Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

OPDATERET 14. marts 2023

Sammendrag

CVE-2021-42287 løser en sikkerhedsrisiko, der påvirker Kerberos Privilege Attribute Certificate (PAC) og gør det muligt for potentielle hackere at repræsentere domænecontrollere. For at udnytte denne sikkerhedsrisiko kan en kompromitteret domænekonto medføre, at Nøgledistributionscenter (KDC) opretter en servicebillet med et højere rettighedsniveau end den kompromitterede konto. Det gøres ved at forhindre KDC i at identificere, hvilken konto den højere rettighedstjenestebillet er til.

Den forbedrede godkendelsesproces i CVE-2021-42287 tilføjer nye oplysninger om den oprindelige anmoder til pacs af Kerberos Ticket-Granting Billetter (TGT). Senere, når der genereres en Kerberos-tjenestebillet til en konto, bekræfter den nye godkendelsesproces, at den konto, der anmodede om TGT, er den samme konto, der refereres til i servicebilletten.

Når du har installeret Windows-opdateringer dateret d. 9. november 2021 eller nyere, føjes PACs til TGT for alle domænekonti, også dem, der tidligere har valgt at afvise PACs.

Gør noget

For at beskytte dit miljø og undgå afbrydelser skal du udføre følgende trin:

  1. Opdater alle enheder, der er vært for rollen som Active Directory-domænecontroller, ved at installere sikkerhedsopdateringen fra 9. november 2021 og OOB-opdateringen (out-of-band) fra den 14. november 2021. Find OOB KB-nummeret for dit specifikke operativsystem nedenfor.

    Operativsystem

    KB-nummer

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Når du har installeret sikkerhedsopdateringen fra den 9. november 2021 og OOB-opdateringen fra 14. november 2021 på alle Active Directory-domænecontrollere i mindst 7 dage, anbefaler vi på det kraftigste, at du aktiverer gennemtvingelsestilstand på alle Active Directory-domænecontrollere.

  3. Fra og med opdateringen (opdateret) 11. oktober 2022 i håndhævelsesfasen vil gennemtvingelsestilstanden være aktiveret på alle Windows-domænecontrollere og vil være påkrævet.

Timing af Windows-opdateringer – (opdateret 31-01-23)

Disse Windows Opdateringer frigives i tre faser:

  1. Indledende installation – Introduktion til opdateringen samt registreringsdatabasenøglen PacRequestorEnforcement

  2. Anden installation – Fjernelse af PacRequestorEnforcement-værdien på 0 (mulighed for at deaktivere registreringsdatabasenøglen)

  3. Håndhævelsesfase – Gennemtvingelsestilstand er aktiveret. Denne fase udfaser PacRequestorEnforcement-nøglen og læser den ikke længere

9. november 2021: Indledende installationsfase

Den indledende installationsfase starter med Windows-opdateringen, der blev udgivet d. 9. november 2021. Denne version:

  • Tilføjer beskyttelse mod CVE-2021-42287

  • Tilføjer understøttelse af registreringsdatabaseværdien PacRequestorEnforcement , som giver dig mulighed for at skifte til håndhævelsesfasen tidligt

Afhjælpning består af installation af Windows-opdateringer på alle enheder, der er vært for rollen som domænecontroller, og skrivebeskyttede domænecontrollere (RODCs).

12. juli 2022: Anden installationsfase

Den anden installationsfase starter med Windows-opdateringen, der blev udgivet d. 12. juli 2022. Denne fase fjerner PacRequestorEnforcement-indstillingen på 0. Hvis du angiver PacRequestorEnforcement til 0, når denne opdatering er installeret, har det samme effekt som at indstille PacRequestorEnforcement til 1. Domænecontrollerne (DCs) vil være i installationstilstand.

Bemærk Denne fase er ikke nødvendig, hvis PacRequestorEnforcement aldrig blev indstillet til 0 i dit miljø. Denne fase er med til at sikre, at kunder, der indstiller PacRequestorEnforcement til 0, går til indstilling 1 før håndhævelsesfasen.

Bemærk! Denne opdatering forudsætter, at alle domænecontrollere opdateres med Windows-opdateringen fra d. 9. november 2021 eller nyere.

