Günlüğü değiştir
Değişiklik 1: 5 Nisan 2023: Kayıt defteri anahtarının "Varsayılan Olarak Zorlama" aşaması 11 Nisan 2023'ten "CVE-2022-38023'e yönelik güncelleştirmelerin zamanlaması" bölümünde 13 Haziran 2023'e taşındı. Değişiklik 2: 20 Nisan 2023: "Kayıt Defteri Anahtarı ayarları" bölümünde "Etki Alanı Denetleyicisi: Güvenlik açığı bulunan Netlogon güvenli kanal bağlantılarına izin ver" grup ilkesi nesnesine (GPO) yanlış başvuru kaldırıldı. Değişiklik 3: 19 Haziran 2023:
|
Bu makalede
Özet
8 Kasım 2022 ve üzeri Windows, RPC sızdırmazlığı yerine RPC imzalama kullanıldığında Netlogon protokolündeki zayıf noktaları giderir. Daha fazla bilgiyi CVE-2022-38023 içinde bulabilirsiniz.
Netlogon Uzak Protokol uzaktan yordam çağrısı (RPC) arabirimi öncelikle bir cihaz ile etki alanı arasındaki ilişkiyi ve etki alanı denetleyicileri (DC) ile etki alanları arasındaki ilişkileri korumak için kullanılır.
Bu güncelleştirme, Windows cihazlarını varsayılan olarak CVE-2022-38023'ten korur. Üçüncü taraf istemciler ve üçüncü taraf etki alanı denetleyicileri için güncelleştirme varsayılan olarak Uyumluluk modundadır ve bu istemcilerden gelen güvenlik açığı olan bağlantılara izin verir. Zorlama moduna geçme adımları için Kayıt Defteri Anahtarı ayarları bölümüne bakın.
Ortamınızın güvenliğini sağlamaya yardımcı olmak için, 8 Kasım 2022 veya sonraki bir Windows güncelleştirmesi tarihli Windows güncelleştirmesini etki alanı denetleyicileri de dahil olmak üzere tüm cihazlara yükleyin.
Önemli Haziran 2023'ten itibaren, Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek. Bu sırada, güncelleştirmeyi devre dışı bırakamazsınız, ancak Uyumluluk modu ayarına geri dönebilirsiniz. Uyumluluk modu, Netlogon güvenlik açığı CVE-2022-38023'e yönelik güncelleştirmelerin zamanlaması bölümünde açıklandığı gibi Temmuz 2023'te kaldırılacaktır.
CVE-2022-38023 ile ilgili güncelleştirmelerin zamanlaması
Güncelleştirmeler çeşitli aşamalarda yayımlanacaktır: 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmelerin ilk aşaması ve 11 Temmuz 2023 veya sonrasında yayımlanan güncelleştirmeler için Zorlama aşaması.
İlk dağıtım aşaması 8 Kasım 2022'de yayımlanan güncelleştirmelerle başlar ve Zorlama aşamasına kadar sonraki Windows güncelleştirmeleriyle devam eder. 8 Kasım 2022 tarihinde veya sonrasındaki Windows güncelleştirmeleri, tüm Windows istemcilerinde RPC sızdırmazlığı zorunlu kılarak CVE-2022-38023'ün güvenlik atlama güvenlik açığını giderir.
Varsayılan olarak cihazlar Uyumluluk modunda ayarlanır. Windows etki alanı denetleyicileri, Netlogon istemcilerinin Windows çalıştırıyorsa veya etki alanı denetleyicisi veya güven hesabı olarak görev yapıyorsa RPC mühürünü kullanmasını gerektirir.
11 Nisan 2023 veya sonrasında yayımlanan Windows güncelleştirmeleri, RequireSeal kayıt defteri alt anahtarına 0 değerini ayarlayarak RPC sızdırmayı devre dışı bırakma özelliğini kaldırır.
RequireSeal kayıt defteri alt anahtarı, Yöneticiler açıkça Uyumluluk modu altında olacak şekilde yapılandırılmadığı sürece Zorlanan moda taşınır. Üçüncü taraflar da dahil olmak üzere tüm istemcilerden gelen güvenlik açığı olan bağlantılar kimlik doğrulaması reddedilir. Bkz. Değişiklik 1.
