變更記錄
變更 1:2023 年 4 月 5 日: 在「解決 CVE-2022-38023 的更新時間」區段,將登錄機碼的「預設強制執行」階段從 2023 年 4 月 11 日移至 2023 年 6 月 13 日。 變更 2:2023 年 4 月 20 日: 已移除「網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」群組原則物件 (GPO) 在「登錄機碼設定」一節中的不正確參照。 變更 3:2023 年 6 月 19 日:
|
本文內容
摘要
2022 年 11 月 8 日以後的 Windows 更新解決在使用 RPC 簽署而非 RPC 密封時,Netlogon 通訊協定中的弱點。 可在 CVE-2022-38023 中找到其他資訊。
Netlogon 遠端通訊協定 遠端程序呼叫 (RPC) 介面主要用來維護裝置與其網域之間的關係,以及網域控制站 (DC) 和網域之間的關係。
此更新預設會保護 Windows 裝置不受到 CVE-2022-38023 的影響。 對於協力廠商用戶端和協力廠商網域控制站,更新預設為相容模式,並允許來自這類用戶端的易受攻擊連線。 如需移至強制執行模式的步驟,請參閱登錄機碼設定一節。
為了協助保護您的環境,請將 2022 年 11 月 8 日的 Windows 更新或之後的 Windows 更新,安裝到所有裝置,包括網域控制站。
重要: 自 2023 年 6 月開始,所有 Windows 網域控制站都會啟用 [強制] 模式,並且會封鎖來自不相容裝置的易受攻擊連線。 屆時,您將無法停用更新,但可以回到相容模式設定。 相容模式將會在 2023 年 7 月移除,如解決 Netlogon 弱點 CVE-2022-38023 的更新時間一節所述。
解決 CVE-2022-38023 的更新時間
更新會分幾個階段發行:更新的初始階段在 2022 年 11 月 8 日或之後發行,更新的強制階段在 2023 年 7 月 11 日或之後發行。
初始部署階段從 2022 年 11 月 8 日發行的更新開始,一直持續到之後的 Windows 更新直到強制階段。 2022 年 11 月 8 日或之後的 Windows 更新透過在所有 Windows 用戶端上強制執行 RPC 密封,解決 CVE-2022-38023 安全性略過弱點的問題。
根據預設,裝置將會設定為相容模式。 Windows 網域控制站會要求 Netlogon 用戶端在執行 Windows 時,或是做為網域控制站或信任帳戶時,使用 RPC 密封。
2023 年 4 月 11 日或之後發佈的 Windows 更新,會將 RequireSeal登錄子機碼的值設定為 0 以移除 RPC 密封的功能。
除非系統管理員明確設定為在相容模式下,否則 RequireSeal 登錄子機碼將移至強制模式。 來自所有用戶端 (包括協力廠商) 的易受攻擊連線都將遭到拒絕驗證。 請查看 變更 1。
2023 年 7 月 11 日發行的 Windows 更新會移除將 RequireSeal 登錄子機碼值設定為 1 的功能。 這會啟用 CVE-2022-38023 的強制階段。
登錄機碼設定
安裝於 2022 年 11 月 8 日或之後的 Windows 更新後,Windows 網域控制站上的 Netlogon 通訊協定可以使用下列登錄子機碼。
重要 此更新以及未來的強制執行變更不會自動新增或移除 「RequireSeal」登錄子機碼。 此登錄子機碼必須手動新增才能讀取。 請查看 變更 3。
RequireSeal 子機碼
登錄機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
值 |
RequireSeal |
資料類型 |
REG_DWORD |
資料 |
0 – 已停用 1 – 相容模式。 Windows 網域控制站會要求 Netlogon 用戶端在執行 Windows 時,或是做為網域控制站或信任帳戶時,使用 RPC 密封。 2 - 強制模式。 所有用戶端都必須使用 RPC Seal。 請查看 變更 2。 |
需要重新啟動? |
否 |
與 CVE-2022-38023 相關的 Windows 事件
注意事項 下列事件有 1 小時的緩衝時間,在該緩衝期間包含相同資訊的重複事件會遭到捨棄。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
NETLOGON |
事件識別碼 |
5838 |
事件文字 |
Netlogon 服務遇到使用 RPC 簽署而非 RPC 密封的用戶端。 |
