Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

UUENDATUD 14. märts 2023

Kokkuvõte

CVE-2021-42287 lahendab turbeerandi nõrkuse, mis mõjutab Kerberose õiguste atribuudiserdi (PAC) ja lubab potentsiaalsetel ründajatel domeenikontrollereid kehastada. Selle nõrkuse ärakasutamiseks võib ohustatud domeenikonto põhjustada võtmelevituskeskuse (KDC) teenusepileti, millel on suurem õigus kui ohustatud kontol. Selleks takistab KDC tuvastamast, millise konto jaoks kõrgema õigustega teenusepilet on.

CVE-2021-42287 täiustatud autentimisprotsess lisab Kerberose Ticket-Granting piletite (TGT) PAC-dele uut teavet algse taotleja kohta. Hiljem, kui konto jaoks luuakse Kerberose teenusepilet, kontrollib uus autentimisprotsess, kas TGT-d taotlenud konto on sama konto, millele teenusepiletil viidatakse.

Pärast Windowsi värskenduste (9. november 2021 või uuem) installimist lisatakse PAC-d kõigi domeenikontode TGT-sse, isegi nendesse, mis varem valisid PAC-dest keeldumise.

Tegutsemine

Oma keskkonna kaitsmiseks ja katkestuste vältimiseks tehke järgmist.

  1. Värskendage kõik seadmed, mis majutavad Active Directory domeenikontrolleri rolli, installides 9. novembri 2021 turbevärskenduse ja 14. novembri 2021 ribavälise (OOB) värskenduse. Otsige allpool üles oma konkreetse operatsioonisüsteemi OOB KB-number.

    OS

    KB number

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Pärast 9. novembri 2021 turbevärskenduse ja 14. novembri 2021 OOB värskenduse installimist kõigil Active Directory domeenikontrolleritel vähemalt 7 päeva, soovitame tungivalt lubada jõustamisrežiim kõigis Active Directory domeenikontrollerites.

  3. Alates (värskendatud) 11. oktoobrist 2022 jõustamisetapi värskendamisega lubatakse jõustamisrežiim kõigis Windowsi domeenikontrollerites ja see on nõutav.

Windowsi värskenduste ajastus – (värskendatud 31.01.23)

Need Windows Teabevärskendused antakse välja kolmes etapis.

  1. Esmane juurutamine – värskenduse sissejuhatus ja registrivõti PacRequestorEnforcement

  2. Second deployment – Removal of PacRequestorEnforcement value of 0 (ability to disable the registry key)

  3. Jõustamise faas – jõustamisrežiim on lubatud. See faas amortiseerib võtme PacRequestorEnforcement ja ei loe seda enam ette

9. november 2021: algne juurutamise etapp

Algne juurutusetapp algab Windowsi värskendusega, mis anti välja 9. novembril 2021. See väljalase:

  • Lisab kaitse CVE-2021-42287 vastu

  • Lisab PacRequestorEnforcement registriväärtuse toe , mis võimaldab teil jõustamisfaasi varem üle minna

Leevendus seisneb Windowsi värskenduste installimises kõigis seadmetes, mis majutavad domeenikontrolleri rolli ja kirjutuskaitstud domeenikontrollereid (RODCs).

12. juuli 2022: teine juurutamise etapp

Teine juurutamise etapp algab Windowsi värskendusega, mis anti välja 12. juulil 2022. See faas eemaldab sätte PacRequestorEnforcement väärtusest 0. Sätte PacRequestorEnforcement väärtuseks 0 pärast selle värskenduse installimist on sama mõju, mis sätte PacRequestorEnforcement väärtus 1. Domeenikontrollerid (DCs) on juurutusrežiimis.

Märkus See faas pole vajalik, kui pacRequestorEnforcement pole teie keskkonnas kunagi seatud väärtusele 0. See etapp aitab tagada, et kliendid, kes määrasid PacRequestorEnforcement väärtuseks 0, liiguksid enne jõustamise etappi sättele 1.

Märkus See värskendus eeldab, et kõiki domeenikontrollereid värskendatakse 9. novembril 2021 või uuema Windowsi värskendusega.

