Ενημέρωση
10 Απριλίου 2023: Ενημερώθηκε η "Φάση τρίτης ανάπτυξης" από τις 11 Απριλίου 2023 έως τις 13 Ιουνίου 2023 στην ενότητα "Χρονισμός ενημερώσεων για την αντιμετώπιση του CVE-2022-37967".
Σε αυτό το άρθρο
Σύνοψη
Οι ενημερώσεις της 8ης Νοεμβρίου 2022 των Windows επιλύουν τις ευπάθειες παράκαμψης ασφαλείας και αναβάθμισης δικαιωμάτων με υπογραφές Privilege Attribute Certificate (PAC). Αυτή η ενημέρωση ασφαλείας αντιμετωπίζει ευπάθειες Kerberos όπου ένας εισβολέας θα μπορούσε να τροποποιήσει ψηφιακά τις υπογραφές PAC, αυξάνοντας τα δικαιώματά του.
Για να προστατεύσετε το περιβάλλον σας, εγκαταστήστε αυτήν την ενημέρωση των Windows σε όλες τις συσκευές, συμπεριλαμβανομένων των ελεγκτών τομέα των Windows. Όλοι οι ελεγκτές τομέα στον τομέα σας πρέπει να ενημερωθούν πρώτα πριν από την αλλαγή της ενημέρωσης σε ισχύουσα λειτουργία.
Για να μάθετε περισσότερα σχετικά με αυτές τις ευπάθειες, ανατρέξτε στο θέμα CVE-2022-37967.
Ανάληψη δράσης
Για να προστατεύσετε το περιβάλλον σας και να αποφύγετε διακοπές λειτουργίας, συνιστάται να κάνετε τα εξής βήματα:
-
ΕΝΗΜΕΡΏΣτε τους ελεγκτές τομέα των Windows με μια ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 8 Νοεμβρίου 2022.
-
ΜΕΤΑΚΙΝΉΣτε τους ελεγκτές τομέα των Windows στη λειτουργία ελέγχου, χρησιμοποιώντας την ενότητα ρύθμισης κλειδιού μητρώου .
-
ΠΑΡΑΚΟΛΟΎΘΗΣΗ συμβάντων που αρχειοθετούνται κατά τη διάρκεια της λειτουργίας ελέγχου για την προστασία του περιβάλλοντός σας.
-
ΕΝΕΡΓΟΠΟΙΉΣΕΤΕΛειτουργία επιβολής για την αντιμετώπιση του CVE-2022-37967 στο περιβάλλον σας.
Σημείωση Το βήμα 1 της εγκατάστασης ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 ΔΕΝ θα αντιμετωπίσει τα προβλήματα ασφαλείας στο CVE-2022-37967 για συσκευές Windows από προεπιλογή. Για να μετριάσετε πλήρως το πρόβλημα ασφαλείας για όλες τις συσκευές, πρέπει να μεταβείτε στη λειτουργία ελέγχου (όπως περιγράφεται στο βήμα 2) ακολουθούμενη από την ισχύουσα λειτουργία (περιγράφεται στο βήμα 4) το συντομότερο δυνατό σε όλους τους ελεγκτές τομέα των Windows.
Σημαντικό Από τον Ιούλιο του 2023, η λειτουργία επιβολής θα ενεργοποιείται σε όλους τους ελεγκτές τομέα των Windows και θα αποκλείει τις ευάλωτες συνδέσεις από μη συμβατές συσκευές. Εκείνη τη στιγμή, δεν θα μπορείτε να απενεργοποιήσετε την ενημέρωση, αλλά ενδέχεται να επιστρέψετε στη ρύθμιση Λειτουργία ελέγχου. Η λειτουργία ελέγχου θα καταργηθεί τον Οκτώβριο του 2023, όπως περιγράφεται στην ενότητα Χρονισμός ενημερώσεων για την αντιμετώπιση της ευπάθειας Kerberos CVE-2022-37967 .
