KB5008380 – Hitelesítési frissítések (CVE-2021-42287)

Összefoglalás

A CVE-2021-42287 egy biztonsági megkerülő biztonsági rést old meg, amely hatással van a Kerberos Privilege Attribute Certificatere (PAC), és lehetővé teszi a lehetséges támadók számára a tartományvezérlők megszemélyesítését. A biztonsági rés kihasználásához egy feltört tartományi fiók miatt a Kulcsterjesztési központ (KDC) a feltört fióknál magasabb jogosultsági szinttel rendelkező szolgáltatásjegyet hozhat létre. Ezt úgy éri el, hogy megakadályozza, hogy a KDC azonosítani tudja, melyik fiókhoz tartozik a magasabb jogosultsági szintű szolgáltatásjegy.

A továbbfejlesztett hitelesítési folyamat a CVE-2021-42287-ben új információkat ad hozzá az eredeti kérelmezőről a Kerberos Ticket-Granting Tickets (TGT) pac-jához. Később, amikor Kerberos-szolgáltatásjegy jön létre egy fiókhoz, az új hitelesítési folyamat ellenőrzi, hogy a TGT-t kérő fiók megegyezik-e a szolgáltatásjegyben hivatkozott fiókkal.

A 2021. november 9-i vagy újabb Windows-frissítések telepítése után a rendszer hozzáadja a PAC-ket az összes tartományi fiók TGT-éhez, még azokhoz is, amelyek korábban a PAC-k elutasítását választották.

Művelet végrehajtása

A környezet védelme és a szolgáltatáskimaradások elkerülése érdekében hajtsa végre az alábbi lépéseket:

Frissítse az Active Directory tartományvezérlői szerepkört futtató összes eszközt a 2021. november 9-i biztonsági frissítés és a 2021. november 14-i sávon kívüli (OOB) frissítés telepítésével. Keresse meg alább az adott operációs rendszer OOB KB-számát.

Operációs rendszer	Tudásbáziscikk száma
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Miután telepítette a 2021. november 9-i biztonsági frissítést és a 2021. november 14-i OOB-frissítést az összes Active Directory-tartományvezérlőn legalább 7 napra, határozottan javasoljuk, hogy minden Active Directory-tartományvezérlőn engedélyezze a kényszerítési módot.
A 2022. október 11-i kényszerítési fázis frissítésétől kezdve a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és kötelező lesz.

A Windows-frissítések időzítése – (frissítve: 2023. 01. 31.)

Ezek a Windows Frissítések három fázisban jelennek meg:

Kezdeti üzembe helyezés – A frissítés és a PacRequestorEnforcement beállításkulcsának bemutatása
Második üzembe helyezés – A PacRequestorEnforcement 0 értékének eltávolítása (a beállításkulcs letiltása)
Kényszerítési fázis – A kényszerítési mód engedélyezve van. Ebben a fázisban a PacRequestorEnforcement kulcs elavult, és már nem olvassa fel

2021. november 9.: Kezdeti üzembe helyezési fázis

A kezdeti üzembe helyezési fázis a 2021. november 9-én kiadott Windows-frissítéssel kezdődik. Ez a kiadás:

Védelmet nyújt a CVE-2021-42287-hez
Támogatja a PacRequestorEnforcement beállításjegyzék-értéket, amely lehetővé teszi, hogy a végrehajtás korai szakaszára váltson

A kockázatcsökkentés a Windows-frissítések telepítéséből áll minden olyan eszközön, amelyen a tartományvezérlői szerepkör és az írásvédett tartományvezérlők futnak.

2022. július 12.: Második üzembe helyezési fázis

A második üzembe helyezési fázis a 2022. július 12-én kiadott Windows-frissítéssel kezdődik. Ez a fázis eltávolítja a PacRequestorEnforcement 0 beállítást. A PacRequestorEnforcement 0 értékre állítása a frissítés telepítése után ugyanazzal a hatással jár, mint a PacRequestorEnforcement beállítása 1-re. A tartományvezérlők üzembehelyezési módban lesznek.

Megjegyzés Ez a fázis nem szükséges, ha a PacRequestorEnforcement soha nem lett 0-ra állítva a környezetben. Ez a fázis segít biztosítani, hogy a PacRequestorEnforcement beállítást 0-raállító ügyfelek a kényszerítési fázis előtt az 1-re lépjenek.

Megjegyzés Ez a frissítés feltételezi, hogy az összes tartományvezérlő a 2021. november 9-i vagy újabb Windows-frissítéssel frissül.

2022. október 11.: Kényszerítési fázis – (Frissítve: 2022. 01. 31.)

