Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

เปลี่ยนล็อก 

เปลี่ยนแปลง 1: 5 เมษายน 2023: ย้ายระยะ "การบังคับใช้ตามค่าเริ่มต้น" ของรีจิสทรีคีย์จากวันที่ 11 เมษายน 2023 เป็น 13 มิถุนายน 2023 ในส่วน "การกําหนดเวลาการอัปเดตเพื่อจัดการ CVE-2022-38023"

เปลี่ยนแปลง 2: 20 เมษายน 2023: เอาการอ้างอิงที่ไม่ถูกต้องไปยัง "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีช่องโหว่" วัตถุนโยบายกลุ่ม (GPO) ในส่วน "การตั้งค่ารีจิสทรีคีย์"

เปลี่ยนวันที่ 3: 19 มิถุนายน 2023:

  • เพิ่มบันทึกย่อ "สําคัญ" ลงในส่วน "การตั้งค่ารีจิสทรีคีย์"

  • เพิ่ม "หมายเหตุ" ไปยังส่วน "เหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2022-38023"

  • เพิ่มคําถามและคําตอบใหม่สองข้อลงในส่วน "คําถามที่ถามบ่อย (FAQ)"

ในบทความนี้

บทสรุป

การอัปเดตของ Windows วันที่ 8 พฤศจิกายน 2022 และใหม่กว่าระบุจุดอ่อนในโพรโทคอล Netlogon เมื่อใช้การลงชื่อ RPC แทนการปิดผนึก RPC ข้อมูลเพิ่มเติมสามารถพบได้ใน CVE-2022-38023

Netlogon Remote Protocol Remote Procedure Call (RPC) ใช้เพื่อรักษาความสัมพันธ์ระหว่างอุปกรณ์กับ โดเมน และความสัมพันธ์ระหว่าง ตัวควบคุมโดเมน (DC) และโดเมนเป็นหลัก

การอัปเดตนี้ปกป้องอุปกรณ์ Windows จาก CVE-2022-38023 ตามค่าเริ่มต้น  สําหรับไคลเอ็นต์ของบริษัทอื่นและตัวควบคุมโดเมนของบริษัทอื่น การอัปเดตจะอยู่ในโหมดความเข้ากันได้ตามค่าเริ่มต้น และอนุญาตการเชื่อมต่อที่มีความเสี่ยงจากไคลเอ็นต์ดังกล่าว โปรดดูส่วน การตั้งค่ารีจิสทรีคีย์ สําหรับขั้นตอนในการย้ายไปยังโหมดการบังคับใช้

เพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ ให้ติดตั้งการอัปเดต Windows ที่มีวันที่ 8 พฤศจิกายน 2022 หรือการอัปเดต Windows ที่ใหม่กว่าสําหรับอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน

สำคัญ ตั้งแต่เดือนมิถุนายน 2023 โหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน  ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการอัปเดตได้ แต่อาจย้อนกลับไปยังการตั้งค่าโหมดความเข้ากันได้ โหมดความเข้ากันได้จะถูกลบออกในเดือนกรกฎาคม 2023 ตามที่ระบุไว้ในส่วน การกําหนดเวลาการอัปเดตเพื่อระบุช่องโหว่ Netlogon CVE-2022-38023

เวลาในการอัปเดตที่อยู่ CVE-2022-38023

Updates จะเผยแพร่ในหลายขั้นตอน: ระยะเริ่มต้นสําหรับการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นและระยะเวลาการบังคับใช้สําหรับการอัปเดตที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น

ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 8 พฤศจิกายน 2022 และดําเนินการต่อกับการอัปเดต Windows ในภายหลังจนกว่าจะถึงระยะการบังคับใช้ การอัปเดต Windows ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นจะแก้ไขช่องโหว่การเลี่ยงผ่านการรักษาความปลอดภัยของ CVE-2022-38023 โดยการบังคับใช้การปิดผนึก RPC ในไคลเอ็นต์ Windows ทั้งหมด