11 Temmuz 2023'te yayımlanan Windows güncelleştirmeleri, RequireSeal kayıt defteri alt anahtarına 1 değerini ayarlama özelliğini kaldırır. Bu, CVE-2022-38023'ün Zorlama aşamasını etkinleştirir.
Kayıt Defteri Anahtarı ayarları
8 Kasım 2022 veya sonrasında tarihli Windows güncelleştirmeleri yüklendikten sonra, Windows etki alanı denetleyicilerinde Netlogon protokolü için aşağıdaki kayıt defteri alt anahtarı kullanılabilir.
ÖNEMLİ Bu güncelleştirme ve gelecekteki zorlama değişiklikleri ,"RequireSeal" kayıt defteri alt anahtarını otomatik olarak eklemez veya kaldırmaz. Bu kayıt defteri alt anahtarının okunabilmesi için el ile eklenmesi gerekir. Bkz . Değişiklik 3.
RequireSeal alt anahtarı
Kayıt defteri anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Değer |
RequireSeal |
Veri türü |
REG_DWORD |
Veri |
0 – Devre Dışı 1 – Uyumluluk modu. Windows etki alanı denetleyicileri, Netlogon istemcilerinin Windows çalıştırıyorsa veya etki alanı denetleyicileri ya da Güven hesapları olarak hareket ediyorlarsa RPC Seal kullanmasını gerektirir. 2 - Zorlama modu. Tüm istemcilerin RPC Seal kullanması gerekir. Bkz . Değişiklik 2. |
Yeniden başlatma gerekiyor mu? |
Hayır |
CVE-2022-38023 ile ilgili Windows olayları
NOT Aşağıdaki olaylar, aynı bilgileri içeren yinelenen olayların bu arabellek sırasında atıldığı 1 saatlik bir arabelleğe sahiptir.
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
NETLOGON |
Olay Kimliği |
5838 |
Olay Metni |
Netlogon hizmeti, RPC sızdırmazlık yerine RPC imzalama kullanan bir istemciyle karşılaştı. |
Bu hata iletisini olay günlüklerinizde bulursanız sistem hatasını çözmek için aşağıdaki eylemleri gerçekleştirmeniz gerekir:
-
Cihazın desteklenen bir Windows sürümünü çalıştırdığını onaylayın.
-
Tüm cihazların güncel olduğundan emin olun.
-
Etki alanı üyesi: Etki alanı üyesi Güvenli kanal verilerini dijital olarak şifrele veya imzala (her zaman) seçeneğinin Etkin olarak ayarlandığından emin olun.
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
NETLOGON |
Olay Kimliği |
5839 |
Olay Metni |
Netlogon hizmeti, RPC sızdırmazlık yerine RPC imzalama kullanarak bir güvenle karşılaştı. |
Olay Günlüğü |
Sistem |
Olay Türü |
Uyarı |
Olay Kaynağı |
NETLOGON |
Olay Kimliği |
5840 |
Olay Metni |
Netlogon hizmeti RC4 ile bir istemci ile güvenli bir kanal oluşturdu. |
Olay 5840'ı bulursanız, bu, etki alanınızdaki bir istemcinin zayıf şifreleme kullandığının işaretidir.
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
NETLOGON |
Olay Kimliği |
5841 |
Olay Metni |
Netlogon hizmeti, 'RejectMd5Clients' ayarı nedeniyle RC4 kullanan bir istemciyi reddetti. |
Olay 5841'i bulursanız, bu RejectMD5Clients değerinin TRUE olarak ayarlandığının işaretidir.
RejectMD5Clients açıklamasına bakın.
RejectMD5Clients anahtarı, Netlogon hizmetinde önceden var olan bir anahtardır. Daha fazla bilgi için Soyut Veri ModelininSık Sorulan Sorular (SSS)
Etki alanına katılmış tüm makine hesapları bu CVE'lerden etkilenir. Olaylar, 8 Kasım 2022 veya sonraki Windows güncelleştirmeleri yüklendikten sonra bu sorundan en çok kimin etkilendiğini gösterir. Lütfen sorunları gidermek için Olay Günlüğü hataları bölümünü gözden geçirin.
