Журнал змін
Зміна 1: 5 квітня 2023 р.: Переміщено етап "Примусове застосування за замовчуванням" розділу реєстру з 11 квітня 2023 року до 13 червня 2023 року в розділі "Терміни оновлення для вирішення CVE-2022-38023". Зміна 2: 20 квітня 2023 р.: Видалено неточне посилання на "Контролер домену: дозволити вразливі підключення до захищеного каналу Netlogon" об'єкт групової політики (GPO) у розділі "Параметри розділу реєстру". Зміна 3: 19 червня 2023 р.:
|
У цій статті
Зведення
Оновлення Windows від 8 листопада 2022 р. та пізніші версії ускладнюють слабкі місця в протоколі Netlogon, коли замість запечатування RPC використовується підпис RPC. Докладні відомості див. в статті CVE-2022-38023 .
Інтерфейс віддаленої процедури віддаленого протоколу Netlogon (RPC) здебільшого використовується для підтримки зв'язку між пристроєм і його доменом , а також зв'язків між контролерами домену (DCs) і доменами.
Це оновлення захищає пристрої Windows від CVE-2022-38023 за замовчуванням. Для сторонніх клієнтів і сторонніх контролерів домену оновлення за замовчуванням перебуває в режимі сумісності та дозволяє вразливі підключення від таких клієнтів. Кроки з переходу до режиму примусового застосування див. в розділі "Параметри розділу реєстру ".
Щоб захистити середовище, інсталюйте оновлення Windows від 8 листопада 2022 р. або пізніше оновлення Windows для всіх пристроїв, зокрема контролерів домену.
Важливо З червня 2023 року режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з пристроїв, які не відповідають вимогам. У цей час ви не зможете вимкнути оновлення, але можете повернутися до параметра Режим сумісності. Режим сумісності буде видалено в липні 2023 року, як зазначено в розділі Хронометраж оновлень для усунення вразливості Netlogon CVE-2022-38023 .
Час оновлення для вирішення CVE-2022-38023
Оновлення буде випущено в кілька етапів: початковий етап для оновлень, випущених 8 листопада 2022 р. або пізніше, і етап примусового застосування для оновлень, випущених 11 липня 2023 р. або пізніше.
Початковий етап розгортання починається з оновлень, випущених 8 листопада 2022 року, і продовжується з пізнішими оновленнями Windows до етапу примусового виконання. Оновлення Windows від 8 листопада 2022 р. або пізніше вирішують вразливість обходу системи безпеки CVE-2022-38023 шляхом застосування запечатування RPC для всіх клієнтів Windows.
За замовчуванням пристрої буде налаштовано в режимі сумісності. Контролери домену Windows вимагатимуть, щоб клієнти Netlogon запечатали RPC, якщо працюють під керуванням Windows, або працюють як контролери домену або як надійні облікові записи.
Оновлення Windows, випущені 11 квітня 2023 року або пізніше, усунуть можливість вимкнути запечатування віддаленого виклику процедур, установивши значення 0 у підрозділі RequireSeal registry.
Підрозділ RequireSeal registry буде переміщено в режим Примусово, якщо адміністратори не налаштували його в режимі сумісності. Уразливі підключення від усіх клієнтів, зокрема третіх осіб, буде відмовлено в автентифікації. Див. статтю Зміна 1.
Оновлення Windows, випущені 11 липня 2023 року, усунуть можливість установити значення 1 для підрозділу реєстру RequireSeal . Це дає змогу примусово використовувати CVE-2022-38023.
Параметри розділу реєстру
Після інсталяції оновлень Windows, випущених 8 листопада 2022 р. або пізніше, для протоколу Netlogon на контролерах домену Windows доступний такий підрозділ реєстру.
ВАЖЛИВО Це оновлення, а також майбутні примусові зміни, не додавати або видаляти підрозділ реєстру "RequireSeal" автоматично. Цей підрозділ реєстру потрібно додати вручну, щоб його було прочитано. Див . статтю Зміна 3.
RequireSeal subkey
Реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Значення |
RequireSeal (Обов'язковий параметр) |
Тип даних |
REG_DWORD |
Дані |
0 – вимкнуто 1 – режим сумісності. Контролери домену Windows вимагають, щоб клієнти Netlogon могли використовувати RPC Seal, якщо вони працюють під керуванням Windows, або якщо вони діють як контролери домену або надійні облікові записи. 2 - Режим примусового застосування. Усі клієнти повинні використовувати RPC Seal. Див . статтю Зміна 2. |
Потрібне перезавантаження? |
Ні |
Події Windows, пов'язані з CVE-2022-38023
ПРИМІТКА Наведені нижче події мають 1-годинний буфер, у якому повторювані події з однаковими відомостями видаляються під час цього буфера.
Журнал подій |
Система |
Тип події |
Помилка |
Джерело події |
NETLOGON (NETLOGON) |
Ідентифікатор події |
5838 |
Текст події |
Служба Netlogon виявила клієнт за допомогою входу RPC замість запечатування RPC. |
Якщо це повідомлення про помилку знайдено в журналах подій, потрібно виконати такі дії, щоб усунути системну помилку:
-
Переконайтеся, що на пристрої інстальовано підтримувану версію Windows.