ตามค่าเริ่มต้น อุปกรณ์จะถูกตั้งค่าในโหมดความเข้ากันได้ ตัวควบคุมโดเมนของ Windows จะต้องให้ไคลเอ็นต์ Netlogon ใช้การปิดผนึก RPC หากไคลเอ็นต์เหล่านั้นใช้ Windows หรือทําหน้าที่เป็นตัวควบคุมโดเมนหรือเป็นบัญชีที่เชื่อถือ

การอัปเดต Windows ที่เผยแพร่ในวันที่ 11 เมษายน 2023 หรือหลังจากนั้นจะลบความสามารถในการปิดใช้งานการปิดผนึก RPC โดยการตั้งค่า 0 เป็นซับคีย์รีจิสทรี RequireSeal

ซับคีย์รีจิสทรี RequireSeal จะถูกย้ายไปยังโหมดบังคับใช้ ยกเว้นผู้ดูแลระบบจะกําหนดค่าให้อยู่ภายใต้โหมดความเข้ากันได้อย่างชัดเจน การเชื่อมต่อที่มีช่องโหว่จากไคลเอ็นต์ทั้งหมดรวมถึงบริษัทภายนอกจะถูกปฏิเสธการรับรองความถูกต้อง ดู เปลี่ยน 1

การอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 จะลบความสามารถในการตั้งค่า 1 เป็นซับคีย์รีจิสทรี RequireSeal ซึ่งจะเป็นการเปิดใช้งานขั้นตอนการบังคับใช้ของ CVE-2022-38023

การตั้งค่ารีจิสทรีคีย์

หลังจากติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 8 พฤศจิกายน 2022 คีย์ย่อยของรีจิสทรีต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Netlogon บนตัวควบคุมโดเมน Windows

สำคัญ การอัปเดตนี้ รวมถึงการเปลี่ยนแปลงการบังคับใช้ในอนาคต อย่าเพิ่มหรือลบคีย์ย่อยรีจิสทรี "RequireSeal" โดยอัตโนมัติ ต้องเพิ่มคีย์ย่อยของรีจิสทรีนี้ด้วยตนเองเพื่อให้สามารถอ่านได้ ดู เปลี่ยน 3

คีย์ย่อย RequireSeal

รีจิสทรีคีย์

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

ค่า

RequireSeal

ชนิดข้อมูล

Reg_dword

ข้อมูล

0 – ปิดใช้งาน

1 – โหมดความเข้ากันได้ ตัวควบคุมโดเมนของ Windows จะต้องให้ไคลเอ็นต์ Netlogon ใช้ซีล RPC หากไคลเอ็นต์เหล่านั้นใช้ Windows หรือทําหน้าที่เป็นตัวควบคุมโดเมนหรือบัญชีที่เชื่อถือ

2 - โหมดการบังคับใช้ ลูกค้าทั้งหมดจําเป็นต้องใช้ซีล RPC ดู เปลี่ยน 2

จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่

ไม่ใช่

เหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2022-38023

หมาย เหตุ เหตุการณ์ต่อไปนี้มีบัฟเฟอร์ 1 ชั่วโมงซึ่งเหตุการณ์ที่ซ้ํากันที่มีข้อมูลเดียวกันจะถูกละทิ้งระหว่างบัฟเฟอร์นั้น

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

ข้อผิดพลาด

แหล่งเหตุการณ์

Netlogon

ID เหตุการณ์

5838

ข้อความเหตุการณ์

บริการ Netlogon พบไคลเอ็นต์ที่ใช้การเซ็นชื่อ RPC แทนการปิดผนึก RPC

หากคุณพบข้อความแสดงข้อผิดพลาดนี้ในบันทึกเหตุการณ์ของคุณ คุณต้องดําเนินการต่อไปนี้เพื่อแก้ไขข้อผิดพลาดของระบบ:

