Muuta lokia
|
Muutos 1: 5. huhtikuuta 2023: Siirsi rekisteriavaimen "Pakotus oletusarvoisesti" -vaiheen 11.4.2023 ja 13.6.2023 CVE-2022-38023-osoitteiden päivitysten ajoitus -osassa. Muutos 2: 20. huhtikuuta 2023: Rekisteriavaimen asetukset -osassa on poistettu virheellinen viittaus "Domain Controller: Allow vulnerable Netlogon secure channel connections" -ryhmäkäytäntöobjektiin (GPO). Muutos 3: 19. kesäkuuta 2023:
|
Tässä artikkelissa
Yhteenveto
8. marraskuuta 2022 ja uudemmissa Windows-päivityksissä korjataan Netlogon-protokollan heikkouksia, kun RPC-allekirjoitusta käytetään RPC-sinetöinnin sijaan. Lisätietoja on artikkelissa CVE-2022-38023 .
Netlogon Remote Protocol remote protocol remote procedure call (RPC) - liittymää käytetään ensisijaisesti laitteen ja sen toimialueen välisen suhteen ylläpitämiseen sekä toimialueen ohjauskoneiden ja toimialueiden välisten yhteyksien ylläpitämiseen.
Tämä päivitys suojaa Windows-laitteita oletusarvoisesti CVE-2022-38023 :lta. Kolmannen osapuolen asiakasohjelmissa ja kolmannen osapuolen toimialueen ohjauskoneissa päivitys on oletusarvoisesti yhteensopivuustilassa ja mahdollistaa tällaisten asiakkaiden heikossa asemassa olevat yhteydet. Lisätietoja pakotustilaan siirtymisestä on Rekisteriavaimen asetukset - osassa.
Voit suojata ympäristösi asentamalla Windows-päivityksen, joka on päivätty 8. marraskuuta 2022, tai uudemman Windows-päivityksen kaikkiin laitteisiin, myös toimialueen ohjauskoneisiin.
Tärkeää Kesäkuusta 2023 alkaen pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista. Tällöin et voi poistaa päivitystä käytöstä, mutta saatat siirtyä takaisin yhteensopivuustila-asetukseen. Yhteensopivuustila poistetaan heinäkuussa 2023, kuten netlogon-haavoittuvuuden CVE-2022-38023 päivitysten ajoitus -osiossa on kuvattu.
CVE-2022-38023 -osoitteiden päivitysten ajoitus
Päivitykset julkaistaan useissa vaiheissa: 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten ensimmäinen vaihe ja 11. heinäkuuta 2023 tai sen jälkeen julkaistujen päivitysten täytäntöönpanovaihe.
Ensimmäinen käyttöönottovaihe alkaa 8.11.2022 julkaistuilla päivityksillä, ja se jatkuu myöhemmissa Windows-päivityksissä pakotusvaiheeseen asti. Windows-päivitykset 8. marraskuuta 2022 tai sen jälkeen korjaavat CVE-2022-38023 :n tietoturvan ohitushaavoittuvuuden ottamalla RPC-tiivisteen käyttöön kaikissa Windows-asiakasohjelmissa.
Laitteet määritetään oletusarvoisesti yhteensopivuustilaan. Windowsin toimialueen ohjauskoneet edellyttävät, että Netlogon-asiakkaat käyttävät RPC-sinettiä, jos ne käyttävät Windowsia tai toimivat toimialueen ohjauskoneina tai luottamustileinä.
11. huhtikuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset poistavat RPC-tiivistyksen käytöstä määrittämällä arvon 0 RequireSeal registry -aliavaimen arvoksi.
RequireSeal-rekisterin aliavain siirretään pakotettuun tilaan, ellei järjestelmänvalvoja ole erikseen määrittänyt yhteensopivuustilaa. Kaikilta asiakkailta, myös kolmansilta osapuolilta, ei evätä todennusta. Katso Kohta Muutos 1.
11. heinäkuuta 2023 julkaistut Windows-päivitykset poistavat mahdollisuuden määrittää arvoksi 1 RequireSeal registry -aliavain. Tämä mahdollistaa CVE-2022-38023:n täytäntöönpanovaiheen.