11. oktoober 2022: jõustamise etapp – (värskendatud 31.01.23)

11. oktoobri 2022 väljalase viib kõik Active Directory domeenikontrollerid jõustamisfaasi. Jõustamise etapp amortiseerib võtme PacRequestorEnforcement ega loe seda enam ette. Selle tulemusena ei ühildu enam Windowsi domeenikontrollerid, mis on installinud 11. oktoobri 2022 värskenduse:

  • Domeenikontrollerid, mis ei installinud 9. novembri 2021 või uuema versiooni värskendusi.

  • Domeenikontrollerid, mis installisid 9. novembri 2021 või uuemad värskendused, kuid pole veel installinud 12. juuli 2022 värskendust ja kellel on PacRequestorEnforcement registriväärtus 0.

11. oktoobri 2022. aasta värskenduse installinud Windowsi domeenikontrollerid jäävad siiski ühilduma järgmisega:

  • Windowsi domeenikontrollerid, mis on installinud 11. oktoobri 2022 või uuemad värskendused

  • Windows domeenikontrollerid, mis on installinud 9. novembri 2021 või uuemad värskendused ja mille väärtus on PacRequestorEnforcement või 1 või 2

Registrivõtme teave

Pärast CVE-2021-42287 kaitset Windowsi värskendustes, mis on välja antud 9. novembrist 2021 kuni 14. juunini 2022, on saadaval järgmine registrivõti:

Registri alamvõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Väärtus

PacRequestorEnforcement

Andmetüüp

REG_DWORD

Andmed

1. Lisage uus PAC kasutajatele, kes on autenditud Active Directory domeenikontrolleri abil, kuhu on installitud 9. novembri 2021 või uuemad värskendused. Kui kasutajal on autentimisel uus PAC, siis PAC valideeritakse. Kui kasutajal uut PAC-i pole, siis edasisi toiminguid ei tehta. Active Directory domeenikontrollerid selles režiimis on juurutamise etapis.

2. Lisage uus PAC kasutajatele, kes on autenditud Active Directory domeenikontrolleri abil, kuhu on installitud 9. novembri 2021 või uuemad värskendused. Kui kasutajal on autentimisel uus PAC, siis PAC valideeritakse. Kui kasutajal uut PAC-d pole, on autentimine keelatud. Selle režiimi Active Directory domeenikontrollerid on jõustamisfaasis.

0: keelab registrivõtme. Pole soovitatav. Selle režiimi Active Directory domeenikontrollerid on keelatud faasis. Seda väärtust pole olemas pärast 12. juuli 2022 või uuemat värskendust.

Oluline Säte 0 ei ühildu sättega 2. Kui metsas kasutatakse mõlemat sätet, võivad ilmneda hootised tõrked. Kui kasutatakse sätet 0, soovitame teil enne sättele 2 (jõustamisrežiim) üleminekut vähemalt nädalaks seada 1 (Juurutus) sätte 0 (Keela).

Vaikesäte

1 (kui registrivõtit pole seatud)

Kas taaskäivitamine on nõutav?

Ei

Auditeerimissündmused

9. novembri 2021 Windowsi värskendus lisab ka uusi sündmuselogisid.

PAC ilma atribuutideta

KDC puutub kokku TGT-ga ilma PAC-atribuudi puhvrita. On tõenäoline, et logides olev teine KDC ei sisalda värskendust või on keelatud režiimis.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

35

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes piletiloaga pilet (TGT) teisest KDC-st ("<KDC nimi>"), mis ei sisaldanud PAC-atribuutide välja. 

Pilet ilma PAC-ta

KDC-s on ilma PAC-ta olemas TGT või muu tõenduspilet. See takistab KDC-lt pileti turbekontrollide jõustamist.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus juurutamise ajal

Jõustamisetapi tõrge

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

36

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes pilet, mis ei sisaldanud muu pileti taotluse töötlemisel PAC-d. See takistas turbekontrollide käivitamist ja võis avada turbenõrkused. 

Klient: <domeeninime>\<kasutajanimi>

Pilet: <teenusenime>

Pilet ilma taotlejata

KDC-s on olemas TGT või muu tõenduspilet ilma PAC Requestor puhvrita. On tõenäoline, et PAC koostanud KDC ei sisalda värskendust või on keelatud režiimis.

Märkus Sündmuse 37 kohta leiate olulist teavet jaotisest Teadaolevad probleemid .