Χρονισμός ενημερώσεων για την αντιμετώπιση του CVE-2022-37967
Ενημερώσεις θα κυκλοφορήσει σε φάσεις: η αρχική φάση για τις ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 και η φάση επιβολής για ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 13 Ιουνίου 2023.
Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 8 Νοεμβρίου 2022 και συνεχίζεται με μεταγενέστερες ενημερώσεις των Windows μέχρι τη φάση επιβολής. Αυτή η ενημέρωση προσθέτει υπογραφές στο buffer PAC του Kerberos, αλλά δεν ελέγχει για υπογραφές κατά τον έλεγχο ταυτότητας. Επομένως, η ασφαλής λειτουργία είναι απενεργοποιημένη από προεπιλογή.
Αυτή η ενημέρωση:
-
Προσθέτει υπογραφές PAC στο buffer PAC Kerberos.
-
Προσθέτει μέτρα για την αντιμετώπιση της ευπάθειας παράκαμψης ασφαλείας στο πρωτόκολλο Kerberos.
Η δεύτερη φάση ανάπτυξης ξεκινά με ενημερώσεις που κυκλοφόρησαν στις 13 Δεκεμβρίου 2022. Αυτές και οι νεότερες ενημερώσεις κάνουν αλλαγές στο πρωτόκολλο Kerberos για τον έλεγχο συσκευών Windows, μετακινώντας τους ελεγκτές τομέα των Windows στη λειτουργία ελέγχου.
Με αυτήν την ενημέρωση, όλες οι συσκευές θα βρίσκονται σε λειτουργία ελέγχου από προεπιλογή:
-
Εάν η υπογραφή λείπει ή δεν είναι έγκυρη, επιτρέπεται ο έλεγχος ταυτότητας. Επιπλέον, θα δημιουργηθεί ένα αρχείο καταγραφής ελέγχου.
-
Εάν η υπογραφή λείπει, υψώστε ένα συμβάν και επιτρέψτε τον έλεγχο ταυτότητας.
-
Εάν η υπογραφή υπάρχει, επικυρώστε την. Εάν η υπογραφή δεν είναι σωστή, υψώστε ένα συμβάν και επιτρέψτε τον έλεγχο ταυτότητας.
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιουνίου 2023 θα κάνουν τα εξής:
-
Καταργήστε τη δυνατότητα απενεργοποίησης της προσθήκης υπογραφής PAC, ορίζοντας το δευτερεύον κλειδί KrbtgtFullPacSignature σε τιμή 0.
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023 θα κάνουν τα εξής:
-
Καταργεί τη δυνατότητα ο ορισμός της τιμής 1 για το δευτερεύον κλειδί KrbtgtFullPacSignature.
-
Μετακινεί την ενημέρωση σε λειτουργία επιβολής (Προεπιλογή) (KrbtgtFullPacSignature = 3) η οποία μπορεί να αντικατασταθεί από ένα διαχειριστή με ρητή ρύθμιση ελέγχου.
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 10 Οκτωβρίου 2023 θα κάνουν τα εξής:
-
Καταργεί την υποστήριξη για το δευτερεύον κλειδί μητρώου KrbtgtFullPacSignature.
-
Καταργεί την υποστήριξη για τη λειτουργία ελέγχου.
-
Όλα τα δελτία υπηρεσίας χωρίς τις νέες υπογραφές PAC θα στερηθούν τον έλεγχο ταυτότητας.
Οδηγίες ανάπτυξης
Για να αναπτύξετε τις ενημερώσεις των Windows με ημερομηνία 8 Νοεμβρίου 2022 ή μεταγενέστερες ενημερώσεις των Windows, ακολουθήστε τα εξής βήματα:
-
ΕΝΗΜΕΡΏΣτε τους ελεγκτές τομέα των Windows με μια ενημέρωση που κυκλοφόρησε στις ή μετά τις 8 Νοεμβρίου 2022.