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

ข้อผิดพลาด

แหล่งเหตุการณ์

Netlogon

ID เหตุการณ์

5839

ข้อความเหตุการณ์

บริการ Netlogon พบความเชื่อถือโดยใช้การเซ็นชื่อ RPC แทนการปิดผนึก RPC

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

คำเตือน

แหล่งเหตุการณ์

Netlogon

ID เหตุการณ์

5840

ข้อความเหตุการณ์

บริการ Netlogon สร้างช่องทางที่ปลอดภัยกับไคลเอ็นต์ด้วย RC4

หากคุณพบ Event 5840 นี่เป็นสัญญาณว่าไคลเอ็นต์ในโดเมนของคุณใช้การเข้ารหัสลับที่ไม่เหมาะสม

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

ข้อผิดพลาด

แหล่งเหตุการณ์

Netlogon

ID เหตุการณ์

5841

ข้อความเหตุการณ์

บริการ Netlogon ปฏิเสธไคลเอนต์ที่ใช้ RC4 เนื่องจากการตั้งค่า 'RejectMd5Clients'

ถ้าคุณพบ เหตุการณ์ 5841 นี่คือสัญญาณว่าค่า RejectMD5Clients ถูกตั้งค่าเป็น TRUE

คีย์ RejectMD5Clients เป็นคีย์ที่มีอยู่ก่อนในบริการ Netlogon สําหรับข้อมูลเพิ่มเติม ให้ดูคําอธิบาย RejectMD5Clients ของตัวแบบข้อมูลแบบนามธรรม

คําถามที่ถามบ่อย (FAQ)

บัญชีเครื่องที่เข้าร่วมโดเมนทั้งหมดจะได้รับผลกระทบจาก CVE นี้ เหตุการณ์จะแสดงว่าใครได้รับผลกระทบมากที่สุดจากปัญหานี้หลังจากติดตั้งการอัปเดต Windows เมื่อวันที่ 8 พฤศจิกายน 2022 หรือใหม่กว่า โปรดดูส่วน ข้อผิดพลาดในบันทึกเหตุการณ์ เพื่อแก้ไขปัญหา

เพื่อช่วยตรวจหาไคลเอ็นต์รุ่นเก่าที่ไม่ได้ใช้สกุลเงินคริปโตที่แข็งแกร่งที่สุดการอัปเดตนี้จะแนะนําบันทึกเหตุการณ์สําหรับไคลเอ็นต์ที่ใช้ RC4

การเซ็นชื่อ RPC คือเมื่อโพรโทคอล Netlogon ใช้ RPC เพื่อเซ็นชื่อข้อความที่ส่งผ่านสาย การปิดผนึก RPC คือเมื่อโปรโตคอล Netlogon ทั้งลงชื่อและเข้ารหัสข้อความที่ส่งผ่านสาย

ตัวควบคุมโดเมน Windows กําหนดว่าไคลเอ็นต์ Netlogon กําลังเรียกใช้ Windows โดยการสอบถามแอตทริบิวต์ "OperatingSystem" ใน Active Directory สําหรับไคลเอ็นต์ Netlogon และตรวจสอบสตริงต่อไปนี้:

  • "Windows", "Hyper-V Server" และ "Azure Stack HCI"

เราไม่แนะนําหรือสนับสนุนว่าแอตทริบิวต์นี้จะถูกเปลี่ยนโดยไคลเอ็นต์ Netlogon หรือผู้ดูแลระบบโดเมนเป็นค่าที่ไม่ใช่ตัวแทนของระบบปฏิบัติการ (OS) ที่ไคลเอ็นต์ Netlogon กําลังทํางานอยู่ คุณควรทราบว่าเราอาจเปลี่ยนเกณฑ์การค้นหาได้ตลอดเวลา ดู เปลี่ยน 3