Rekisteriavaimen asetukset
Kun windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai sen jälkeen, on asennettu, seuraava rekisterin aliavain on käytettävissä Windowsin toimialueen ohjauskoneiden Netlogon-protokollassa.
TÄRKEÄÄ Tämä päivitys ja tulevat pakotusmuutokset eivät automaattisesti lisää tai poista "RequireSeal" -rekisterin aliavainta. Tämä rekisterin aliavain on lisättävä manuaalisesti, jotta se voidaan lukea. Katso Kohta Muutos 3.
RequireSeal-aliavain
|
Rekisteriavaimen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Arvo |
RequireSeal |
|
Tietotyyppi |
REG_DWORD |
|
Tiedot |
0 – Ei käytössä 1 – Yhteensopivuustila. Windowsin toimialueen ohjauskoneet edellyttävät, että Netlogon-asiakkaat käyttävät RPC Sealia, jos ne käyttävät Windowsia tai toimivat joko toimialueen ohjauskoneina tai Luottamustileinä. 2 - Pakotustila. Kaikkien asiakkaiden on käytettävä RPC Sealia. Katso Kohta Muutos 2. |
|
Tarvitaanko uudelleenkäynnistystä? |
Ei |
CVE-2022-38023 -versioon liittyvät Windows-tapahtumat
HUOMAUTUS Seuraavissa tapahtumissa on 1 tunnin puskuri, jossa samoja tietoja sisältävät päällekkäiset tapahtumat hylätään kyseisen puskurin aikana.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
NETLOGON |
|
Tapahtumatunnus |
5838 |
|
Tapahtuman teksti |
Netlogon-palvelu kohtasi asiakkaan, joka käytti RPC-allekirjoitusta RPC-tiivisteen sijaan. |
Jos löydät tämän virhesanoman tapahtumalokeistasi, sinun on tehtävä seuraavat toimet järjestelmävirheen ratkaisemiseksi:
-
Varmista, että laitteessa on tuettu Windows-versio.
-
Varmista, että kaikki laitteet ovat ajan tasalla.
-
Varmista, että Toimialueen jäsen: Toimialueen jäsen salaa digitaalisesti tai allekirjoittaa suojatun kanavan tiedot (aina) -asetuksena on Käytössä .
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
NETLOGON |
|
Tapahtumatunnus |
5839 |
|
Tapahtuman teksti |
Netlogon-palvelu kohtasi luottamuksen RPC-allekirjoituksen avulla RPC-tiivisteen sijaan. |
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumalähde |
NETLOGON |
|
Tapahtumatunnus |
5840 |
|
Tapahtuman teksti |
Netlogon-palvelu loi suojatun kanavan RC4-asiakasohjelmalla. |
Jos löydät tapahtuman 5840, tämä on merkki siitä, että toimialueesi asiakas käyttää heikkoa salausta.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
NETLOGON |
|
Tapahtumatunnus |
5841 |
|
Tapahtuman teksti |
Netlogon-palvelu hylkäsi asiakkaan, joka käytti RC4:tä RejectMd5Clients-asetuksen vuoksi. |
Jos löydät tapahtuman 5841, tämä on merkki siitä, että RejectMD5Clients-arvoksi on määritetty TOSI .
RejectMD5Clients-avain on aiemmin luotu avain Netlogon-palvelussa. Lisätietoja on abstraktin tietomallin RejectMD5Clients-kuvauksessa .
Usein kysytyt kysymykset (usein kysytyt kysymykset)
Tämä CVE vaikuttaa kaikkiin toimialueeseen liitettyihin konetileihin. Tapahtumat näyttävät, keneen tämä ongelma vaikuttaa eniten sen jälkeen, kun Windowsin 8. marraskuuta 2022 tai sitä uudemmat päivitykset on asennettu. Tarkista tapahtumalokivirheet -osio ongelmien ratkaisemiseksi.
Tässä päivityksessä esitellään tapahtumalokit asiakkaille, jotka käyttävät RC4:tä, jotta voidaan tunnistaa vanhemmat asiakkaat, jotka eivät käytä vahvinta käytettävissä olevaa salausta.
