej
Obs! Om du behöver ändra registervärdet KrbtgtFullPacSignature lägger du till och konfigurerar registernyckeln manuellt för att åsidosätta standardvärdet.
Windows-händelser relaterade till CVE-2022-37967
I granskningsläge kan du hitta något av följande fel om PAC-signaturer saknas eller är ogiltiga. Om problemet kvarstår i tvingande läge loggas dessa händelser som fel.
Om du hittar något av felen på enheten är det troligt att alla Windows-domänkontrollanter i din domän inte är uppdaterade med en Windows-uppdatering från 8 november 2022 eller senare. För att minimera problemen måste du undersöka domänen ytterligare för att hitta Windows-domänkontrollanter som inte är uppdaterade.
Obs! Om du hittar ett fel med händelse-ID 42 läser du KB5021131: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37966.
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
43 |
Händelsetext |
Nyckeldistributionscentret (KDC) stötte på en biljett som inte kunde validera fullständig PAC-signatur. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <realm>/<Name> |
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Händelse-ID |
44 |
Händelsetext |
Key Distribution Center (KDC) stötte på en biljett som inte innehöll den fullständiga PAC-signaturen. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <realm>/<Name> |
Enheter från tredje part som implementerar Kerberos-protokoll
Domäner som har domänkontrollanter från tredje part kan se fel i tvingande läge.
Domäner med tredjepartsklienter kan ta längre tid att rensa granskningshändelser efter installationen av en Windows-uppdatering från 8 november 2022 eller senare.
Kontakta enhetstillverkaren (OEM) eller programvaruleverantören för att avgöra om deras programvara är kompatibel med den senaste protokolländringen.
Mer information om protokolluppdateringar finns i avsnittet Om Windows-protokollet på Microsofts webbplats.
Ordlista
Kerberos är ett protokoll för datornätverksautentisering som fungerar baserat på "biljetter" för att noder som kommunicerar via ett nätverk ska kunna bevisa sin identitet för varandra på ett säkert sätt.
Kerberos-tjänsten som implementerar de tjänster för autentisering och biljettgivande som anges i Kerberos-protokollet. Tjänsten körs på datorer som valts av administratören för sfären eller domänen. den finns inte på alla datorer i nätverket. Den måste ha åtkomst till en kontodatabas för den sfär som den tjänar. KDC:er är integrerade i rollen domänkontrollant. Det är en nätverkstjänst som levererar biljetter till kunder för användning vid autentisera till tjänster.
Privilege Attribute Certificate (PAC) är en struktur som förmedlar auktoriseringsrelaterad information som tillhandahålls av domänkontrollanter (DCs). Mer information finns i Strukturen för certifikatdata för privilegiumattribut.
En särskild typ av biljett som kan användas för att få andra biljetter. Biljettbeviljande biljett (TGT) erhålls efter den första autentiseringen i autentiseringstjänstens (AS) utbyte; därefter behöver inte användarna presentera sina autentiseringsuppgifter, men kan använda TGT för att få efterföljande biljetter.