ขั้นตอนการบังคับใช้จะไม่ปฏิเสธไคลเอ็นต์ Netlogon ตามชนิดของการเข้ารหัสลับที่ไคลเอ็นต์ใช้ มันจะปฏิเสธเฉพาะลูกค้า Netlogon ถ้าพวกเขาทํา RPC ลงนามแทนการปิดผนึก RPC การปฏิเสธไคลเอ็นต์ RC4 Netlogon ขึ้นอยู่กับรีจิสทรีคีย์ "RejectMd5Clients" ที่พร้อมใช้งานสําหรับ Windows Server 2008 R2 และตัวควบคุมโดเมน Windows รุ่นที่ใหม่กว่า ขั้นตอนการบังคับใช้สําหรับการอัปเดตนี้จะไม่เปลี่ยนค่า "RejectMd5Clients" เราขอแนะนําให้ลูกค้าเปิดใช้งานค่า "RejectMd5Clients" เพื่อความปลอดภัยที่สูงขึ้นในโดเมนของพวกเขา ดู เปลี่ยน 3

อภิธาน ศัพท์

Advanced Encryption Standard (AES) เป็นตัวเข้ารหัสบล็อกที่ใช้แทนที่ Data Encryption Standard (DES) AES สามารถใช้เพื่อปกป้องข้อมูลอิเล็กทรอนิกส์ได้ อัลกอริทึม AES สามารถใช้เพื่อเข้ารหัสข้อมูล (encipher) และถอดรหัสลับ (ถอดรหัส) การเข้ารหัสลับจะแปลงข้อมูลเป็นฟอร์มที่ไม่สามารถอ่านได้ที่เรียกว่า การเข้ารหัส การถอดรหัสลับข้อความแบบเข้ารหัสจะแปลงข้อมูลกลับเป็นรูปแบบดั้งเดิมที่เรียกว่าข้อความธรรมดา AES จะใช้ในการเข้ารหัสคีย์แบบสมมาตร ซึ่งหมายความว่าคีย์เดียวกันนี้ใช้สําหรับการดําเนินการเข้ารหัสลับและการถอดรหัสลับ นอกจากนี้ยังเป็นการเข้ารหัสบล็อก ซึ่งหมายความว่าจะทํางานบนบล็อกข้อความธรรมดาและข้อความลับที่มีขนาดคงที่ และต้องมีขนาดของข้อความธรรมดาและข้อความธรรมดาเช่นเดียวกับตัวระบุเป็นตัวคูณที่แน่นอนของขนาดบล็อกนี้ AES เรียกอีกอย่างว่า Rijndael อัลกอริทึมการเข้ารหัสแบบสมมาตร [FIPS197]

ในสภาพแวดล้อมความปลอดภัยของเครือข่ายที่เข้ากันได้กับระบบปฏิบัติการ Windows NT คอมโพเนนต์ที่มีหน้าที่ในการซิงโครไนซ์และฟังก์ชันการบํารุงรักษาระหว่าง ตัวควบคุมโดเมนหลัก (PDC) และตัวควบคุมโดเมนสํารอง (BDC) Netlogon คือตัวตั้งต้นของโพรโทคอลเซิร์ฟเวอร์การจําลองแบบไดเรกทอรี (DRS) Netlogon Remote Protocol Remote Procedure Call (RPC) ใช้เพื่อรักษาความสัมพันธ์ระหว่างอุปกรณ์กับ โดเมน และความสัมพันธ์ระหว่าง ตัวควบคุมโดเมน (DC) และโดเมนเป็นหลัก สําหรับข้อมูลเพิ่มเติม โปรดดู Netlogon Remote Protocol

RC4-HMAC (RC4) เป็นอัลกอริทึมการเข้ารหัสลับแบบสมมาตรที่แปรผันได้ ดูข้อมูลเพิ่มเติมได้ที่ [SCHNEIER] ส่วน 17.1

การเชื่อมต่อการเรียกกระบวนการระยะไกล (RPC) ที่ได้รับการรับรองความถูกต้องระหว่างเครื่องสองเครื่องในโดเมนที่มีบริบทความปลอดภัยที่สร้างขึ้นที่ใช้สําหรับการเซ็นชื่อและการเข้ารหัสแพคเก็ต RPC

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย