АКТУАЛИЗИРА 14 март 2023 г.
Резюме
CVE-2021-42287 обръща внимание на уязвимост за заобикаляне на защитата, която засяга сертификата за атрибут на привилегия на Kerberos (PAC) и позволява на потенциалните хакери да се въплъщават в домейнови контролери. За да използва тази уязвимост, компрометиран акаунт на домейн може да доведе до създаване на билет за услуга в центъра за разпространение на ключове (KDC) с по-високо ниво на привилегии от това на компрометирания акаунт. Това става, като не позволява на KDC да определи за коя сметка е билетът за услуга с по-високи привилегии.
Подобреният процес на удостоверяване в CVE-2021-42287 добавя нова информация за първоначалния заявяващ към PAC на Kerberos Ticket-Granting Tickets (TGT). По-късно, когато се генерира билет за услугата Kerberos за акаунт, новият процес на удостоверяване ще провери дали акаунтът, който е поискал TGT, е същият акаунт, посочен в билета за услуга.
След инсталирането на актуализациите на Windows от 9 ноември 2021 г. или по-нова версия, pacs ще бъдат добавени към TGT на всички акаунти на домейни, дори и тези, които преди това са избрали да откажат PAC.
Предприемане на действие
За да защитите вашата среда и да избегнете прекъсвания, изпълнете следните стъпки:
-
Актуализирайте всички устройства, които хостват ролята на домейнов контролер на Active Directory, като инсталирате актуализацията на защитата от 9 ноември 2021 г. и актуализацията на извън лентата (OOB) от 14 ноември 2021 г. Намерете OOB номера в КБ за конкретната ос по-долу.
ОС
Номер в БЗ
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
След инсталирането на актуализацията на защитата от 9 ноември 2021 г. и OOB актуализацията от 14 ноември 2021 г. на всички домейнови контролери на Active Directory за най-малко 7 дни силно ви предлагаме да разрешите режима на изпълнение на всички домейнови контролери на Active Directory.
-
Започвайки с (актуализирано) 11 октомври 2022 г. Актуализация на фазата на изпълнение, режимът на прилагане ще бъде разрешен за всички домейнови контролери на Windows и ще бъде необходим.
Време на актуализациите на Windows – (Актуализация 31.1.23)
Тези Актуализации на Windows ще бъдат издадени на три фази:
-
Първоначално разполагане – въведение на актуализацията, както и ключът от системния регистър PacRequestorEnforcement
-
Второ разполагане – премахване на стойността на PacRequestorEnforcement на 0 (възможност за забраняване на ключа от системния регистър)
-
Фаза на прилагане – режимът на прилагане е разрешен. Тази фаза отхвърля ключа PacRequestorEnforcement и вече не го чете
9 ноември 2021 г.: Първоначална фаза на разполагане
Началната фаза на разполагане започва с актуализацията на Windows, издадена на 9 ноември 2021 г. Това издание:
-
Добавя защити срещу CVE-2021-42287
-
Добавя поддръжка за стойността на системния регистър PacRequestorEnforcement , която ви позволява да преминете към фазата на изпълнение по-рано
Смекчаването се състои в инсталирането на актуализации на Windows на всички устройства, които хостват ролята на домейнов контролер и домейнови контролери само за четене (RODCs).
12 юли 2022 г.: Втора фаза на разполагане
Втората фаза на разполагане започва с актуализацията на Windows, издадена на 12 юли 2022 г. Тази фаза премахва настройката pacRequestorEnforcement на 0. Задаването на PacRequestorEnforcement на 0 след инсталирането на тази актуализация ще има същия ефект като задаването на PacRequestorEnforcement на 1. Домейнови контролери (DCs) ще бъдат в режим на разполагане.
Забележка Тази фаза не е необходима , ако PacRequestorEnforcement никога не е бил зададен на 0 във вашата среда. Тази фаза помага да се гарантира, че клиентите, които задават PacRequestorEnforcement на 0, се преместят на настройка 1 преди фазата на прилагане.
Забележка Тази актуализация предполага, че всички домейнови контролери се актуализират с актуализацията на Windows от 9 ноември 2021 г. или по-нова.
11 октомври 2022 г.: Фаза на прилагане – (Актуализирано 31.1.23)
Изданието от 11 октомври 2022 г. ще включи всички домейнови контролери на Active Directory във фазата на прилагане. Фазата на прилагане отхвърля ключа PacRequestorEnforcement и вече не го чете. В резултат на това домейнови контролери на Windows, които са инсталирали актуализацията от 11 октомври 2022 г., вече няма да са съвместими с:
-
Домейнови контролери, които не са инсталирали актуализациите от 9 ноември 2021 г. или по-нови.
-
Домейнови контролери, които са инсталирали актуализацията от 9 ноември 2021 г. или по-нова, но все още не са инсталирали актуализацията от 12 юли 2022 г. и които имат pacRequestorEnforcement стойност на системния регистър 0.
