Günlüğü değiştir
Değişiklik 1: 19 Haziran 2023:
|
Bu makalede
Özet
8 Kasım 2022 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri, zayıf RC4-HMAC anlaşması kullanarak Kimlik Doğrulama Anlaşması ile güvenlik atlama ve ayrıcalık yükseltme güvenlik açığını giderir.
Bu güncelleştirme, AES'yi zaten varsayılan bir şifreleme türüyle işaretlenmemiş hesaplarda oturum anahtarları için varsayılan şifreleme türü olarak ayarlar.
Ortamınızın güvenliğini sağlamaya yardımcı olmak için 8 Kasım 2022 veya sonrasında yayımlanan Windows güncelleştirmelerini etki alanı denetleyicileri de dahil olmak üzere tüm cihazlara yükleyin. Bkz . Değişiklik 1.
Bu güvenlik açıkları hakkında daha fazla bilgi edinmek için bkz. CVE-2022-37966.
Oturum Anahtarı Şifreleme Türlerini Açıkça Ayarlamayı Bulma
Kullanıcı hesaplarınızda CVE-2022-37966'ya açık şifreleme türlerini açıkça tanımlamış olabilirsiniz. Aşağıdaki Active Directory sorgusunu kullanarak DES /RC4'in açıkça etkinleştirildiği ancak AES'nin etkinleştirilmediği hesapları arayın:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Kayıt Defteri Anahtarı ayarları
8 Kasım 2022 veya sonrasında tarihli Windows güncelleştirmelerini yükledikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir:
DefaultDomainSupportedEncTypes
Kayıt defteri anahtarı |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Değer |
DefaultDomainSupportedEncTypes |
Veri türü |
REG_DWORD |
Veri değeri |
0x27 (Varsayılan) |
Yeniden başlatma gerekiyor mu? |
Hayır |
Not Active Directory kullanıcısı veya bilgisayarı için varsayılan Desteklenen Şifreleme Türünü değiştirmeniz gerekiyorsa, kayıt defteri anahtarını yeni Desteklenen Şifreleme Türünü ayarlamak üzere el ile ekleyin ve yapılandırın. Bu güncelleştirme, kayıt defteri anahtarını otomatik olarak eklemez.
Windows etki alanı denetleyicileri, msds-SupportedEncryptionType değeri boş olan veya ayarlanmamış Active Directory hesaplarında desteklenen şifreleme türlerini belirlemek için bu değeri kullanır. Windows işletim sisteminin desteklenen bir sürümünü çalıştıran bir bilgisayar, Active Directory'deki o makine hesabı için msds-SupportedEncryptionTypes'ı otomatik olarak ayarlar. Bu, Kerberos protokolünün kullanmasına izin verilen şifreleme türlerinin yapılandırılmış değerini temel alır. Daha fazla bilgi için bkz . Ağ güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırma.
Kullanıcı hesapları, Grup Yönetilen Hizmet hesapları ve Active Directory'deki diğer hesaplarda msds-SupportedEncryptionTypes değeri otomatik olarak ayarlanmaz.
El ile ayarlayabileceğiniz Desteklenen Şifreleme Türlerini bulmak için lütfen Desteklenen Şifreleme Türleri Bit Bayrakları'na bakın. Daha fazla bilgi için ortamı hazırlamaya ve Kerberos kimlik doğrulaması sorunlarını önlemeye yardımcı olmak için önce yapmanız gerekenlere bakın.
Bu güvenlik güncelleştirmesi için gereken en düşük değişiklik olarak varsayılan değer 0x27 (DES, RC4, AES Oturum Anahtarları) seçildi. Bu değer hem AES ile şifrelenmiş biletlere hem de AES oturum anahtarlarına olanak tanıyacağı için müşterilerin daha fazla güvenlik için değeri 0x3C olarak ayarlamalarını öneririz. Müşteriler, Kerberos protokolü için RC4'in kullanılmadığı yalnızca AES ortamına geçmek için kılavuzumuzu izlemişse, müşterilerin değeri 0x38 olarak ayarlamalarını öneririz. Bkz . Değişiklik 1.
