KB5008380 — تحديثات المصادقة (CVE-2021-42287)

الملخص

يعالج CVE-2021-42287 ثغرة أمنية تجاوز تؤثر على شهادة سمة مصادقة Kerberos (PAC) وتسمح للمهاجمين المحتملين بانتحال هوية وحدات التحكم بالمجال. لاستغلال هذه الثغرة الأمنية، قد يتسبب حساب المجال المخترق في قيام مركز توزيع المفاتيح (KDC) بإنشاء تذكرة خدمة بمستوى امتياز أعلى من مستوى امتياز الحساب المخترق. وهو يحقق ذلك من خلال منع KDC من تحديد الحساب الذي تمثله تذكرة خدمة الامتياز الأعلى.

تضيف عملية المصادقة المحسنة في CVE-2021-42287 معلومات جديدة حول الطالب الأصلي إلى PACs من Kerberos Ticket-Granting Tickets (TGT). لاحقا، عند إنشاء تذكرة خدمة Kerberos لحساب، ستتحقق عملية المصادقة الجديدة من أن الحساب الذي طلب TGT هو نفس الحساب المشار إليه في تذكرة الخدمة.

بعد تثبيت تحديثات Windows بتاريخ 9 نوفمبر 2021 أو أحدث، ستتم إضافة PACs إلى TGT لجميع حسابات المجال، حتى تلك التي اختارت مسبقا رفض PACs.

اتخاذ إجراء

لحماية بيئتك وتجنب الانقطاعات، يرجى إكمال الخطوات التالية:

قم بتحديث جميع الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory عن طريق تثبيت تحديث الأمان في 9 نوفمبر 2021 وتحديث 14 نوفمبر 2021 خارج النطاق (OOB). ابحث عن رقم OOB KB لنظام التشغيل المحدد أدناه.

نظام التشغيل	رقم كيلوبايت
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

بعد تثبيت تحديث الأمان في 9 نوفمبر 2021 وتحديث OOB في 14 نوفمبر 2021 على جميع وحدات تحكم مجال Active Directory لمدة 7 أيام على الأقل، نقترح بشدة تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Active Directory.
بدءا من تحديث مرحلة الإنفاذ (المحدث) في 11 أكتوبر 2022، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيكون مطلوبا.

توقيت تحديثات Windows - (تاريخ التحديث 1/31/23)

سيتم إصدار التحديثات Windows هذه على ثلاث مراحل:

التوزيع الأولي - مقدمة للتحديث، بالإضافة إلى مفتاح تسجيل PacRequestorEnforcement
التوزيع الثاني - إزالة قيمة PacRequestorEnforcement البالغة 0 (القدرة على تعطيل مفتاح التسجيل)
مرحلة الإنفاذ - يتم تمكين وضع الإنفاذ. تقوم هذه المرحلة بإيقاف مفتاح PacRequestorEnforcement ولم تعد تقرأه

9 نوفمبر 2021: مرحلة التوزيع الأولية

تبدأ مرحلة التوزيع الأولية بتحديث Windows الذي تم إصداره في 9 نوفمبر 2021. هذا الإصدار:

إضافة حماية ضد CVE-2021-42287
إضافة دعم لقيمة سجل PacRequestorEnforcement ، والتي تسمح لك بالانتقال إلى مرحلة الإنفاذ في وقت مبكر

يتكون التخفيف من المخاطر من تثبيت تحديثات Windows على جميع الأجهزة التي تستضيف دور وحدة التحكم بالمجال ووحدات التحكم بالمجال للقراءة فقط (RODCs).

12 يوليو 2022: مرحلة التوزيع الثانية

تبدأ مرحلة التوزيع الثانية بتحديث Windows الذي تم إصداره في 12 يوليو 2022. تزيل هذه المرحلة إعداد PacRequestorEnforcement من 0. سيكون لتعيين PacRequestorEnforcement إلى 0 بعد تثبيت هذا التحديث نفس تأثير تعيين PacRequestorEnforcement إلى 1. ستكون وحدات التحكم بالمجال (DCs) في وضع النشر.

ملاحظه هذه المرحلة ليست ضرورية إذا لم يتم تعيين PacRequestorEnforcement أبدا إلى 0 في بيئتك. تساعد هذه المرحلة على ضمان انتقال العملاء الذين قاموا بتعيين PacRequestorEnforcement إلى 0إلى الإعداد 1 قبل مرحلة الإنفاذ.