A 2022. október 11-i kiadás az összes Active Directory-tartományvezérlőt a kényszerítési fázisba alakítja át. A kényszerítési fázis elavultatja a PacRequestorEnforcement kulcsot, és többé nem olvassa fel. Ennek eredményeképpen a 2022. október 11-i frissítést telepítő Windows-tartományvezérlők nem lesznek kompatibilisek a következőkkel:

Azok a tartományvezérlők, amelyek nem telepítették a 2021. november 9-i vagy újabb frissítéseket.
Azok a tartományvezérlők, amelyek a 2021. november 9-i vagy újabb frissítéseket telepítették, de még nem telepítették a 2022. július 12-i frissítést, és akiknek a PacRequestorEnforcement beállításazonosítója 0.

A 2022. október 11-i frissítést telepített Windows-tartományvezérlők azonban továbbra is kompatibilisek maradnak a következőkkel:

A 2022. október 11-i vagy újabb frissítéseket telepített Windows-tartományvezérlők
Azok az Ablak tartományvezérlők, amelyek telepítették a 2021^{. november 9-i} vagy újabb frissítéseket, és PacRequestorEnforcement értékkel vagy 1 vagy 2 értékkel rendelkeznek

Beállításkulcs adatai

Miután telepítette a CVE-2021-42287 védelmi megoldásokat a 2021. november 9. és 2022. június 14. között kiadott Windows-frissítésekben, a következő beállításkulcs lesz elérhető:

Beállításjegyzék alkulcsa	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Érték	PacRequestorEnforcement
Adattípus	REG_DWORD
Adat	1: Adja hozzá az új PAC-t azoknak a felhasználóknak, akik a 2021. november 9-i vagy újabb frissítéseket tartalmazó Active Directory-tartományvezérlővel hitelesítettek. Hitelesítéskor, ha a felhasználónál az új PAC van, a PAC érvényesítve lesz. Ha a felhasználó nem rendelkezik az új PAC-sel, a rendszer nem hajt végre további műveletet. Az Active Directory-tartományvezérlők ebben a módban az üzembehelyezési fázisban vannak. 2: Adja hozzá az új PAC-t azoknak a felhasználóknak, akik olyan Active Directory-tartományvezérlővel hitelesítettek, amely telepítette a 2021. november 9-i vagy újabb frissítéseket. Hitelesítéskor, ha a felhasználónál az új PAC van, a PAC érvényesítve lesz. Ha a felhasználó nem rendelkezik az új PAC-el, a rendszer megtagadja a hitelesítést. Az Active Directory-tartományvezérlők ebben a módban a kényszerítési fázisban vannak. 0: Letiltja a beállításkulcsot. Nem ajánlott. Az Active Directory-tartományvezérlők ebben a módban a Letiltva fázisban vannak. Ez az érték nem létezik a 2022. július 12-i vagy újabb frissítések után. Fontos A 0 beállítás nem kompatibilis a 2. beállítással. Időszakos hibák akkor fordulhatnak elő, ha mindkét beállítást egy erdőben használják. Ha a 0 beállítást használja, javasoljuk, hogy a 0 (Letiltás) beállítást legalább egy héttel a 2.(Kényszerítési mód) beállításra való áttérés előtt váltsa át az 1(Üzemelő példány) beállításra.
Alapértelmezett	1 (ha nincs beállítva beállításkulcs)
Újraindításra van szükség?	Nem

Naplózási események

A 2021. november 9-i Windows-frissítés új eseménynaplókat is hozzáad.

PAC attribútumok nélkül

A KDC a PAC attribútumpuffer nélkül talál TGT-t. Valószínű, hogy a naplókban lévő másik KDC nem tartalmazza a frissítést, vagy letiltott módban van.

Eseménynapló	Rendszer
Esemény típusa	Figyelmeztetés
Eseményforrás	Microsoft-Windows-Kerberos-Key-Distribution-Center
Eseményazonosító	35
Esemény szövege	A kulcsterjesztési központ (KDC) egy másik KDC (<KDC name>) jegymegadási jegyét (TGT) észlelte, amely nem tartalmaz PAC attribútummezőt.

Jegy PAC nélkül

A KDC PAC nélkül talál TGT-t vagy más bizonyítékjegyet. Ez megakadályozza, hogy a KDC biztonsági ellenőrzéseket kényszerítsen ki a jegyen.

Eseménynapló	Rendszer
Esemény típusa	Figyelmeztetés az üzembehelyezési fázis során Hiba a kényszerítési fázisban
Eseményforrás	Microsoft-Windows-Kerberos-Key-Distribution-Center
Eseményazonosító	36
Esemény szövege	A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmaz PAC-et egy másik jegy kérésének feldolgozásakor. Ez megakadályozta a biztonsági ellenőrzések futtatását, és biztonsági réseket nyithatott meg. Ügyfél: <tartománynév>\<felhasználónév> Jegy a következőhöz: <Szolgáltatásnév>

Jegy kérelmező nélkül

A KDC egy TGT-t vagy más bizonyítékjegyet észlel a PAC-kérelmező puffere nélkül. Valószínű, hogy a PAC-et összeállító KDC nem tartalmazza a frissítést, vagy letiltott módban van.

Megjegyzés A 37-es eseményekkel kapcsolatos fontos információkért tekintse meg az Ismert problémák szakaszt.