CVE-2022-37966 ile ilgili Windows olayları
Kerberos Anahtar Dağıtım Merkezi'nin hesap için güçlü anahtarları yok
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
Kdcsvc |
Olay Kimliği |
42 |
Olay Metni |
Kerberos Anahtar Dağıtım Merkezi'nin hesap adı için güçlü anahtarları yok. Güvenli olmayan şifreleme kullanımını önlemek için bu hesabın parolasını güncelleştirmeniz gerekir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2210019. |
Bu hatayı bulursanız, KrbtgtFullPacSingature = 3'i ayarlamadan veya 11 Temmuz 2023'te veya sonrasında yayımlanan Windows Güncelleştirmeler yüklemeden önce büyük olasılıkla krbtgt parolanızı sıfırlamanız gerekir. CVE-2022-37967 için program aracılığıyla zorlama modunu etkinleştiren güncelleştirme, Microsoft Bilgi Bankası'ndaki aşağıdaki makalede belgelenmiştir:
KB5020805: CVE-2022-37967 ile ilgili Kerberos protokolü değişikliklerini yönetme
Bunun nasıl yapacağı hakkında daha fazla bilgi için GitHub web sitesindeki New-KrbtgtKeys.ps1 konusuna bakın.
Sık Sorulan Sorular (SSS) ve Bilinen Sorunlar
Açık RC4 kullanımı için bayrak eklenmiş hesaplar savunmasızdır. Ayrıca, krbgt hesabı içinde AES oturum anahtarları olmayan ortamlar savunmasız olabilir. Bu sorunu azaltmak için güvenlik açıklarını belirleme yönergelerini izleyin ve Açıkça ayarlanan şifreleme varsayılanlarını güncelleştirmek için Kayıt Defteri Anahtarı ayarı bölümünü kullanın.
Tüm cihazlarınızın ortak bir Kerberos Şifreleme türüne sahip olduğunu doğrulamanız gerekir. Kerberos Şifreleme türleri hakkında daha fazla bilgi için bkz. Desteklenen Kerberos Şifreleme Türlerinin Seçiminin Şifresini Çözme.
Ortak Kerberos Şifreleme türü olmayan ortamlar daha önce RC4'ün otomatik olarak eklenmesi veya AES'nin eklenmesi nedeniyle( RC4 etki alanı denetleyicileri tarafından grup ilkesi aracılığıyla devre dışı bırakıldıysa) işlevsel olabilir. Bu davranış, 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmelerle değişmiştir ve artık kayıt defteri anahtarları, msds-SupportedEncryptionTypes ve DefaultDomainSupportedEncTypes içinde ayarlananları kesinlikle izleyecektir.
Hesapta msds-SupportedEncryptionTypes ayarlanmamışsa veya 0 olarak ayarlanmışsa, etki alanı denetleyicileri varsayılan 0x27 (39) değerini varsayar veya etki alanı denetleyicisi DefaultDomainSupportedEncTypes kayıt defteri anahtarındaki ayarı kullanır.
Hesapta msds-SupportedEncryptionTypes ayarlanmışsa, bu ayar kabul edilir ve 8 Kasım 2022'de veya sonrasında yayımlanan güncelleştirmelerin yüklenmesinden sonraki davranış olan RC4 veya AES'yi otomatik olarak ekleme davranışıyla maskelenmiş ortak bir Kerberos Şifreleme türünü yapılandırma hatası ortaya çıkarabilir.
Ortak bir Kerberos Şifreleme türüne sahip olduğunuzu doğrulama hakkında bilgi için bkz. Tüm cihazlarımın ortak bir Kerberos Şifreleme türüne sahip olduğunu nasıl doğrularım? sorusuna bakın.
8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmeleri yükledikten sonra cihazlarınızın neden ortak kerberos şifreleme türüne sahip olmadığı hakkında daha fazla bilgi için önceki soruya bakın.
8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmeleri zaten yüklediyseniz, Ortak Kerberos Şifreleme türü olmayan cihazları, Kerberos istemcileri ile uzak sunucular veya hizmetler arasındaki kopuk şifreleme türlerini tanımlayan Microsoft-Windows-Kerberos-Key-Distribution-Center Olay 27 olay günlüğüne bakarak algılayabilirsiniz.
İstemcilere veya Etki Alanı Denetleyicisi olmayan rol sunucularına 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmelerin yüklenmesi ortamınızda Kerberos kimlik doğrulamasını etkilememelidir.
Bu bilinen sorunu azaltmak için, Yönetici olarak bir Komut İstemi penceresi açın ve krbtgtFullPacSignature kayıt defteri anahtarını 0 olarak ayarlamak için geçici olarak aşağıdaki komutu kullanın:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Not Bu bilinen sorun çözüldükten sonra, ortamınızın izin vereceklerine bağlı olarak KrbtgtFullPacSignature'ı daha yüksek bir ayara ayarlamanız gerekir. Ortamınız hazır olduğunda Zorlama modunun etkinleştirilmesini öneririz.