-
ΜΕΤΑΚΙΝΉΣτε τους ελεγκτές τομέα στη λειτουργία ελέγχου, χρησιμοποιώντας την ενότητα ρύθμισης κλειδιού μητρώου.
-
ΠΑΡΑΚΟΛΟΎΘΗΣΗ συμβάντων που αρχειοθετούνται κατά τη διάρκεια της λειτουργίας ελέγχου για την προστασία του περιβάλλοντός σας.
-
ΕΝΕΡΓΟΠΟΙΉΣΕΤΕ Λειτουργία επιβολής για την αντιμετώπιση του CVE-2022-37967 στο περιβάλλον σας.
ΒΉΜΑ 1: ΕΝΗΜΕΡΩΣΗ
Αναπτύξτε τις ενημερώσεις της 8ης Νοεμβρίου 2022 ή νεότερες εκδόσεις για όλους τους κατάλληλους ελεγκτές τομέα (DCs) των Windows. Μετά την ανάπτυξη της ενημέρωσης, οι ελεγκτές τομέα των Windows που έχουν ενημερωθεί θα έχουν υπογραφές που προστίθενται στο buffer PAC Kerberos και θα είναι ανασφαλείς από προεπιλογή (η υπογραφή PAC δεν επικυρώνεται).
-
Κατά την ενημέρωση, φροντίστε να διατηρήσετε την τιμή μητρώου KrbtgtFullPacSignature στην προεπιλεγμένη κατάσταση μέχρι να ενημερωθούν όλοι οι ελεγκτές τομέα των Windows.
ΒΉΜΑ 2: ΜΕΤΑΚΊΝΗΣΗ
Μόλις ενημερωθούν οι ελεγκτές τομέα των Windows, μεταβείτε σε λειτουργία ελέγχου αλλάζοντας την τιμή KrbtgtFullPacSignature σε 2.
ΒΉΜΑ 3: ΕΎΡΕΣΗ/ΟΘΌΝΗ
Προσδιορίστε τις περιοχές που λείπουν υπογραφές PAC ή διαθέτουν υπογραφές PAC που αποτυγχάνουν στην επικύρωση μέσω των αρχείων καταγραφής συμβάντων που ενεργοποιούνται κατά τη διάρκεια της λειτουργίας ελέγχου.
-
Βεβαιωθείτε ότι το λειτουργικό επίπεδο του τομέα έχει οριστεί σε τουλάχιστον 2008 ή μεγαλύτερο πριν από τη μετακίνηση σε λειτουργία επιβολής. Η μετακίνηση σε κατάσταση λειτουργίας επιβολής με τομείς λειτουργικού επιπέδου τομέα 2003 μπορεί να οδηγήσει σε αποτυχίες ελέγχου ταυτότητας.
-
Τα συμβάντα ελέγχου θα εμφανιστούν εάν ο τομέας σας δεν έχει ενημερωθεί πλήρως ή εάν εξακολουθούν να υπάρχουν δελτία υπηρεσίας που είχαν εκδοθεί προηγουμένως στον τομέα σας.
-
Συνεχίστε να παρακολουθείτε για πρόσθετα αρχεία καταγραφής συμβάντων που αρχειοθετούνται και υποδεικνύουν ότι λείπουν υπογραφές PAC ή αποτυχίες επικύρωσης των υπαρχουσών υπογραφών PAC.
-
Μετά την ενημέρωση ολόκληρου του τομέα και τη λήξη όλων των εκκρεμών εισιτηρίων, τα συμβάντα ελέγχου δεν θα πρέπει πλέον να εμφανίζονται. Στη συνέχεια, θα πρέπει να μπορείτε να μεταβείτε σε λειτουργία επιβολής χωρίς αποτυχίες.
ΒΉΜΑ 4: ΕΝΕΡΓΟΠΟΊΗΣΗ
Ενεργοποιήστε τη λειτουργία επιβολής για να αντιμετωπίσετε το CVE-2022-37967 στο περιβάλλον σας.