如果您在事件記錄檔中發現此錯誤訊息,必須採取下列動作才能解決系統錯誤:
-
確認裝置正在執行支援的 Windows 版本。
-
檢查以確認所有裝置都是最新狀態。
-
檢查以確認 [網域成員: 安全通道資料加以數位加密或簽章 (自動)] 設定為 [已啟用]。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
NETLOGON |
事件識別碼 |
5839 |
事件文字 |
Netlogon 服務遇到使用 RPC 簽署而非 RPC 密封的信任。 |
事件記錄檔 |
系統 |
事件類型 |
警告 |
事件來源 |
NETLOGON |
事件識別碼 |
5840 |
事件文字 |
Netlogon 服務與使用 RC4 的用戶端建立了安全通道。 |
如果您發現事件 5840,表示您網域中的用戶端正在使用弱式密碼編譯。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
NETLOGON |
事件識別碼 |
5841 |
事件文字 |
Netlogon 服務因為 [RejectMd5Clients] 設定而拒絕使用 RC4 的用戶端。 |
如果您發現事件 5841,表示 RejectMD5Clients 值設定為 TRUE。
RejectMD5Clients 描述。
RejectMD5Clients 機碼是 Netlogon 服務中預先存在的機碼。 如需詳細資訊,請參閱抽象資料模型的常見問題集 (FAQ)
所有已加入網域的電腦帳戶都會受到此 CVE 影響。 在安裝 2022 年 11 月 8 日或之後的 Windows 更新之後,事件會顯示誰受此問題影響最大,請檢閱事件記錄檔錯誤一節以解決問題。
為了協助偵測未使用最強可用密碼編譯的較舊用戶端,此更新會為使用 RC4 的客戶引進事件記錄檔。
RPC 簽署是指 Netlogon 通訊協定使用 RPC 簽署透過連接線傳送的訊息。 RPC 密封是指 Netlogon 通訊協定簽署並加密透過連接線傳送的訊息。
Windows 網域控制站會透過查詢 Netlogon 用戶端 Active Directory 中的「OperatingSystem」屬性,並檢查下列字串,藉此判斷 Netlogon 用戶端是否正在執行 Windows:
-
「Windows」、「Hyper-V Server」 和 「Azure Stack HCI」
我們不建議也不支援由 Netlogon 用戶端或網域系統管理員將此值變更成不代表 Netlogon 用戶端正在執行的作業系統 (OS)。 請注意,我們隨時可能會變更搜尋準則。 請查看 變更 3。
根據用戶端使用的加密類型,強制執行階段不會拒絕 Netlogon 用戶端。 只有在 Netlogon 用戶端執行簽署而非 RPC 封存時,才會拒絕 Netlogon 用戶端。 拒絕 RC4 Netlogon 用戶端是以 Windows Server 2008 R2 和更新版本的 Windows 網域控制站可使用的「RejectMd5Clients」登錄機碼為依據。 此更新的強制執行階段不會變更「RejectMd5Clients」值。 我們建議客戶啟用「RejectMd5Clients」值,以提高網域中的安全性。 請查看 變更 3。
詞彙
進階加密標準 (AES) 是取代資料加密標準 (DES) 的區塊編碼器。 AES 可用來保護電子資料。 AES 演算法可用來加密 (編碼) 和解密 (解碼) 資訊。 加密會將資料轉換成一種無法理解的形式,稱為加密文字;解密會將資料轉換回其原始形式,稱為純文字。 AES 用於對稱金鑰密碼編譯,表示使用相同的金鑰來進行加密和解密作業。 它也是一個區塊編碼器,表示它是在純文字和加密文字固定大小的區塊上運作,純文字的大小和加密文字的大小必須是此區塊大小的整數倍數。 AES 也稱為 Rijndael 對稱式加密演算法 [FIPS197]。
在 Windows NT 作業系統相容的網路安全性環境中,負責在 主要網域主控站 (PDC) 和備份網域控制站 (BDC) 之間同步及維護功能的元件。 Netlogon 是目錄複寫伺服器 (DRS) 通訊協定的前導。Netlogon 遠端通訊協定遠端程序呼叫 (RPC) 介面主要用來維護裝置與其網域之間的關係,以及網域控制站 (DC) 和網域之間的關係。 如需詳細資訊,請查看 Netlogon 遠端通訊協定。
RC4-HMAC (RC4) 是金鑰長度可變的對稱式加密演算法。 如需詳細資訊,請查看 [SCHNEIER] 17.1 節。
在建立了資訊安全內容 用於簽署和加密 RPC 封包的 網域 中的兩部電腦之間,經過驗證的 遠端程序呼叫 (RPC) 連線。