Sonraki adımlarÇözüm üzerinde çalışıyoruz ve sonraki bir sürümde güncelleştirme sağlayacağız.
8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmeleri etki alanı denetleyicilerinize yükledikten sonra, CVE-2022-37967 için gereken güvenlik sağlamlaştırmasıyla uyumlu olması için tüm cihazların AES bilet imzalamayı desteklemesi gerekir.
Sonraki Adımlar Windows dışı cihazlarınız için zaten en güncel yazılımı ve üretici yazılımını çalıştırıyorsanız ve Windows etki alanı denetleyicileriniz ile Windows dışı cihazlarınız arasında ortak bir Şifreleme türü olduğunu doğruladıysanız, yardım için cihaz üreticinize (OEM) başvurmanız veya cihazları uyumlu olanlarla değiştirmeniz gerekir.
ÖNEMLİ Ortamınızı savunmasız hale getirebileceğinden, uyumlu olmayan cihazların kimlik doğrulaması yapmasına izin vermek için herhangi bir geçici çözüm kullanmanızı önermeyiz.
Windows'un desteklenmeyen sürümleri Windows XP, Windows Server 2003, Windows Server 2008 SP2 ve Windows Server 2008 R2 SP1'e , ESU lisansınız olmadığı sürece güncelleştirilmiş Windows cihazları tarafından erişilemez. ESU lisansınız varsa, 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmeleri yüklemeniz ve yapılandırmanızın tüm cihazlar arasında ortak bir Şifreleme türü olduğunu doğrulamanız gerekir.
Sonraki Adımlar Güncelleştirmeler Windows sürümünüz için kullanılabiliyorsa ve geçerli ESU lisansına sahipseniz yükleyin. Güncelleştirmeler kullanılamıyorsa Windows'un desteklenen bir sürümüne yükseltmeniz veya herhangi bir uygulamayı veya hizmeti uyumlu bir cihaza taşımanız gerekir.
ÖNEMLİ Ortamınızı savunmasız hale getirebileceğinden, uyumlu olmayan cihazların kimlik doğrulaması yapmasına izin vermek için herhangi bir geçici çözüm kullanmanızı önermeyiz.
Bu bilinen sorun, ortamınızdaki tüm etki alanı denetleyicilerine yüklemek üzere 17 Kasım 2022 ve 18 Kasım 2022'de yayımlanan bant dışı güncelleştirmelerde çözüldü. Bu sorunu çözmek için ortamınızdaki diğer sunuculara veya istemci cihazlarına herhangi bir güncelleştirme yüklemeniz veya herhangi bir değişiklik yapmanız gerekmez. Bu sorun için herhangi bir geçici çözüm veya risk azaltma kullandıysanız, bunlara artık gerek yoktur ve bunları kaldırmanızı öneririz.
Bu bant dışı güncelleştirmelerin tek başına paketini almak için Microsoft Update Kataloğu'nda KB numarasını arayın. Bu güncelleştirmeleri Windows Server Update Services (WSUS) ve Microsoft Endpoint Configuration Manager'a el ile aktarabilirsiniz. WSUS yönergeleri için bkz. WSUS ve Katalog Sitesi. Yapılandırma Yöneticisi yönergeleri için bkz. Microsoft Update Kataloğu'ndan güncelleştirmeleri içeri aktarma.
Not Aşağıdaki güncelleştirmeler Windows Update'dan sağlanmaz ve otomatik olarak yüklenmez.
Toplu güncelleştirmeler:
Not Bu toplu güncelleştirmeleri yüklemeden önce önceki güncelleştirmeleri uygulamanız gerekmez. 8 Kasım 2022'de yayımlanan güncelleştirmeleri zaten yüklediyseniz, yukarıda listelenen güncelleştirmeler de dahil olmak üzere daha sonraki güncelleştirmeleri yüklemeden önce etkilenen güncelleştirmeleri kaldırmanız gerekmez.
Tek başına Güncelleştirmeler:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (18 Kasım 2022'de yayımlandı)
-
Windows Server 2008 SP2: KB5021657
Notlar
-
Windows Server'ın bu sürümleri için yalnızca güvenlikle ilgili güncelleştirmeler kullanıyorsanız, bu tek başına güncelleştirmeleri yalnızca Kasım 2022 ayı için yüklemeniz gerekir. Yalnızca güvenlik güncelleştirmeleri toplu değildir ve tamamen güncel olması için önceki tüm yalnızca güvenlik güncelleştirmelerini de yüklemeniz gerekir. Aylık Toplama güncelleştirmeleri toplu olup güvenlik ve tüm kalite güncelleştirmelerini içerir.
