Nhật ký thay đổi
Thay đổi 1: 05/04/2023: Đã chuyển giai đoạn "Thực thi theo Mặc định" của khóa đăng ký từ ngày 11 tháng 4 năm 2023 sang ngày 13 tháng 6 năm 2023 trong mục "Đặt thời gian cập nhật để giải quyết CVE-2022-38023". Thay đổi 2: 20/04/2023: Đã loại bỏ tham chiếu không chính xác đến "Bộ kiểm soát Miền: Cho phép kết nối kênh bảo mật Netlogon dễ bị tổn thương" đối tượng chính sách nhóm (GPO) trong phần "Cài đặt Khóa Đăng ký". Thay đổi 3: 19/06/2023:
|
Trong bài viết này
Tóm tắt
Ngày 8 tháng 11 năm 2022 và các bản cập nhật Windows mới hơn giải quyết các điểm yếu trong giao thức Netlogon khi ký RPC được sử dụng thay vì niêm phong RPC. Bạn có thể tìm thêm thông tin trong CVE-2022-38023 .
Giao diện thủ tục gọi từ xa netlogon Remote Protocol (RPC) chủ yếu được sử dụng để duy trì mối quan hệ giữa một thiết bị và miền của nó , và mối quan hệ giữa các bộ kiểm soát miền (DCs) và miền.
Bản cập nhật này bảo vệ thiết bị Windows khỏi CVE-2022-38023 theo mặc định. Đối với máy khách của bên thứ ba và bộ kiểm soát miền bên thứ ba, cập nhật ở chế độ Tương thích theo mặc định và cho phép kết nối dễ bị tổn thương từ những máy khách đó. Tham khảo phần thiết đặt Khóa Đăng ký để biết các bước chuyển sang chế độ Thực thi.
Để giúp bảo mật môi trường của bạn, hãy cài đặt bản cập nhật Windows ngày 8 tháng 11 năm 2022 hoặc bản cập nhật Windows mới hơn cho tất cả các thiết bị, bao gồm cả bộ kiểm soát miền.
Quan trọng Bắt đầu từ tháng 6 năm 2023, chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công từ các thiết bị không tuân thủ. Tại thời điểm đó, bạn sẽ không thể tắt bản cập nhật, nhưng có thể di chuyển trở lại cài đặt Chế độ tương thích. Chế độ tương thích sẽ bị loại bỏ vào tháng 7 năm 2023, như được nêu trong mục Thời gian cập nhật để giải quyết lỗ hổng CVE-2022-38023 của Netlogon .
Thời gian cập nhật để giải quyết CVE-2022-38023
Cập nhật sẽ được phát hành trong một số giai đoạn: giai đoạn ban đầu cho các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 và giai đoạn Thực thi đối với các bản cập nhật được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023.
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào ngày 8 tháng 11 năm 2022 và tiếp tục với các bản cập nhật Windows sau cho đến giai đoạn Thực thi. Các bản cập nhật Windows vào hoặc sau ngày 8 tháng 11 năm 2022 giải quyết lỗ hổng bỏ qua bảo mật của CVE-2022-38023 bằng cách thực thi niêm phong RPC trên tất cả các máy khách Windows.
Theo mặc định, thiết bị sẽ được đặt trong chế độ Tương thích. Bộ kiểm soát miền Windows sẽ yêu cầu máy khách Netlogon sử dụng con dấu RPC nếu chúng đang chạy Windows hoặc nếu chúng đang hoạt động như bộ kiểm soát miền hoặc tài khoản tin cậy.
Các bản cập nhật Windows được phát hành vào hoặc sau ngày 11 tháng 4 năm 2023 sẽ loại bỏ khả năng tắt chức năng niêm phong RPC bằng cách đặt giá trị 0 cho khóa phụ của sổ đăng ký RequireSeal .
Khóa đăng ký phụ RequireSeal sẽ được chuyển sang chế độ Ràng buộc trừ khi Người quản trị đặt cấu hình rõ ràng ở chế độ Tương thích. Các kết nối dễ bị tấn công từ tất cả các máy khách bao gồm các bên thứ ba sẽ bị từ chối xác thực. Xem Thay đổi 1.