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus juurutamise ajal

Jõustamisetapi tõrge

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

37

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes pilet, mis ei sisaldanud teavet selle konto kohta, mis taotles piletit muu pileti taotluse töötlemisel. See takistas turbekontrollide käivitamist ja võis avada turbenõrkused. 

Pileti PAC koostanud: <KDC nimi>

 Klient: <domeeninime>\<kliendi nimi>

Pilet: <teenusenime>

Taotleja lahknevus

KDC-s on olemas TGT või muu tõenduspilet ja TGT-d või tõendipiletit taotlenud konto ei vasta kontole, mille jaoks teenusepilet on loodud.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Microsoft-Windows-Kerberos-Key-Distribution-Center

Sündmuse ID

38

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes pilet, mis sisaldas ebaühtlase teabega piletit taotlenud konto kohta. See võib tähendada, et konto on pärast pileti väljaandmist ümber nimetatud, mis võis olla osa ekspluateerimise katsest. 

Pileti PAC koostanud: <Kdc nimi>

Klient: <domeeninime>\<kasutajanimi>

Pilet: <teenusenime>

Konto SID taotlemine Active Directoryst: <SID>

Konto SID taotlemine piletist: <SID>

Teadaolevad probleemid

Tunnus

Ajutine lahendus

Pärast 9. novembril 2021 või uuemates välja antud Windowsi värskenduste installimist domeenikontrollerites võivad mõned kliendid näha uut auditisündmuse ID-d 37, mis logiti pärast teatud paroolisätet või muutmistoiminguid, näiteks:

  • Update or Repair failover cluster's CNO or VCO

  • Kasutaja parooli lähtestamine Active Directory Users and Computers (dsa.msc) konsooli kaudu

  • Uue kasutaja loomine Active Directory Users and Computers (dsa.msc) konsooli kaudu

  • Kolmanda osapoole domeeniga liidetud seadmete parooli muutmine

Kui te ei näe pärast 9. novembril 2021 või hiljem nädalaks välja antud Windowsi värskenduste installimist sündmuse ID-t 37 ja PacRequestorEnforcement on kas 1 või 2, siis teie keskkonda see ei mõjuta.

Kui määrate PacRequestorEnforcement = 1, logitakse sündmuse ID 37 hoiatusena, kuid parooli muutmise taotlused õnnestuvad ja need ei mõjuta kasutajaid.

Kui määrate PacRequestorEnforcement = 2, siis parooli muutmise taotlused nurjuvad ja põhjustavad ka eespool loetletud toimingute nurjumise.

See probleem on lahendatud järgmistes värskendustes:

  • Windows 11 – KB5011563

  • Windows Server 2022 – KB5011558

  • Windows 10 versioon 20H2 Windows 10 versioon 21H1 ja Windows 10, versioon 21H2 – KB5011543

  • Windows 10 versioon 1809 ja Windows Server 2019 – KB5011551

  • Windows 10, versioon 1607 ja Windows Server 2016 – KB5012596

  • Windows Server 2012 R2 – KB5012670

  • Windows Server 2012 – KB5012666

  • Windows Server 2008 R2 – KB5012649

  • Windows Server 2008 SP2 – KB5012632

Korduma kippuvad küsimused

Q1 Mis juhtub, kui mul on segu Active Directory domeenikontrolleritest, mida värskendatakse ja ei värskendata?

A1. Domeenikontrollerid, mis on värskendatud ja värskendamata, kuid millel on registrivõtme PacRequestorEnforcement vaikeväärtus 1, ühilduvad üksteisega. Microsoft soovitab siiski tungivalt, et domeenikontrollerid oleksid keskkonnas värskendatud ja värskendamata.

Q2 Mis juhtub, kui mul on segu Active Directory domeenikontrollerid, millel on erinevad PacRequestorEnforcement väärtused?

A2. Selliste domeenikontrollerite segu, mille PacRequestorEnforcement väärtused on 0 ja 1, ühilduvad üksteisega. Segu domeenikontrolleritest, mille PacRequestorEnforcement väärtused on 1 ja 2, ühilduvad üksteisega. Selliste domeenikontrollerite segu, mille PacRequestorEnforcement väärtused on 0 ja 2, ei ühildu üksteisega ja võivad põhjustada aeg-ajalt tõrkeid. Lisateavet leiate registrivõtme teabe jaotisest.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×