-
Αφού επιλυθούν όλα τα συμβάντα ελέγχου και δεν εμφανίζονται πλέον, μετακινήστε τους τομείς σας σε λειτουργία ενεργοποίησης ενημερώνοντας την τιμή μητρώου KrbtgtFullPacSignature , όπως περιγράφεται στην ενότητα ρυθμίσεων κλειδιού μητρώου.
-
Εάν ένα δελτίο υπηρεσίας έχει μη έγκυρη υπογραφή PAC ή αν λείπουν υπογραφές PAC, η επικύρωση θα αποτύχει και θα καταγραφεί ένα συμβάν σφάλματος.
Ρυθμίσεις κλειδιού μητρώου
Πρωτόκολλο Kerberos
Μετά την εγκατάσταση των ενημερώσεων των Windows που έχουν χρονολογηθεί στις ή μετά τις 8 Νοεμβρίου 2022, είναι διαθέσιμο το ακόλουθο κλειδί μητρώου για το πρωτόκολλο Kerberos:
-
KrbtgtFullPacSignature
Αυτό το κλειδί μητρώου χρησιμοποιείται για την πύλη της ανάπτυξης των αλλαγών Kerberos. Αυτό το κλειδί μητρώου είναι προσωρινό και δεν θα διαβάζεται πλέον μετά την πλήρη ημερομηνία επιβολής του θέματος 10 Οκτωβρίου 2023.Κλειδί μητρώου
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Τιμή
KrbtgtFullPacSignature
Τύπος δεδομένων
REG_DWORD
Δεδομένα
0 – Απενεργοποιημένο
1 – Προστίθενται νέες υπογραφές, αλλά δεν έχουν επαληθευτεί. (Προεπιλεγμένη ρύθμιση)
2 - Λειτουργία ελέγχου. Προστίθενται νέες υπογραφές και επαληθεύονται εάν υπάρχουν. Εάν η υπογραφή λείπει ή δεν είναι έγκυρη, επιτρέπεται ο έλεγχος ταυτότητας και δημιουργούνται αρχεία καταγραφής ελέγχου.
3 - Λειτουργία επιβολής. Προστίθενται νέες υπογραφές και επαληθεύονται εάν υπάρχουν. Εάν η υπογραφή λείπει ή δεν είναι έγκυρη, ο έλεγχος ταυτότητας απορρίπτεται και δημιουργούνται αρχεία καταγραφής ελέγχου.
Απαιτείται επανεκκίνηση;
Όχι
Σημείωση Εάν θέλετε να αλλάξετε την τιμή μητρώου KrbtgtFullPacSignature, προσθέστε με μη αυτόματο τρόπο και, στη συνέχεια, ρυθμίστε τις παραμέτρους του κλειδιού μητρώου για να παρακάμψετε την προεπιλεγμένη τιμή.
Συμβάντα των Windows που σχετίζονται με το CVE-2022-37967
Στη λειτουργία ελέγχου, ενδέχεται να βρείτε ένα από τα ακόλουθα σφάλματα, εάν λείπουν υπογραφές PAC ή δεν είναι έγκυρα. Εάν αυτό το πρόβλημα συνεχιστεί κατά τη λειτουργία επιβολής, αυτά τα συμβάντα θα καταγράφονται ως σφάλματα.
Αν διαπιστώσετε κάποιο από τα δύο σφάλματα στη συσκευή σας, είναι πιθανό όλοι οι ελεγκτές τομέα των Windows στον τομέα σας να μην είναι ενημερωμένοι με μια ενημέρωση των Windows στις 8 Νοεμβρίου 2022 ή μεταγενέστερη. Για να μετριάσετε τα προβλήματα, θα πρέπει να διερευνήσετε περαιτέρω τον τομέα σας για να βρείτε τους ελεγκτές τομέα των Windows που δεν είναι ενημερωμένοι.