‏ملاحظة يفترض هذا التحديث تحديث جميع وحدات التحكم بالمجال بتحديث Windows في 9 نوفمبر 2021 أو أحدث.

11 أكتوبر 2022: مرحلة الإنفاذ - (تاريخ التحديث 1/31/23)

سينقل إصدار 11 أكتوبر 2022 جميع وحدات تحكم مجال Active Directory إلى مرحلة الإنفاذ. تعطل مرحلة الإنفاذ مفتاح PacRequestorEnforcement ولم تعد تقرأه. ونتيجة لذلك، لن تكون وحدات تحكم مجال Windows التي قامت بتثبيت تحديث 11 أكتوبر 2022 متوافقة مع:

وحدات التحكم بالمجال التي لم تقم بتثبيت تحديثات 9 نوفمبر 2021 أو التحديثات الأحدث.
وحدات التحكم بالمجال التي قامت بتثبيت تحديثات 9 نوفمبر 2021 أو أحدث ولكن لم تقم بعد بتثبيت تحديث 12 يوليو 2022 والذين لديهم قيمة سجل PacRequestorEnforcement تبلغ 0.

ومع ذلك، ستظل وحدات تحكم مجال Windows التي قامت بتثبيت تحديث 11 أكتوبر 2022 متوافقة مع:

وحدات تحكم مجال Windows التي قامت بتثبيت تحديثات 11 أكتوبر 2022 أو التحديثات الأحدث
وحدات تحكم مجال النافذة التي قامت بتثبيت^{تحديثات 9 نوفمبر} 2021 أو التحديثات الأحدث ولديها قيمة PacRequestorEnforcement أو إما 1 أو 2

معلومات مفتاح التسجيل

بعد تثبيت الحماية CVE-2021-42287 في تحديثات Windows التي تم إصدارها بين 9 نوفمبر 2021 و14 يونيو 2022، سيكون مفتاح التسجيل التالي متاحا:

مفتاح التسجيل الفرعي	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
‏‏القيمة	PacRequestorEnforcement
نوع البيانات	Reg_dword
بيانات	1: أضف PAC الجديد إلى المستخدمين الذين تمت مصادقته باستخدام وحدة تحكم مجال Active Directory التي تم تثبيت تحديثات 9 نوفمبر 2021 أو أحدث. عند المصادقة، إذا كان لدى المستخدم PAC الجديد، يتم التحقق من صحة PAC. إذا لم يكن لدى المستخدم PAC الجديد، فلن يتم اتخاذ أي إجراء آخر. وحدات تحكم مجال Active Directory في هذا الوضع في مرحلة النشر. 2: أضف PAC الجديد إلى المستخدمين الذين تمت مصادقته باستخدام وحدة تحكم مجال Active Directory التي تم تثبيت تحديثات 9 نوفمبر 2021 أو أحدث. عند المصادقة، إذا كان لدى المستخدم PAC الجديد، يتم التحقق من صحة PAC. إذا لم يكن لدى المستخدم PAC الجديد، يتم رفض المصادقة. وحدات تحكم مجال Active Directory في هذا الوضع في مرحلة الإنفاذ. 0: تعطيل مفتاح التسجيل. غير مستحسن. وحدات تحكم مجال Active Directory في هذا الوضع في مرحلة التعطيل. لن تكون هذه القيمة موجودة بعد تحديثات 12 يوليو 2022 أو التحديثات الأحدث. الهامه الإعداد 0 غير متوافق مع الإعداد 2. قد تحدث حالات فشل متقطعة إذا تم استخدام كلا الإعدادين داخل مجموعة تفرعات. إذا تم استخدام الإعداد 0، نوصي بنقل الإعداد 0 (تعطيل) إلى الإعداد 1 (النشر) لمدة أسبوع على الأقل قبل الانتقال إلى الإعداد 2 (وضع الإنفاذ).
افتراضي	1 (عندما لا يتم تعيين مفتاح التسجيل)
هل إعادة التشغيل مطلوبة؟	لا

أحداث التدقيق

سيضيف تحديث Windows في 9 نوفمبر 2021 أيضا سجلات أحداث جديدة.

PAC بدون سمات

يواجه KDC TGT بدون المخزن المؤقت لسمة PAC. من المحتمل أن KDC الآخر في السجلات لا يحتوي على التحديث أو في الوضع معطل.