Các bản cập nhật Windows được phát hành vào ngày 11 tháng 7 năm 2023 sẽ loại bỏ khả năng đặt giá trị 1 cho khóa phụ của sổ đăng ký RequireSeal . Điều này cho phép giai đoạn Thực thi của CVE-2022-38023.
Cài đặt Khóa Đăng ký
Sau khi cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau ngày 8 tháng 11 năm 2022, khóa phụ đăng ký sau đây có sẵn cho giao thức Netlogon trên bộ kiểm soát miền Windows.
QUAN TRỌNG Bản cập nhật này, cũng như các thay đổi thực thi trong tương lai, không tự động thêm hoặc loại bỏ khóa phụ của sổ đăng ký "RequireSeal". Khóa phụ của sổ đăng ký này phải được thêm vào theo cách thủ công để có thể đọc. Xem Thay đổi 3.
Yêu cầu khóa phụSeal
Khóa đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Giá trị |
Yêu cầuSeal |
Kiểu dữ liệu |
REG_DWORD |
Dữ liệu |
0 – Đã tắt 1 – Chế độ tương thích. Bộ kiểm soát miền Windows sẽ yêu cầu máy khách Netlogon sử dụng RPC Seal nếu chúng đang chạy Windows hoặc nếu chúng đang hoạt động như bộ kiểm soát miền hoặc tài khoản Tin cậy. 2 - Chế độ thực thi. Tất cả các khách hàng được yêu cầu sử dụng RPC Seal. Xem Thay đổi 2. |
Bạn cần khởi động lại? |
Không |
Các sự kiện Windows liên quan đến CVE-2022-38023
Lưu ý Các sự kiện sau đây có một bộ đệm 1 giờ mà các sự kiện trùng lặp có chứa thông tin tương tự được loại bỏ trong bộ đệm đó.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
NETLOGON |
ID Sự kiện |
5838 |
Văn bản Sự kiện |
Dịch vụ Netlogon gặp phải một khách hàng sử dụng ký RPC thay vì RPC niêm phong. |
Nếu bạn tìm thấy thông báo lỗi này trong nhật ký sự kiện của mình, bạn phải thực hiện các hành động sau để giải quyết lỗi hệ thống:
-
Xác nhận rằng thiết bị đang chạy phiên bản Windows được hỗ trợ.
-
Kiểm tra để đảm bảo rằng tất cả các thiết bị đều được cập nhật.
-
Kiểm tra để đảm bảo thành viên Miền: Thành viên trong miền mã hóa điện tử hoặc ký kết dữ liệu kênh bảo mật (luôn luôn) được đặt thành Đã bật .
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
NETLOGON |
ID Sự kiện |
5839 |
Văn bản Sự kiện |
Dịch vụ Netlogon gặp phải một niềm tin bằng cách sử dụng ký RPC thay vì RPC niêm phong. |
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Cảnh báo |
Nguồn Sự kiện |
NETLOGON |
ID Sự kiện |
5840 |
Văn bản Sự kiện |
Dịch vụ Netlogon đã tạo ra một kênh an toàn với một khách hàng với RC4. |
Nếu bạn tìm thấy Sự kiện 5840, đây là dấu hiệu cho thấy máy khách trong miền của bạn đang sử dụng mã hóa yếu.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
NETLOGON |
ID Sự kiện |
5841 |
Văn bản Sự kiện |
Dịch vụ Netlogon đã từ chối một máy khách sử dụng RC4 do cài đặt 'RejectMd5Clients'. |
Nếu bạn tìm thấy Sự kiện 5841, đây là dấu hiệu cho biết giá trị RejectMD5Clients được đặt thành TRUE .
mô tả RejectMD5Clients của Mô hình Dữ liệu Trừu tượng.
Khóa RejectMD5Clients là khóa tồn tại từ trước trong dịch vụ Netlogon. Để biết thêm thông tin, hãy xemCâu hỏi Thường Gặp (Câu hỏi Thường Gặp)
Tất cả các tài khoản máy đã tham gia miền đều bị ảnh hưởng bởi CVE này. Sự kiện sẽ cho biết ai bị ảnh hưởng nhiều nhất bởi sự cố này sau khi cài đặt bản cập nhật Windows ngày 8 tháng 11 năm 2022 trở lên, vui lòng xem lại phần Lỗi Nhật ký Sự kiện để khắc phục sự cố.