-
Aylık Toplama güncelleştirmelerini kullanıyorsanız, bu sorunu çözmek için yukarıda listelenen tek başına güncelleştirmeleri ve Kasım 2022 kalite güncelleştirmelerini almak için 8 Kasım 2022'de yayımlanan Aylık Toplamaları yüklemeniz gerekir. 8 Kasım 2022'de yayımlanan güncelleştirmeleri zaten yüklediyseniz, yukarıda listelenen güncelleştirmeler de dahil olmak üzere daha sonraki güncelleştirmeleri yüklemeden önce etkilenen güncelleştirmeleri kaldırmanız gerekmez.
Ortamınızın yapılandırmasını doğruladıysanız ve Kerberos'un Microsoft dışı herhangi bir uygulamasıyla ilgili sorunlarla karşılaşmaya devam ediyorsanız, uygulama veya cihazın geliştiricisinin veya üreticisinin güncelleştirmelerine veya desteğine ihtiyacınız olacaktır.
Bu bilinen sorun aşağıdakilerden biri yapılarak giderilebilir:
-
msds-SupportedEncryptionTypes değerini bit düzeyinde ayarlayın veya geçerli değerini korumak için geçerli varsayılan 0x27 ayarlayın. Örneğin:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Etki alanı denetleyicilerinin varsayılan 0x27 değerini kullanmasına izin vermek için msds-SupportEncryptionTypes değerini 0 olarak ayarlayın.
Sonraki adımlarÇözüm üzerinde çalışıyoruz ve sonraki bir sürümde güncelleştirme sağlayacağız.
Sözlük
Gelişmiş Şifreleme Standardı (AES), Veri Şifreleme Standardı'nın (DES) yerini alan bir blok şifrelemesidir. AES, elektronik verileri korumak için kullanılabilir. AES algoritması, bilgileri şifrelemek (şifrelemek) ve şifrelerini çözmek (deşifre etmek) için kullanılabilir. Şifreleme, verileri şifre metni adlı anlaşılmaz bir forma dönüştürür; şifre metninin şifresini çözmek, verileri düz metin olarak adlandırılan özgün biçimine dönüştürür. AES simetrik anahtar şifrelemesinde kullanılır, yani şifreleme ve şifre çözme işlemleri için aynı anahtar kullanılır. Aynı zamanda bir blok şifrelemesidir, yani düz metin ve şifreleme metninin sabit boyutlu bloklarında çalışır ve düz metin boyutunun yanı sıra şifreleme metninin de bu blok boyutunun tam katı olmasını gerektirir. AES, Rijndael simetrik şifreleme algoritması [FIPS197] olarak da bilinir.
Kerberos, bir ağ üzerinden iletişim kurabilen düğümlerin kimliklerini güvenli bir şekilde kanıtlamalarına olanak sağlamak için "biletler" temelinde çalışan bir bilgisayar ağ kimlik doğrulama protokolüdür.
Kerberos protokolünde belirtilen hizmetleri veren kimlik doğrulamasını ve anahtarını uygulayan Kerberos hizmeti. Hizmet, bölge veya etki alanının yöneticisi tarafından seçilen bilgisayarlarda çalışır; ağdaki her makinede mevcut değildir. Hizmet veren bölge için bir hesap veritabanına erişimi olmalıdır. KDC'leretki alanı denetleyicisi rolüyle tümleştirilir. Hizmetlerde kimlik doğrulaması için istemcilere bilet sağlayan bir ağ hizmetidir.
RC4-HMAC (RC4), anahtar uzunluklu değişken bir simetrik şifreleme algoritmasıdır. Daha fazla bilgi için bkz. [SCHNEIER] bölüm 17.1.
Nispeten kısa süreli simetrik anahtar (istemci ve sunucu tarafından paylaşılan gizli diziye dayalı olarak anlaşmaya varılan şifreleme anahtarı). Oturum anahtarları yaşam süresi, ilişkili olduğu oturumla sınırlanır. Oturum anahtarının, oturumun ömrü boyunca şifrelemeye dayanacak kadar güçlü olması gerekir.
Diğer biletleri almak için kullanılabilecek özel bir bilet türü. Anahtar Verme Anahtarı (TGT), Kimlik Doğrulama Hizmeti (AS) değişimindeki ilk kimlik doğrulamasından sonra elde edilir; bundan sonra, kullanıcıların kimlik bilgilerini sunmaları gerekmez, ancak sonraki biletleri almak için TGT'yi kullanabilirler.