11. oktober 2022: Håndhævelsesfase – (opdateret 31-01-23)

11. oktober 2022-versionen overgår alle Active Directory-domænecontrollere til håndhævelsesfasen. Håndhævelsesfasen fraråder PacRequestorEnforcement-nøglen og læser den ikke længere. Derfor vil Windows-domænecontrollere, der har installeret 11. oktober 2022-opdateringen, ikke længere være kompatible med:

  • Domænecontrollere, der ikke installerede opdateringerne fra 9. november 2021 eller nyere.

  • Domænecontrollere, der har installeret opdateringerne fra d. 9. november 2021 eller nyere, men som endnu ikke har installeret opdateringen fra den 12. juli 2022, og som har registreringsdatabaseværdien PacRequestorEnforcement på 0.

Windows-domænecontrollere, der har installeret opdateringen fra 11. oktober 2022, forbliver dog kompatible med:

  • Windows-domænecontrollere, der har installeret opdateringerne fra den 11. oktober 2022 eller nyere

  • Windows-domænecontrollere, der harinstalleret 9. november 2021 eller nyere opdateringer og har en PacRequestorEnforcement-værdi eller enten 1 eller 2

Oplysninger om registreringsdatabasenøgle

Når du har installeret CVE-2021-42287-beskyttelse i Windows-opdateringer, der er udgivet mellem 9. november 2021 og 14. juni 2022, vil følgende registreringsdatabasenøgle være tilgængelig:

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Værdi

PacRequestorEnforcement

Datatype

REG_DWORD

Data

1: Føj den nye PAC til brugere, der har godkendt ved hjælp af en Active Directory-domænecontroller, der har installeret opdateringerne fra d. 9. november 2021 eller nyere. Hvis brugeren har den nye PAC, valideres PAC ved godkendelse. Hvis brugeren ikke har den nye PAC, udføres der ingen yderligere handling. Active Directory-domænecontrollere i denne tilstand er i installationsfasen.

2: Føj den nye PAC til brugere, der har godkendt ved hjælp af en Active Directory-domænecontroller, der har installeret opdateringerne fra 9. november 2021 eller nyere. Hvis brugeren har den nye PAC, valideres PAC ved godkendelse. Hvis brugeren ikke har den nye PAC, nægtes godkendelsen. Active Directory-domænecontrollere i denne tilstand er i gennemtvingelsesfasen.

0: Deaktiverer registreringsdatabasenøglen. Anbefales ikke. Active Directory-domænecontrollere i denne tilstand er i deaktiveret fase. Denne værdi findes ikke efter opdateringerne d. 12. juli 2022 eller nyere.

Vigtigt Indstilling 0 er ikke kompatibel med indstilling 2. Der kan opstå periodiske fejl, hvis begge indstillinger bruges i en skov. Hvis indstilling 0 bruges, anbefaler vi, at du skifter 0 (Deaktiver) til indstilling 1 (installation) i mindst en uge, før du skifter til indstilling 2 (gennemtvingelsestilstand).

Standard

1 (når registreringsdatabasenøglen ikke er angivet)

Er det nødvendigt at genstarte?

Nej

Overvågningshændelser

Windows-opdateringen fra 9. november 2021 tilføjer også nye hændelseslogge.

PAC uden attributter

KDC støder på en TGT uden PAC-attributbufferen. Det er sandsynligt, at den anden KDC i logfilerne ikke indeholder opdateringen eller er i deaktiveret tilstand.

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

35

Hændelsestekst

Nøgledistributionscentret (KDC) fandt en TGT (ticket-granting-ticket) fra en anden KDC ("<KDC Name>"), der ikke indeholder et PAC-attributterfelt. 

Billet uden PAC

KDC støder på en TGT eller anden bevisbillet uden pac. Dette forhindrer, at KDC gennemtvinger sikkerhedskontroller på billetten.

Hændelseslog

System

Hændelsestype

Advarsel under installationsfasen

Fejl under gennemtvingelsesfase

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

36

Hændelsestekst

Nøgledistributionscentret (KDC) fandt en billet, der ikke indeholdt en PAC under behandling af en anmodning om en anden billet. Dette forhindrede sikkerhedskontroller i at køre og kunne åbne sikkerhedsrisici. 

Klient: <domænenavn>\<brugernavn>

Billet til: <tjenestenavn>

Billet uden anmoder

KDC støder på en TGT- eller anden bevisbillet uden PAC Requestor-bufferen. Det er sandsynligt, at den KDC, der konstruerede PAC'en, ikke indeholder opdateringen eller er i deaktiveret tilstand.

