已更新
2023 年 4 月 10 日: 在 [解決 CVE-2022-37967 的更新時間] 一節中,將 [第三部署階段] 的時間從 2023 年 4 月11 日更新到 2023 年 6 月 13 日。
本文內容
摘要
2022 年 11 月 8 日 Windows 更新會使用特殊許可權屬性憑證 (PAC) 簽章解決安全性旁路和權限提高弱點。 此安全性更新可解決 Kerberos 弱點,攻擊者可能會以數位方式變更 PAC 簽章,提高其許可權。
為了協助保護您的環境,請安裝這個 Windows 更新到所有裝置,包括 Windows 網域控制站。 您網域中的所有網域控制站必須先更新,才能將更新切換到 [強制] 模式。
要深入了解此弱點,請參閱 CVE-2022-37967。
採取行動
為協助保護您的環境並防止中斷,建議您執行下列步驟:
-
更新在 2022 年 11 月 8 日或之後發行 Windows 更新的 Windows 網域控制站。
-
使用 登陸機碼設定 區段,將 Windows 網域控制站 移至 [稽核] 模式。
-
監視 [稽核] 模式期間歸檔的事件,以保護您的環境。
-
啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。
附註 安裝 2022 年 11 月 8 日或之後發行之更新的步驟 1 無法解決 Windows 裝置中預設的 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 中的安全性問題。 若要完全緩解所有裝置的安全性問題,您必須儘快在所有 Windows 網域控制站上移至 [稽核] 模式 (如步驟 2 所述),後面接著 [強制] 執行模式 (步驟 4 所述)。
重要: 自 2023 年 7 月開始,所有 Windows 網域控制站都會啟用 [強制] 模式,並且會封鎖來自不相容裝置的易受攻擊連線。 屆時,您將無法停用更新,但可以回到 [稽核] 模式設定。 [稽核] 模式將會在 2023 年 7 月移除,如解決 Kerberos 弱點 CVE-2022-37967 的更新時間一節所述。
解決 CVE-2022-37967 的更新時間
更新會分階段發行: 更新的初始階段在 2022 年 11 月 8 日或之後發行,更新的「強制」階段在 2023 年 6 月 13 日或之後發行。
初始部署階段從 2022 年 11 月 8 日發行的更新開始,一直持續到之後的 Windows 更新直到 [強制] 階段。 此更新會將簽章新增到 Kerberos PAC 緩衝區,但在驗證期間不會檢查簽章。 因此,安全模式預設為停用。
此更新:
-
將 PAC 簽章新增到 Kerberos PAC 緩衝區。
-
新增措施以解決 Kerberos 通訊協定中的安全性旁路弱點。
第二部署階段從 2022 年 12 月 13 日發行的更新開始。 這些和更新的更新會變更 Kerberos 通訊協定,以將 Windows 網域控制站移動到 [稽核] 模式,以稽核 Windows 裝置。
此更新預設會以 [稽核] 模式顯示所有 裝置:
-
如果簽章遺失或無效,則允許驗證。 此外,也會建立稽核記錄。
-
如果簽章遺失,請引發事件並 允許 驗證。
-
如果簽章存在,請驗證簽章。 如果簽章錯誤,請引發事件並 允許 驗證。
2023 年 6 月 13 日或之後發佈的 Windows 更新將會執行下列操作:
-
將 KrbtgtFullPacSignature 子金鑰的值設定為 0,以移除停用 PAC 簽章新增的能力。
2023 年 7 月 11 日或之後發佈的 Windows 更新將會執行下列操作:
-
移除為 將 KrbtgtFullPacSignature 子金鑰設定值為 1 的能力。
-
將更新移至 [強制] 模式 (預設) (KrbtgtFullPacSignature = 3) ,系統管理員可以明確的 [稽核] 設定覆寫更新。
2023 年 10 月 10 日或之後發佈的 Windows 更新將會執行下列操作:
-
移除登陸子機碼 KrbtgtFullPacSignature 的支援。
-
移除 [稽核] 模式的支援。
-
所有沒有新 PAC 簽章的服務票證都會被拒絕驗證。
部署指導方針
若要部署 2022 年 11 月 8 日或更新的 Windows 更新,請遵循下列步驟:
-
更新在 2022 年 11 月 8 日或之後發行更新的 Windows 網域控制站。
-
使用 登陸機碼設定 區段,將網域控制站 移至 [稽核] 模式。
-
監視 [稽核]模式期間歸檔的事件,以協助保護您的環境。
-
啟用 解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。
步驟 1:更新
將 2022 年 11 月 8 日或更新版本更新部署到所有適用的 Windows 網域控制站 (網域控制站)。 部署更新之後,已更新的 Windows 網域控制站會新增簽章至 Kerberos PAC 緩衝區,且預設為不安全 (不會驗證 PAC 簽章)。
-
更新時,請務必將 KrbtgtFullPacSignature 登錄值維持在預設狀態,直到所有 Windows 網域控制站更新。