سجل الأحداث	النظام
نوع الحدث	تحذير
مصدر الحدث	Microsoft-Windows-Kerberos-Key-Distribution-Center
معرف الحدث	35
نص الحدث	واجه مركز توزيع المفاتيح (KDC) تذكرة منح التذاكر (TGT) من KDC آخر ("<اسم KDC>") التي لا تحتوي على حقل سمات PAC.

تذكرة بدون PAC

يواجه KDC بطاقة TGT أو أي دليل آخر بدون PAC. وهذا يمنع KDC من فرض عمليات التحقق من الأمان على البطاقة.

سجل الأحداث	النظام
نوع الحدث	تحذير أثناء مرحلة النشر خطأ أثناء مرحلة الإنفاذ
مصدر الحدث	Microsoft-Windows-Kerberos-Key-Distribution-Center
معرف الحدث	36
نص الحدث	واجه مركز توزيع المفاتيح (KDC) تذكرة لا تحتوي على PAC أثناء معالجة طلب تذكرة أخرى. منع هذا عمليات التحقق من الأمان من التشغيل وقد يؤدي إلى فتح الثغرات الأمنية. العميل: اسم مجال <>\<اسم المستخدم> تذكرة ل:> اسم خدمة <

تذكرة بدون مقدم طلب

يواجه KDC TGT أو تذكرة أدلة أخرى دون المخزن المؤقت لمطالب PAC. من المحتمل أن KDC الذي أنشأ PAC لا يحتوي على التحديث أو في الوضع معطل.

ملاحظه راجع قسم المشكلات المعروفة للحصول على معلومات مهمة حول الحدث 37.

سجل الأحداث	النظام
نوع الحدث	تحذير أثناء مرحلة النشر خطأ أثناء مرحلة الإنفاذ
مصدر الحدث	Microsoft-Windows-Kerberos-Key-Distribution-Center
معرف الحدث	37
نص الحدث	واجه مركز توزيع المفاتيح (KDC) تذكرة لا تحتوي على معلومات حول الحساب الذي طلب البطاقة أثناء معالجة طلب تذكرة أخرى. منع هذا عمليات التحقق من الأمان من التشغيل وقد يؤدي إلى فتح الثغرات الأمنية. بطاقة PAC التي تم إنشاؤها بواسطة: <اسم KDC> العميل: اسم مجال <>\<اسم العميل> تذكرة ل:> اسم خدمة <

عدم تطابق الطالب

تواجه KDC بطاقة TGT أو أي دليل آخر، ولا يتطابق الحساب الذي طلب بطاقة TGT أو بطاقة الأدلة مع الحساب الذي تم بناء تذكرة الخدمة له.

سجل الأحداث	النظام
نوع الحدث	الخطأ
مصدر الحدث	Microsoft-Windows-Kerberos-Key-Distribution-Center
معرف الحدث	38
نص الحدث	واجه مركز توزيع المفاتيح (KDC) تذكرة تحتوي على معلومات غير متناسقة حول الحساب الذي طلب البطاقة. قد يعني هذا أنه تمت إعادة تسمية الحساب منذ إصدار البطاقة، والتي ربما كانت جزءا من محاولة استغلال. بطاقة PAC التي تم إنشاؤها بواسطة: <Kdc Name> العميل: اسم مجال <>\<اسم المستخدم> تذكرة ل:> اسم خدمة < طلب معرف أمان الحساب من Active Directory: <SID> طلب معرف أمان الحساب من البطاقة: <SID>