Bemærk Se afsnittet Kendte problemer for at få vigtige oplysninger om Hændelse 37.

Hændelseslog

System

Hændelsestype

Advarsel under installationsfasen

Fejl under gennemtvingelsesfase

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

37

Hændelsestekst

Nøgledistributionscentret (KDC) stødte på en billet, der ikke indeholdt oplysninger om den konto, der anmodede om billetten under behandling af en anmodning om en anden billet. Dette forhindrede sikkerhedskontroller i at køre og kunne åbne sikkerhedsrisici. 

Ticket PAC konstrueret af: <KDC Name>

 Klient: <domænenavn>\<>

Billet til: <tjenestenavn>

Uoverensstemmelse mellem anmodningsanmodninger

KDC støder på en TGT eller anden bevisbillet, og den konto, der anmodede om TGT eller bevisbilletten, stemmer ikke overens med den konto, servicebilletten er bygget til.

Hændelseslog

System

Hændelsestype

Fejl

Hændelseskilde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Hændelses-id

38

Hændelsestekst

Nøgledistributionscentret (KDC) fandt en billet, der indeholdt inkonsekvente oplysninger om den konto, der anmodede om billetten. Dette kan betyde, at kontoen er blevet omdøbt, siden billetten blev udstedt, hvilket kan have været en del af et forsøg på udnyttelse. 

Ticket PAC konstrueret af: <Kdc Name>

Klient: <domænenavn>\<brugernavn>

Billet til: <tjenestenavn>

Anmodning om konto-SID fra Active Directory: <SID->

Anmodning om konto-SID fra Ticket: <SID->

Kendte problemer

Symptom

Løsning

Efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere på domænecontrollere (DCs), vil nogle kunder muligvis se det nye overvågningshændelses-id 37 logført efter bestemte adgangskodeindstillinger eller ændre handlinger som f.eks.:

  • Opdater eller reparer failoverklynge CNO eller VCO

  • Nulstille en brugers adgangskode fra Active Directory-brugere og -computere-konsollen (dsa.msc)

  • Opret en ny bruger fra Active Directory-brugere og -computere konsollen (dsa.msc)

  • Skift adgangskode for enheder, der er tilsluttet et domæne fra tredjepart

Hvis hændelses-id 37 ikke vises efter installation af Windows-opdateringer, der er udgivet d. 9. november 2021 eller nyere i en uge, og PacRequestorEnforcement enten er '1' eller '2', påvirkes dit miljø ikke.

Hvis du angiver PacRequestorEnforcement = 1, logføres hændelses-id 37 som en advarsel, men anmodninger om ændring af adgangskode lykkes og påvirker ikke brugere.

Hvis du angiver PacRequestorEnforcement = 2, mislykkes anmodninger om ændring af adgangskoder, og de handlinger, der er angivet ovenfor, mislykkes også.

Dette problem er blevet løst i følgende opdateringer:

  • Windows 11 – KB5011563

  • Windows Server 2022 – KB5011558

  • Windows 10, version 20H2, Windows 10 version 21H1 og Windows 10, version 21H2 – KB5011543

  • Windows 10, version 1809 og Windows Server 2019 – KB5011551

  • Windows 10, version 1607 og Windows Server 2016 – KB5012596

  • Windows Server 2012 R2 – KB5012670

  • Windows Server 2012 – KB5012666

  • Windows Server 2008 R2 – KB5012649

  • Windows Server 2008 SP2 – KB5012632

Ofte stillede spørgsmål

Q1 Hvad sker der, hvis jeg har en blanding af Active Directory-domænecontrollere, der opdateres og ikke opdateres?

A1. En blanding af domænecontrollere, der opdateres og ikke opdateres, men som har registreringsdatabasenøgleværdien 1 som standard PacRequestorEnforcement , er kompatible med hinanden. Microsoft fraråder dog på det kraftigste at have domænecontrollere, der opdateres og ikke opdateres i et miljø.

Q2 Hvad sker der, hvis jeg har en blanding af Active Directory-domænecontrollere, der har forskellige PacRequestorEnforcement-værdier?

A2. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 0 og 1, er kompatible med hinanden. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 1 og 2, er kompatible med hinanden. En blanding af domænecontrollere, der har PacRequestorEnforcement-værdier på 0 og 2, er ikke kompatible med hinanden og kan medføre periodiske fejl. Du kan finde flere oplysninger i afsnittet Oplysninger om registreringsdatabasenøgler.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×