Σημείωση Εάν βρείτε ένα σφάλμα με το αναγνωριστικό συμβάντος 42, ανατρέξτε στο KB5021131: Πώς μπορείτε να διαχειριστείτε τις αλλαγές πρωτοκόλλου Kerberos που σχετίζονται με το CVE-2022-37966.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Αναγνωριστικό συμβάντος |
43 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα δελτίο που δεν ήταν σε θέση να επικυρώσει το |
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Αναγνωριστικό συμβάντος |
44 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών (KDC) συνάντησε ένα δελτίο που δεν περιείχε την πλήρη υπογραφή PAC. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2210019 για να μάθετε περισσότερα. Πελάτης : <τομέας>/<όνομα> |
Συσκευές τρίτων κατασκευαστών που εφαρμόζουν το πρωτόκολλο Kerberos
Οι τομείς με ελεγκτές τομέα τρίτων κατασκευαστών ενδέχεται να βλέπουν σφάλματα στη λειτουργία επιβολής.
Οι τομείς με προγράμματα-πελάτες τρίτων ενδέχεται να χρειαστούν περισσότερο χρόνο για την πλήρη απαλοιφή των συμβάντων ελέγχου μετά την εγκατάσταση μιας ενημέρωσης των Windows στις 8 Νοεμβρίου 2022 ή μεταγενέστερης.
Επικοινωνήστε με τον κατασκευαστή της συσκευής (OEM) ή με τον προμηθευτή του λογισμικού, για να διαπιστώσετε αν το λογισμικό του είναι συμβατό με την πιο πρόσφατη αλλαγή πρωτοκόλλου.
Για πληροφορίες σχετικά με τις ενημερώσεις πρωτοκόλλων, ανατρέξτε στο θέμα Του πρωτοκόλλου των Windows στην τοποθεσία web της Microsoft.
Γλωσσάριο
Το Kerberos είναι ένα πρωτόκολλο ελέγχου ταυτότητας δικτύου υπολογιστών που λειτουργεί με βάση "δελτία" για να επιτρέψει σε κόμβους που επικοινωνούν μέσω δικτύου να αποδείξουν την ταυτότητά τους μεταξύ τους με ασφαλή τρόπο.
Η υπηρεσία Kerberos που υλοποιεί τις υπηρεσίες ελέγχου ταυτότητας και εκχώρησης εισιτηρίων που καθορίζονται στο πρωτόκολλο Kerberos. Η υπηρεσία εκτελείται σε υπολογιστές που επιλέγονται από το διαχειριστή του τομέα ή του τομέα. δεν υπάρχει σε κάθε υπολογιστή του δικτύου. Πρέπει να έχει πρόσβαση σε μια βάση δεδομένων λογαριασμού για το βασίλειο που εξυπηρετεί. Οι KDC ενσωματώνονται στο ρόλο του ελεγκτή τομέα. Είναι μια υπηρεσία δικτύου που παρέχει εισιτήρια στους πελάτες για χρήση στον έλεγχο ταυτότητας σε υπηρεσίες.
Το Πιστοποιητικό χαρακτηριστικών δικαιωμάτων (PAC) είναι μια δομή που μεταφέρει πληροφορίες που σχετίζονται με την εξουσιοδότηση και παρέχονται από ελεγκτές τομέα (DCs). Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δομή δεδομένων πιστοποιητικού χαρακτηριστικού προνομίων.
Ένας ειδικός τύπος εισιτηρίου που μπορεί να χρησιμοποιηθεί για την απόκτηση άλλων εισιτηρίων. Το δελτίο χορήγησης δελτίου (TGT) λαμβάνεται μετά τον αρχικό έλεγχο ταυτότητας στην ανταλλαγή της υπηρεσίας ελέγχου ταυτότητας (AS). στη συνέχεια, οι χρήστες δεν χρειάζεται να παρουσιάσουν τα διαπιστευτήριά τους, αλλά μπορούν να χρησιμοποιήσουν το TGT για να αποκτήσουν επόμενα εισιτήρια.