Обаче домейнови контролери на Windows, които са инсталирали актуализацията от 11 октомври 2022 г., ще останат съвместими с:
-
Домейнови контролери на Windows, които са инсталирали актуализациите от 11 октомври 2022 г. или по-нови
-
Домейнови контролери на windows, които са инсталирали актуализации от 9ноември 2021 г. или по-нови и имат стойност PacRequestorEnforcement или 1 или 2
Информация за ключ от системния регистър
След инсталиране на защити CVE-2021-42287 в актуализации на Windows, издадени между 9 ноември 2021 г. и 14 юни 2022 г., ще бъде наличен следният ключ от системния регистър:
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Стойност |
PacRequestorEnforcement |
Тип данни |
REG_DWORD |
Данни |
1: Добавете новия PAC за потребители, които са се удостоверили с помощта на домейнов контролер на Active Directory, който има инсталирани актуализации от 9 ноември 2021 г. или по-нови. При удостоверяване, ако потребителят има новия PAC, PAC се проверява. Ако потребителят няма новия PAC, не се предприемат по-нататъшни действия. Домейнови контролери на Active Directory в този режим са във фазата на разполагане. 2: Добавете новия PAC за потребители, които са се удостоверили с помощта на домейнов контролер на Active Directory, който има инсталирани актуализации от 9 ноември 2021 г. или по-нови. При удостоверяване, ако потребителят има новия PAC, PAC се проверява. Ако потребителят няма новия PAC, удостоверяването е отказано. Домейнови контролери на Active Directory в този режим са във фазата на прилагане. 0: Забранява ключа от системния регистър. Не се препоръчва. Домейнови контролери на Active Directory в този режим са във фазата Дезактивирано. Тази стойност няма да съществува след актуализациите от 12 юли 2022 г. или по-нови. Важно Настройката 0 не е съвместима с настройка 2. Може да възникнат периодично неуспешни грешки, ако и двете настройки се използват в гора. Ако се използва настройка 0, ви препоръчваме да преминете към настройка 0 (Забраняване) на настройка 1 (Разполагане) за най-малко една седмица, преди да преминете към настройка 2 (режим на прилагане). |
По подразбиране |
1 (когато ключът от системния регистър не е зададен) |
Изисква ли се рестартиране? |
Не |
Събития за проверка
Актуализацията на Windows от 9 ноември 2021 г. също ще добави нови регистри на събитията.
PAC без атрибути
KDC се натъква на TGT без PAC атрибут буфер. Вероятно другият KDC в регистрационните файлове не съдържа актуализацията или е в дезактивиран режим.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ИД на събитие |
35 |
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на билет за предоставяне на билет (TGT) от друг KDC ("<KDC име>"), който не съдържаше поле PAC атрибути. |
Билет без PAC
KDC се натъква на TGT или друг билет за доказателство без PAC. Това не позволява на KDC да извършва проверки за защита в билета.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение по време на фазата на разполагане Грешка по време на фазата на изпълнение |
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ИД на събитие |
36 |
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на билет, който не съдържаШЕ PAC, докато обработваше заявката за друг билет. Това предотвратява изпълнението на проверки за защита и може да отвори уязвимости на защитата. Клиент: <> на име на домейн\<> на потребителско име Билет за: <име на услугата> |
Билет без заявяване
KDC се натъква на TGT или друг билет за доказателство без PAC заявения буфер. Вероятно KDC, който е конструирал PAC, не съдържа актуализацията или е в дезактивиран режим.
Забележка Вижте раздела Известни проблеми за важна информация относно събитие 37.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение по време на фазата на разполагане Грешка по време на фазата на изпълнение |
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ИД на събитие |
37 |
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на билет, който не съдържаше информация за акаунта, който е поискал билета, докато обработваше заявка за друг билет. Това предотвратява изпълнението на проверки за защита и може да отвори уязвимости на защитата. PAC на билет, създаден от: <KDC име> Клиент: <> име на домейн\<> на име на клиент Билет за: <име на услугата> |
Несъответствие на искането
KDC се натъква на TGT или друг билет за доказателство и акаунтът, който е поискал TGT или билет за доказателство, не съвпада с акаунта, за който е създаден билетът за услуга.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ИД на събитие |
38 |
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на билет, който съдържаше несъгласувана информация за акаунта, който е поискал билета. Това може да означава, че акаунтът е преименуван след издаването на билета, който може да е част от опит за използване. PAC на билет, създаден от: <Kdc име> Клиент: <> на име на домейн\<> на потребителско име Билет за: <име на услугата> Искане за SID на акаунт от Active Directory: <SID> Искане на SID за акаунт от билет: <SID> |
Известни проблеми
Симптом |
Заобиколно решение |
---|---|
След инсталирането на актуализациите на Windows, издадени на 9 ноември 2021 г. или по-нова версия на домейнови контролери (DCs), някои клиенти може да виждат новия ИД на събитие за проверка 37, регистриран след определена настройка на парола или операции за промяна, като например:
Ако не виждате ИД на събитие 37 след инсталиране на актуализации на Windows, издадени на 9 ноември 2021 г. или по-нова версия за една седмица, а PacRequestorEnforcement е "1" или "2", вашата среда не е засегната. Ако зададете PacRequestorEnforcement = 1, ИД на събитие 37 се регистрира като предупреждение, но исканията за смяна на паролата ще бъдат успешни и няма да засегнат потребителите. Ако зададете PacRequestorEnforcement = 2, исканията за промяна на парола ще бъдат неуспешни и ще доведат до неуспешни операции, изброени по-горе. |
Обърнато е внимание на този проблем в следните актуализации:
|
Често задавани въпроси
В1 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които се актуализират и не се актуализират?
A1. Смесица от домейнови контролери, които се актуализират и не се актуализират, но имат стойността по подразбиране pacRequestorEnforcement на ключа от системния регистър 1 са съвместими помежду си. Въпреки това Microsoft силно препоръчва да няма домейнови контролери, които се актуализират и не се актуализират в среда.
Q2 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които имат различни стойности на PacRequestorEnforcement?
A2. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 0 и 1, са съвместими помежду си. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 1 и 2, са съвместими помежду си. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 0 и 2, не са съвместими помежду си и може да предизвикат неуспешни грешки. Вижте раздела с информация за ключа от системния регистър за повече подробности.