Để giúp phát hiện máy khách cũ hơn mà không sử dụng crypto mạnh nhất có sẵn, bản cập nhật này giới thiệu các bản ghi sự kiện cho khách hàng đang sử dụng RC4.
Ký RPC là khi giao thức Netlogon sử dụng RPC để ký các thông điệp nó gửi qua dây. RPC niêm phong là khi giao thức Netlogon cả hai dấu hiệu và mã hóa các thông điệp nó gửi qua dây.
Bộ kiểm soát Miền Windows xác định xem một máy khách Netlogon có đang chạy Windows hay không bằng cách truy vấn thuộc tính "Hệ điều hành" trong Active Directory cho máy khách Netlogon và kiểm tra các chuỗi sau đây:
-
"Windows", "Hyper-V Server" và "Azure Stack HCI"
Chúng tôi không khuyên bạn cũng không nên hỗ trợ rằng thuộc tính này được thay đổi bởi các khách hàng Netlogon hoặc quản trị viên tên miền vào một giá trị mà không phải là đại diện của hệ điều hành (HĐH) mà máy khách Netlogon đang chạy. Bạn nên lưu ý rằng chúng tôi có thể thay đổi tiêu chí tìm kiếm bất cứ lúc nào. Xem Thay đổi 3.
Giai đoạn thực thi không từ chối máy khách Netlogon dựa trên loại mã hóa khách hàng sử dụng. Nó sẽ chỉ từ chối các khách hàng Netlogon nếu họ ký RPC thay vì RPC Sealing. Từ chối máy khách RC4 Netlogon dựa trên khóa đăng ký "RejectMd5Clients" có sẵn cho Windows Server 2008 R2 trở lên. Giai đoạn thực thi cho bản cập nhật này không thay đổi giá trị "RejectMd5Clients". Chúng tôi khuyên khách hàng nên bật giá trị "RejectMd5Clients" cho mức bảo mật cao hơn trong tên miền của họ. Xem Thay đổi 3.
Thuật ngữ
Advanced Encryption Standard (AES) là một mật mã khối thay thế Tiêu chuẩn Mã hóa Dữ liệu (DES). AES có thể được sử dụng để bảo vệ dữ liệu điện tử. Thuật toán AES có thể được sử dụng để mã hóa (mã hóa) và giải mã thông tin (giải mã). Mã hóa chuyển đổi dữ liệu thành biểu mẫu không thể hiểu được gọi là văn bản mật mã; việc giải mã văn bản mật mã sẽ chuyển đổi dữ liệu trở lại dạng ban đầu của nó, được gọi là văn bản thuần. AES được sử dụng trong mật mã khóa đối xứng, có nghĩa là cùng một khóa được sử dụng cho các thao tác mã hóa và giải mã. Nó cũng là một mật mã khối, có nghĩa là nó hoạt động trên các khối có kích thước cố định của văn bản thuần và văn bản mật mã, và đòi hỏi kích thước của văn bản đồng bằng cũng như văn bản mật mã phải là bội số chính xác của kích thước khối này. AES còn được gọi là thuật toán mã hóa đối xứng Rijndael [FIPS197] .
Trong môi trường bảo mật mạng tương thích với hệ điều hành Windows NT, cấu phần chịu trách nhiệm về các chức năng đồng bộ hóa và bảo trì giữa bộ điều khiển miền chính (PDC) và bộ kiểm soát miền sao lưu (BDC). Netlogon là tiền tố cho giao thức máy chủ sao nhân bản thư mục (DRS). Giao diện thủ tục gọi từ xa netlogon Remote Protocol (RPC) chủ yếu được sử dụng để duy trì mối quan hệ giữa một thiết bị và miền của nó , và mối quan hệ giữa các bộ kiểm soát miền (DCs) và miền. Để biết thêm thông tin, hãy xem Giao thức Từ xa Netlogon.
RC4-HMAC (RC4) là một giải thuật mã hóa đối xứng độ dài khóa biến đổi. Để biết thêm thông tin, hãy xem [SCHNEIER] phần 17.1.
Một thủ tục gọi từ xa xác thực gọi (RPC) kết nối giữa hai máy trong một tên miền với một bối cảnh bảo mật được thiết lập được sử dụng để ký và mã hóa các gói tin RPC.