Bu güncelleştirme, kullanılabilir en güçlü şifrelemeyi kullanmayan eski istemcileri algılamaya yardımcı olmak için RC4 kullanan istemciler için olay günlüklerini tanıtır.
RPC imzalama, Netlogon protokolü kablo üzerinden gönderdiği iletileri imzalamak için RPC kullandığında olur. RPC sızdırmazlık, Netlogon protokolü kablo üzerinden gönderdiği iletileri hem imzalar hem de şifreler.
Windows Etki Alanı Denetleyicisi, Netlogon istemcisi için Active Directory'deki "OperatingSystem" özniteliğini sorgulayarak ve aşağıdaki dizeleri denetleyerek bir Netlogon istemcisinin Windows çalıştırıp çalıştırmadığını belirler:
-
"Windows", "Hyper-V Sunucusu" ve "Azure Stack HCI"
Bu özniteliğin Netlogon istemcileri veya etki alanı yöneticileri tarafından Netlogon istemcisinin çalıştırdığı işletim sistemini (işletim sistemi) temsil etmeyen bir değerle değiştirilmesini önermeyiz veya desteklemiyoruz. İstediğiniz zaman arama ölçütlerini değiştirebileceğimizi bilmelisiniz. Bkz . Değişiklik 3.
Zorlama aşaması, istemcilerin kullandığı şifreleme türüne göre Netlogon istemcilerini reddetmez. Netlogon istemcilerini yalnızca RPC Sealing yerine RPC imzalaması yaptıklarında reddeder. RC4 Netlogon istemcilerinin reddedilmesi, Windows Server 2008 R2 ve üzeri Windows Etki Alanı Denetleyicileri için kullanılabilen "RejectMd5Clients" kayıt defteri anahtarını temel alır. Bu güncelleştirmenin zorlama aşaması "RejectMd5Clients" değerini değiştirmez. Müşterilerin etki alanlarında daha yüksek güvenlik için "RejectMd5Clients" değerini etkinleştirmelerini öneririz. Bkz . Değişiklik 3.
Sözlük
Gelişmiş Şifreleme Standardı (AES), Veri Şifreleme Standardı'nın (DES) yerini alan bir blok şifrelemesidir. AES, elektronik verileri korumak için kullanılabilir. AES algoritması, bilgileri şifrelemek (şifrelemek) ve şifrelerini çözmek (deşifre etmek) için kullanılabilir. Şifreleme, verileri şifre metni adlı anlaşılmaz bir forma dönüştürür; şifre metninin şifresini çözmek, verileri düz metin olarak adlandırılan özgün biçimine dönüştürür. AES simetrik anahtar şifrelemesinde kullanılır, yani şifreleme ve şifre çözme işlemleri için aynı anahtar kullanılır. Aynı zamanda bir blok şifrelemesidir, yani düz metin ve şifreleme metninin sabit boyutlu bloklarında çalışır ve düz metin boyutunun yanı sıra şifreleme metninin de bu blok boyutunun tam katı olmasını gerektirir. AES, Rijndael simetrik şifreleme algoritması [FIPS197] olarak da bilinir.
Windows NT işletim sistemi uyumlu ağ güvenlik ortamında, birincil etki alanı denetleyicisi (PDC) ile yedekleme etki alanı denetleyicileri (İVB) arasındaki eşitleme ve bakım işlevlerinden sorumlu bileşendir. Netlogon , dizin çoğaltma sunucusu (DRS) protokolü için bir öncüdür. Netlogon Uzak Protokol uzaktan yordam çağrısı (RPC) arabirimi öncelikle bir cihaz ile etki alanı arasındaki ilişkiyi ve etki alanı denetleyicileri (DC) ile etki alanları arasındaki ilişkileri korumak için kullanılır. Daha fazla bilgi için bkz . Netlogon Uzak Protokolü.
RC4-HMAC (RC4), anahtar uzunluklu değişken bir simetrik şifreleme algoritmasıdır. Daha fazla bilgi için bkz. [SCHNEIER] bölüm 17.1.
RPC paketlerini imzalamak ve şifrelemek için kullanılan yerleşik güvenlik bağlamı olan bir etki alanındaki iki makine arasında kimliği doğrulanmış uzaktan yordam çağrısı (RPC) bağlantısı.