Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Muudatuste logi 

1. muudatus: 5. aprill 2023: Teisaldas registrivõtme etapi "Jõustamine vaikimisi" 11. aprillilt 2023 13. juunini 2023 jaotises "CVE-2022-38023 värskenduste ajastus".

2. muudatus: 20. aprill 2023: Eemaldati jaotises "Registrivõtme sätted" rühmapoliitika objekti (GPO) ebatäpne viide "Domeenikontroller: Luba haavatavad Netlogoni turvalised kanaliühendused".

3. muudatus: 19. juuni 2023:

  • Lisati jaotisse "Registrivõtme sätted" märkus "Oluline".

  • Lisati jaotisse "CVE-2022-38023" seotud Windowsi sündmused "Märkus".

  • Lisati kaks uut küsimust ja vastus jaotisele "Korduma kippuvad küsimused (KKK)".

Selle artikli teemad

Kokkuvõte

8. novembril 2022 ja uuemates Windowsi värskendustes käsitletakse Netlogoni protokolli nõrkusi, kui RPC-allkirja kasutatakse RPC pitseerimise asemel. Lisateavet leiate artiklist CVE-2022-38023 .

Netlogon Remote Protocol remote protocol remote procedure call (RPC) liidest kasutatakse peamiselt seadme ja selle domeeni vahelise seose säilitamiseks ning seoste säilitamiseks domeenikontrollerite (DC) ja domeenide vahel.

See värskendus kaitseb Windowsi seadmeid vaikimisi CVE-2022-38023 eest.  Muude tootjate klientide ja muude tootjate domeenikontrollerite jaoks on värskendus vaikimisi ühilduvusrežiimis ja võimaldab selliste klientide haavatavaid ühendusi. Jõustamisrežiimi aktiveerimise juhised leiate jaotisest Registrivõtme sätted .

Oma keskkonna turvalisuse tagamiseks installige Windowsi värskendus, mis on välja lülitatud 8. novembril 2022 või uuem Windowsi värskendus kõigile seadmetele, sh domeenikontrolleritele.

Oluline Alates juunist 2023 on jõustamisrežiim kõigis Windowsi domeenikontrollerites lubatud ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest.  Sel ajal ei saa te värskendust keelata, kuid võite naasta ühilduvusrežiimi sättele. Ühilduvusrežiim eemaldatakse juulis 2023, nagu on kirjeldatud jaotises Netlogoni nõrkuse CVE-2022-38023 värskenduste ajastus .

CVE-2022-38023 värskenduste ajastus

Teabevärskendused antakse välja mitmes etapis: 8. novembril 2022 või hiljem välja antud värskenduste algetapp ja 11. juulil 2023 või hiljem välja antud värskenduste jõustamise etapp.

Algne juurutusetapp algab 8. novembril 2022 välja antud värskendustega ja jätkab hilisemate Windowsi värskendustega kuni jõustamisetapini. Windowsi värskendused 8. novembril 2022 või hiljem lahendavad CVE-2022-38023 turbeeralduse nõrkuse, jõustades RPC sulgemise kõigis Windowsi klientrakendustes.

Vaikimisi seatakse seadmed ühilduvusrežiimis. Windowsi domeenikontrollerid nõuavad, et Netlogoni kliendid kasutaksid RPC pitserit, kui neil on Windows või kui nad tegutsevad domeenikontrollerite või usalduskontodena.

Windowsi värskendused, mis anti välja 11. aprillil 2023 või hiljem, eemaldavad võimaluse keelata RPC pitseerimine, määrates väärtuse 0 registri alamvõtmeks RequireSeal .

Registri alamvõti RequireSeal teisaldatakse jõustatud režiimi, välja arvatud juhul, kui administraatorid on selgesõnaliselt konfigureerinud olema ühilduvusrežiimis. Kõigi klientrakenduste, sh kolmandate osapoolte haavatavate ühenduste autentimine keelatakse. Vt muudatust 1.

11. juulil 2023 välja antud Windowsi värskendused eemaldavad võimaluse seada väärtuse 1 registri alamvõtmele RequireSeal . See võimaldab CVE-2022-38023 jõustamisfaasi.

Registrivõtme sätted

Pärast Windowsi värskenduste installimist, mis on kuupäevaga 8. novembril 2022 või hiljem, on Windowsi domeenikontrollerite Netlogoni protokolli jaoks saadaval järgmine registri alamvõti.

OLULINE See värskendus ja tulevased jõustamismuudatused ei lisa ega eemalda automaatselt registri alamvõtit "RequireSeal". Selle registri alamvõtme lugemiseks tuleb see käsitsi lisada. Vt Muudatus 3.

RequireSeal subkey

Registrivõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Väärtus

RequireSeal

Andmetüüp

REG_DWORD

Andmed

0 – keelatud

1 – ühilduvusrežiim. Windowsi domeenikontrollerid nõuavad, et Netlogoni kliendid kasutaksid RPC-tihendit, kui neil on Windows või kui nad tegutsevad domeenikontrollerite või usalduskontodena.

2 – jõustamisrežiim. Kõik kliendid on nõutavad RPC pitseri kasutamiseks. Vt muudatust 2.

Kas taaskäivitamine on nõutav?

Ei

CVE-2022-38023ga seotud Windowsi sündmused

MÄRKUS Järgmistel sündmustel on 1-tunnine puhver, kus sama teavet sisaldavad duplikaatsündmused hüljatakse selle puhvri ajal.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

NETLOGON

Sündmuse ID

5838

Sündmuse tekst

Netlogoni teenuses ilmnes klient RPC-allkirjaga, mitte RPC pitseerimisega.