RPC-allekirjoitus on silloin, kun Netlogon-protokolla käyttää RPC:tä lähettämien viestien allekirjoittamiseen langalla. RPC-tiivistys on, kun Netlogon-protokolla sekä allekirjoittaa että salaa viestit, jotka se lähettää langan välityksellä.
Windowsin toimialueen ohjauskone määrittää, käyttääkö Netlogon-asiakas Windowsia, kyselemällä Active Directoryn Käyttöjärjestelmä-määritteen Netlogon-asiakasohjelmalle ja tarkistamalla seuraavat merkkijonot:
-
"Windows", "Hyper-V Server" ja "Azure Stack HCI"
Emme suosittele tai tue sitä, että Netlogon-asiakkaat tai toimialueen järjestelmänvalvojat vaihtavat määritteen arvoon, joka ei edusta netlogon-asiakasohjelman käyttämää käyttöjärjestelmää. Sinun kannattaa olla tietoinen siitä, että hakuehtoja voidaan muuttaa milloin tahansa. Katso Kohta Muutos 3.
Pakotusvaihe ei hylkää Netlogon-asiakkaita asiakkaiden käyttämän salaustyypin perusteella. Se hylkää Netlogon-asiakkaat vain, jos he tekevät RPC-allekirjoituksen RPC Sealingin sijaan. RC4 Netlogon -asiakkaiden hylkääminen perustuu "RejectMd5Clients" -rekisteriavaimeen, joka on käytettävissä Windows Server 2008 R2:ssa ja sitä uudemmissa Windowsin toimialueen ohjauskoneissa. Tämän päivityksen pakotusvaihe ei muuta RejectMd5Clients-arvoa. Suosittelemme, että asiakkaat sallivat "RejectMd5Clients" -arvon toimialueidensa suuremman suojauksen varmistamiseksi. Katso Kohta Muutos 3.
Sanasto
Advanced Encryption Standard (AES) on salauslohko, joka korvaa DES (Data Encryption Standard) -salausstandardin. AES:n avulla voidaan suojata sähköisiä tietoja. AES-algoritmia voidaan käyttää tietojen salaamiseen (salaukseen) ja salauksen purkamiseen . Salaus muuntaa tiedot käsittämättömään muotoon, jota kutsutaan salaustekstiksi. Salauksen purkaminen muuntaa tiedot takaisin alkuperäiseen muotoonsa, jota kutsutaan tekstimuotoon. AES-salauksessa käytetään symmetristä avainta, mikä tarkoittaa, että samaa avainta käytetään salauksessa ja salauksen purkamisessa. Se on myös blokkisana, joka tarkoittaa, että se toimii kiinteäkokoisten teksti- ja salauslohkojen kanssa ja edellyttää, että tekstitekstin ja salakirjoituksen koko on tämän lohkokoon tarkka kerrannainen. AES tunnetaan myös nimellä Rijndaelin symmetrinen salausalgoritmi [FIPS197] .
Windows NT käyttöjärjestelmän kanssa yhteensopivassa verkon suojausympäristössä komponentti, joka vastaa ensisijaisen toimialueen ohjauskoneen (PDC) ja varatoimialueen ohjauskoneiden (BDC) välisestä synkronoinnista ja ylläpidosta. Netlogon on hakemiston replikointipalvelimen (DRS) protokollan edeltäjä. Netlogon Remote Protocol remote protocol remote procedure call (RPC) - liittymää käytetään ensisijaisesti laitteen ja sen toimialueen välisen suhteen ylläpitämiseen sekä toimialueen ohjauskoneiden ja toimialueiden välisten yhteyksien ylläpitämiseen. Lisätietoja on ohjeaiheessa Netlogon Remote Protocol.
RC4-HMAC (RC4) on muuttuva näppäimen pituinen symmetrinen salausalgoritmi. Lisätietoja on [SCHNEIER] -osiossa 17.1.
Todennettu etäproseduurikutsu (RPC) -yhteys toimialueen kahden koneen välillä, joilla on vakiintunut suojauskonteksti , jota käytetään RPC-pakettien allekirjoittamiseen ja salaamiseen.