-
Переконайтеся, що всі пристрої оновлено.
-
Переконайтеся, що для елемента Domain member: Domain member Digitally encrypt or sign secure channel data (always) установлено значення Увімкнуто .
Журнал подій |
Система |
Тип події |
Помилка |
Джерело події |
NETLOGON (NETLOGON) |
Ідентифікатор події |
5839 |
Текст події |
Служба Netlogon виявила довіру за допомогою входу RPC замість запечатування RPC. |
Журнал подій |
Система |
Тип події |
Попередження |
Джерело події |
NETLOGON (NETLOGON) |
Ідентифікатор події |
5840 |
Текст події |
Служба Netlogon створила безпечний канал із клієнтом із RC4. |
Якщо ви знайдете подію 5840, це ознака того, що клієнт у вашому домені використовує слабку криптографію.
Журнал подій |
Система |
Тип події |
Помилка |
Джерело події |
NETLOGON (NETLOGON) |
Ідентифікатор події |
5841 |
Текст події |
Служба Netlogon відмовила клієнту у використанні RC4 через параметр "RejectMd5Clients". |
Якщо ви знайдете подію 5841, це ознака того, що значення RejectMD5Clients має значення TRUE .
RejectMD5Clients абстрактної моделі даних.
Ключ RejectMD5Clients – це попередньо наявний ключ служби Netlogon. Докладні відомості див. в описіЗапитання й відповіді (запитання й відповіді)
Це CVE впливає на всі підключені до домену облікові записи комп'ютера. Події показують, хто найбільше впливає на цю проблему після інсталяції оновлень Windows від 8 листопада 2022 р. або пізнішої версії. Перегляньте розділ помилки журналу подій для вирішення проблем.
Щоб виявити старі клієнти, які не використовують найсильніший доступний шифрування, це оновлення представляє журнали подій для клієнтів, які використовують RC4.
Підпис RPC – це коли протокол Netlogon використовує протокол RPC для підписання повідомлень, які він надсилає через дріт. Запечатування RPC – це коли протокол Netlogon підписує та шифрує повідомлення, які він надсилає через дріт.
Контролер домену Windows визначає, чи працює клієнт Netlogon Windows, запитуючи атрибут "OperatingSystem" в Active Directory для клієнта Netlogon і перевіряючи наявність таких рядків:
-
"Windows", "Hyper-V Server" і "Azure Stack HCI"
Ми не рекомендуємо й не підтримуємо змінення цього атрибута клієнтами Netlogon або адміністраторами домену на значення, яке не є представником операційної системи (ОС), яку запущено клієнтом Netlogon. Пам'ятайте, що умови пошуку можуть змінитися в будь-який час. Див . статтю Зміна 3.
Етап примусового застосування не відхиляє клієнтів Netlogon на основі типу шифрування, який використовують клієнти. Він відхилятиме клієнтів Netlogon, лише якщо вони підписують RPC замість запечатування RPC. Відмова від клієнтів RC4 Netlogon базується на розділі реєстру RejectMd5Clients, доступному для windows Server 2008 R2 та пізніших контролерів домену Windows. Етап примусового застосування для цього оновлення не змінює значення "RejectMd5Clients". Ми радимо користувачам увімкнути значення "RejectMd5Clients" для підвищення рівня безпеки в їхніх доменах. Див . статтю Зміна 3.
Глосарій
Advanced Encryption Standard (AES) – це блочний шифр, який заміняє стандарт шифрування даних (DES). AES може використовуватися для захисту електронних даних. Алгоритм AES можна використовувати для шифрування (шифрування) і розшифрування (розшифрування) інформації. Шифрування перетворює дані на зрозумілу форму під назвою ciphertext; Дешифрування шифрува перетворює дані назад у вихідну форму, яка називається звичайним текстом. AES використовується в криптографії симетричного ключа, тобто той самий ключ використовується для операцій шифрування та дешифрування. Це також блок-шифр, що означає, що він працює на блоках фіксованого розміру звичайного тексту та шифру, і вимагає, щоб розмір звичайного тексту, а також шифрувальника був точним кратним цьому розміру блоку. AES також відомий як алгоритм симетричного шифрування Rijndael [FIPS197] .
У середовищі безпеки мережі, сумісному з операційною системою Windows NT, компонент, відповідальний за функції синхронізації та обслуговування між основним контролером домену (PDC) і резервними контролерами домену (BDC). Netlogon – це попередник протоколу сервера реплікації каталогів (DRS). Інтерфейс віддаленої процедури віддаленого протоколу Netlogon (RPC) здебільшого використовується для підтримки зв'язку між пристроєм і його доменом , а також зв'язків між контролерами домену (DCs) і доменами. Докладні відомості див. в статті Протокол Netlogon Remote.
RC4-HMAC (RC4) – це змінний алгоритм симетричного шифрування довжиною ключа. Докладні відомості див. в розділі [SCHNEIER] 17.1.
Автентифікований віддалений виклик процедур (RPC) підключення між двома комп'ютерами в домені з встановленим контекстом безпеки , який використовується для підписування та шифрування пакетів RPC .