步驟 2:移動
更新 Windows 網域控制站之後,將 KrbtgtFullPacSignature 值變更為 2,以切換到 [稽核] 模式。
步驟 3:尋找/監視器
識別遺漏 PAC 簽章或 PAC 簽章無法透過 [稽核] 模式觸發的事件記錄進行驗證的區域。
-
請確定 網域功能等級 至少設定為 2008 或以上,再進入 [強制] 模式。 若網域在 2003 網域功能等級中移動到 [強制] 模式,可能會導致驗證失敗。
-
如果您的網域未完全更新,或先前發行的未處理服務票證仍存在於您的網域中,將會顯示稽核事件。
-
繼續監視其他事件記錄,指出遺失 PAC 簽章或現有 PAC 簽章驗證失敗。
-
更新整個網域且所有未處理票證都已過期之後,稽核事件應該就不會再出現。 然後,您應該能成功移至 [強制] 模式。
步驟 4:啟用
啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。
-
一旦所有稽核事件都解決且不再出現,請更新 KrbtgtFullPacSignature 登錄值,以將網域移至 [強制] 模式,如 [登錄機碼設定] 一節所述。
-
如果服務票證具有不正確 PAC 簽章或遺失 PAC 簽章,驗證將會失敗,並記錄錯誤事件。
登錄機碼設定
Kerberos 通訊協定
安裝日期為 2022 年 11 月 8 日或之後的 Windows 更新後,以下登錄機碼可用於 Kerberos 通訊協定:
-
KrbtgtFullPacSignature
此登錄機碼是用來限制 Kerberos 變更的部署。 此登錄機碼是暫時性的,在 2023 年 10 月 10 日的完整 [強制] 日期之後將不再讀取。登錄機碼
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
值
KrbtgtFullPacSignature
資料類型
REG_DWORD
資料
0 = 已停用
1 - 新簽章會新增,但不會驗證。 (預設設定)
2 - 稽核模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則允許驗證並建立稽核紀錄。
3 - 強制模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則禁止驗證並建立稽核紀錄。
需要重新啟動?
否
附註: 如果需要變更 KrbtgtFullPacSignature 登錄值,請手動新增並設定登錄機碼以覆寫預設值。
與 CVE-2022-37967 相關的 Windows 事件
在 [稽核] 模式中,如果 PAC 簽章遺失或無效,您可能會發現下列其中一個錯誤。 如果此問題在 [強制] 模式期間持續發生,這些事件會記錄為錯誤。
如果您在裝置上發現任一錯誤,可能是您網域中的所有 Windows 網域控制站在 2022 年 11 月 8 日或更新的 Windows 更新中不是最新的。 若要緩解問題,您必須進一步調查您的網域,以尋找不是最新的 Windows 網域控制站。
附註: 如果您發現事件識別碼 42 有錯誤,請參閱KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 通訊協定變更。
事件記錄檔 |
系統 |
事件類型 |
警告 |
事件來源 |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
事件識別碼 |
43 |
事件文字 |
金鑰發佈中心 (KDC) 遇到無法驗證 完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱> |
事件記錄檔 |
系統 |
事件類型 |
警告 |
事件來源 |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
事件識別碼 |
44 |
事件文字 |
金鑰發佈中心 (KDC) 發生未包含完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱> |
執行 Kerberos 通訊協定的協力廠商裝置
具有協力廠商網域控制站的網域在 [強制] 模式中可能會看到錯誤。
安裝 2022 年 11 月 8 日或更新的 Windows 更新之後,具有協力廠商用戶端的網域可能需要較長的時間,才能完全清除稽核事件。
請連絡裝置製造商 (OEM) 或軟體廠商,以判斷其軟體是否與最新通訊協定變更相容。
如需通訊協定更新的相關資訊,請參閱 Microsoft 網站上的 Windows 通訊協定 主題。
詞彙
Kerberos 是一種電腦網路驗證通訊協定,其運作依據是「票證」,可讓節點透過網路通訊,以安全的方式證明彼此的身分識別。
專用權屬性憑證 (PAC) 是一種結構,可傳達網域控制站 (DC) 所提供的授權相關資訊。 如需詳細資訊,請參閱 專屬權屬性憑證資料結構。
一種特殊類型的票證,可用來取得其他票證。 在驗證服務 (AS) 交換中的初始驗證後,會取得授票票證 (TGT);之後,使用者就不需要展示認證,但可以使用 TGT 取得後續的票證。