المشاكل المعروفة

العَرَض	الحل البديل
بعد تثبيت تحديثات Windows التي تم إصدارها في 9 نوفمبر 2021 أو إصدار أحدث على وحدات التحكم بالمجال (DCs)، قد يرى بعض العملاء معرف حدث التدقيق الجديد 37 مسجلا بعد إعداد كلمة مرور معينة أو عمليات تغيير مثل: تحديث أو إصلاح CNO أو VCO الخاص بمجموعة تجاوز الفشل إعادة تعيين كلمة مرور المستخدم من وحدة تحكم Active Directory Users and Computers (dsa.msc) إنشاء مستخدم جديد من وحدة تحكم Active Directory Users and Computers (dsa.msc) تغيير كلمة المرور للأجهزة المرتبطة بالمجال التابعة لجهة خارجية إذا لم يظهر معرف الحدث 37 بعد تثبيت تحديثات Windows التي تم إصدارها في 9 نوفمبر 2021 أو إصدار أحدث لمدة أسبوع وكان PacRequestorEnforcement إما "1" أو "2"، فلن تتأثر بيئتك. إذا قمت بتعيين PacRequestorEnforcement = 1، يتم تسجيل معرف الحدث 37 كتحذير، ولكن طلبات تغيير كلمة المرور ستنجح ولن تؤثر على المستخدمين. إذا قمت بتعيين PacRequestorEnforcement = 2، فستفشل طلبات تغيير كلمة المرور وستتسبب في فشل العمليات المذكورة أعلاه أيضا.	تمت معالجة هذه المشكلة في التحديثات التالية: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10، الإصدار 20H2، Windows 10 الإصدار 21H1، Windows 10، الإصدار 21H2 - KB5011543 الإصدار 1809 من Windows 10 وWindows Server 2019 - KB5011551 Windows 10، الإصدار 1607 وWindows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

العَرَض

الحل البديل

بعد تثبيت تحديثات Windows التي تم إصدارها في 9 نوفمبر 2021 أو إصدار أحدث على وحدات التحكم بالمجال (DCs)، قد يرى بعض العملاء معرف حدث التدقيق الجديد 37 مسجلا بعد إعداد كلمة مرور معينة أو عمليات تغيير مثل:

تحديث أو إصلاح CNO أو VCO الخاص بمجموعة تجاوز الفشل
إعادة تعيين كلمة مرور المستخدم من وحدة تحكم Active Directory Users and Computers (dsa.msc)
إنشاء مستخدم جديد من وحدة تحكم Active Directory Users and Computers (dsa.msc)
تغيير كلمة المرور للأجهزة المرتبطة بالمجال التابعة لجهة خارجية

إذا لم يظهر معرف الحدث 37 بعد تثبيت تحديثات Windows التي تم إصدارها في 9 نوفمبر 2021 أو إصدار أحدث لمدة أسبوع وكان PacRequestorEnforcement إما "1" أو "2"، فلن تتأثر بيئتك.

إذا قمت بتعيين PacRequestorEnforcement = 1، يتم تسجيل معرف الحدث 37 كتحذير، ولكن طلبات تغيير كلمة المرور ستنجح ولن تؤثر على المستخدمين.

إذا قمت بتعيين PacRequestorEnforcement = 2، فستفشل طلبات تغيير كلمة المرور وستتسبب في فشل العمليات المذكورة أعلاه أيضا.

تمت معالجة هذه المشكلة في التحديثات التالية:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10، الإصدار 20H2، Windows 10 الإصدار 21H1، Windows 10، الإصدار 21H2 - KB5011543
الإصدار 1809 من Windows 10 وWindows Server 2019 - KB5011551
Windows 10، الإصدار 1607 وWindows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

الأسئلة المتداولة

س1 ماذا يحدث إذا كان لدي مزيج من وحدات تحكم مجال Active Directory التي تم تحديثها ولم يتم تحديثها؟

A1. مزيج من وحدات التحكم بالمجال التي يتم تحديثها ولم يتم تحديثها ولكن لها قيمة مفتاح تسجيل PacRequestorEnforcement الافتراضية 1 متوافقة مع بعضها البعض. ومع ذلك، تنصح Microsoft بشدة بعدم وجود وحدات تحكم بالمجال يتم تحديثها وعدم تحديثها في بيئة ما.

س2 ماذا يحدث إذا كان لدي مزيج من وحدات تحكم مجال Active Directory التي تحتوي على قيم PacRequestorEnforcement مختلفة؟

A2. مزيج من وحدات التحكم بالمجال التي تحتوي على قيم PacRequestorEnforcement من 0 و1 متوافقة مع بعضها البعض. مزيج من وحدات التحكم بالمجال التي تحتوي على قيم PacRequestorEnforcement من 1 و2 متوافقة مع بعضها البعض. مزيج من وحدات التحكم بالمجال التي تحتوي على قيم PacRequestorEnforcement من 0 و2 غير متوافقة مع بعضها البعض وقد تتسبب في حالات فشل متقطعة. يرجى الاطلاع على قسم معلومات مفتاح التسجيل للحصول على مزيد من التفاصيل.