Kui leiate sündmuselogidest selle tõrketeate, peate süsteemitõrke lahendamiseks tegema järgmist.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

NETLOGON

Sündmuse ID

5839

Sündmuse tekst

Netlogoni teenuses ilmnes usaldus RPC-allkirjaga, mitte RPC pitseerimisega.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

NETLOGON

Sündmuse ID

5840

Sündmuse tekst

Netlogoni teenus lõi RC4-ga kliendiga turvalise kanali.

Kui leiate sündmuse 5840, on see märk sellest, et teie domeeni klient kasutab nõrka krüptograafiat.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

NETLOGON

Sündmuse ID

5841

Sündmuse tekst

Netlogoni teenus keelas kliendi RC4 kasutamise sätte RejectMd5Clients tõttu.

Kui leiate sündmuse 5841, on see märk sellest, et sätte RejectMD5Clients väärtuseks on seatud TRUE .


Klahv RejectMD5Clients on Netlogoni teenuses olemasolev võti. Lisateavet leiate artiklist Abstraktse andmemudeli kirjeldus RejectMD5Clients .

Korduma kippuvad küsimused (KKK)

See CVE mõjutab kõiki domeeniga liidetud arvutikontosid. Sündmused näitavad, keda see probleem kõige rohkem mõjutab pärast 8. novembri 2022 või uuemate Windowsi värskenduste installimist. Probleemi lahendamiseks vaadake läbi jaotis Sündmuselogi tõrked .

Et aidata tuvastada vanemaid kliente, kes ei kasuta kõige tugevamat saadaolevat krüptovaluutat, tutvustab see värskendus RC4 kasutavate klientide sündmuselogisid.

RPC allkirjastamine on siis, kui Netlogoni protokoll kasutab juhtmega saadetavate sõnumite allkirjastamiseks RPC-t. RPC pitseerimine on siis, kui Netlogoni protokoll allkirjastab ja krüptib sõnumid, mida see juhtmega saadab.

Windowsi domeenikontroller määratleb, kas Netlogoni klientrakendus käitab Windowsi, tehes Netlogoni kliendi Active Directorys päringu atribuudile "OperatingSystem" ja otsides järgmisi stringe.

  • "Windows", "Hyper-V Server" ja "Azure Stack HCI"

Me ei soovita ega toeta, et Netlogon kliendid või domeeni administraatorid muudaks seda atribuuti selliseks väärtuseks, mis ei esinda Netlogoni klientrakenduse töötavat operatsioonisüsteemi (OS). Võtke arvesse, et võime otsingukriteeriume igal ajal muuta. Vt Muudatus 3.

Jõustamisetapis ei hüljata Netlogoni kliente, mis põhinevad klientide kasutatava krüptimise tüübil. See hülgab Netlogoni kliendid ainult siis, kui nad teevad RPC allkirjastamise asemel RPC pitseerimist. RC4 Netlogoni klientide hülgamine põhineb Windows Server 2008 R2 ja uuemate Windowsi domeenikontrollerite jaoks saadaoleval registrivõtmel "RejectMd5Clients". Selle värskenduse jõustamise etapp ei muuda väärtust "RejectMd5Clients". Soovitame klientidel lubada oma domeenide suurema turvalisuse huvides väärtus RejectMd5Clients. Vt Muudatus 3.

Sõnastik

Advanced Encryption Standard (AES) on ploki šifr, mis asendab andmekrüptimise standardi (DES). AES-i saab kasutada elektrooniliste andmete kaitsmiseks. AES-algoritmi saab kasutada teabe krüptimiseks (kodeerimiseks) ja dekrüptimiseks (dešifriks). Krüptimine teisendab andmed soovimatuks vormiks nimega šifrtekst; šifriteksti dekrüptimine teisendab andmed tagasi algseks vormiks ,mida nimetatakse lihttekstiks. AES-i kasutatakse sümmeetrilise võtme krüptograafias, mis tähendab, et sama võtit kasutatakse krüptimis- ja dekrüptimistoimingute jaoks. See on ka ploki šifr, mis tähendab, et see töötab fikseeritud suurusega plokkide plaintext ja šifritekstiga ning nõuab lihtteksti ja šifriteksti suurust, et see oleks selle ploki suuruse täpne kordne. AES-i tuntakse ka Rijndaeli sümmeetrilise krüptimise algoritmina [FIPS197] .

Windows NT operatsioonisüsteemiga ühilduvas võrguturbekeskkonnas vastutab esmase domeenikontrolleri (PDC) ja varundusdomeenikontrollerite (BDC) sünkroonimis- ja hooldusfunktsioonide eest vastutav komponent. Netlogon on kataloogi tiražeerimisserveri (DRS) protokolli eelkäija. Netlogon Remote Protocol remote protocol remote procedure call (RPC) liidest kasutatakse peamiselt seadme ja selle domeeni vahelise seose säilitamiseks ning seoste säilitamiseks domeenikontrollerite (DC) ja domeenide vahel. Lisateavet leiate teemast Netlogon Remote Protocol.

RC4-HMAC (RC4) on muutuv võtmepikkusega sümmeetriline krüptimisalgoritm. Lisateavet leiate [SCHNEIER] 17.1.

Autenditud kaugprotseduurikutse (RPC) ühendus domeeni kahe arvuti vahel, millel on kehtestatudturbekontekst , mida kasutatakse RPC pakettide allkirjastamiseks ja krüptimiseks.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×