Eseménynapló	Rendszer
Esemény típusa	Figyelmeztetés az üzembehelyezési fázis során Hiba a kényszerítési fázisban
Eseményforrás	Microsoft-Windows-Kerberos-Key-Distribution-Center
Eseményazonosító	37
Esemény szövege	A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely nem tartalmazott információt arról a fiókról, amely a jegyet kérte egy másik jegy kérésének feldolgozásakor. Ez megakadályozta a biztonsági ellenőrzések futtatását, és biztonsági réseket nyithatott meg. Jegy PAC-je: <KDC-név> Ügyfél: <tartománynév>\<ügyfélnév> Jegy a következőhöz: <Szolgáltatásnév>

A kérelmező eltérése

A KDC egy TGT- vagy egyéb bizonyítékjegyet észlel, és a TGT-t vagy bizonyítékjegyet kérő fiók nem egyezik azzal a fiókkal, amelybe a szolgáltatásjegyet létrehozták.

Eseménynapló	Rendszer
Esemény típusa	Hiba
Eseményforrás	Microsoft-Windows-Kerberos-Key-Distribution-Center
Eseményazonosító	38
Esemény szövege	A kulcsterjesztési központ (KDC) olyan jegyet észlelt, amely inkonzisztens információkat tartalmazott a jegyet kérő fiókról. Ez azt jelentheti, hogy a fiók átnevezve lett a jegy kiadása óta, ami valószínűleg egy biztonsági rés kiaknázása során történt. Jegy PAC-je: <Kdc név> Ügyfél: <tartománynév>\<felhasználónév> Jegy a következőhöz: <Szolgáltatásnév> Fiók BIZTONSÁGI AZONOSÍTÓ igénylése az Active Directoryból: <SID-> Fiók SID-ének kérése a jegyből: <SID->

Ismert problémák

Tünet	Kerülő megoldás
A 2021. november 9-én vagy később kiadott Windows-frissítések tartományvezérlőkre (TARTOMÁNYVEZÉRLŐKre) való telepítése után egyes ügyfeleknél előfordulhat, hogy bizonyos jelszóbeállítás vagy módosítási műveletek, például a következő műveletek után naplózták az új 37-as naplózási eseményazonosítót: A feladatátvevő fürt CNO-jának vagy VCO-jának frissítése vagy javítása Felhasználó jelszavának alaphelyzetbe állítása a Active Directory - felhasználók és számítógépek (dsa.msc) konzolról Új felhasználó létrehozása a Active Directory - felhasználók és számítógépek (dsa.msc) konzolról Harmadik féltől származó, tartományhoz csatlakoztatott eszközök jelszavának módosítása Ha a 2021. november 9-én vagy később kiadott Windows-frissítések telepítése után egy hétig nem látja a 37-ös eseményazonosítót, és a PacRequestorEnforcement értéke "1" vagy "2", akkor a környezetére nincs hatással. Ha a PacRequestorEnforcement = 1 értéket állítja be, a rendszer figyelmeztetésként naplózza a 37-as eseményazonosítót, de a jelszómódosítási kérések sikeresek lesznek, és nem lesznek hatással a felhasználókra. Ha a PacRequestorEnforcement = 2 értéket állítja be, a jelszómódosítási kérések sikertelenek lesznek, és a fent felsorolt műveletek is meghiúsulnak.	Ezt a problémát a következő frissítésekben javítottuk: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, 20H2-es, Windows 10 21H1-es és Windows 10 21H2-es verzió – KB5011543 Windows 10, 1809-es verzió és Windows Server 2019 – KB5011551 Windows 10, 1607-es és Windows Server 2016-es verzió – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Tünet

Kerülő megoldás

A 2021. november 9-én vagy később kiadott Windows-frissítések tartományvezérlőkre (TARTOMÁNYVEZÉRLŐKre) való telepítése után egyes ügyfeleknél előfordulhat, hogy bizonyos jelszóbeállítás vagy módosítási műveletek, például a következő műveletek után naplózták az új 37-as naplózási eseményazonosítót:

A feladatátvevő fürt CNO-jának vagy VCO-jának frissítése vagy javítása
Felhasználó jelszavának alaphelyzetbe állítása a Active Directory - felhasználók és számítógépek (dsa.msc) konzolról
Új felhasználó létrehozása a Active Directory - felhasználók és számítógépek (dsa.msc) konzolról
Harmadik féltől származó, tartományhoz csatlakoztatott eszközök jelszavának módosítása

Ha a 2021. november 9-én vagy később kiadott Windows-frissítések telepítése után egy hétig nem látja a 37-ös eseményazonosítót, és a PacRequestorEnforcement értéke "1" vagy "2", akkor a környezetére nincs hatással.

Ha a PacRequestorEnforcement = 1 értéket állítja be, a rendszer figyelmeztetésként naplózza a 37-as eseményazonosítót, de a jelszómódosítási kérések sikeresek lesznek, és nem lesznek hatással a felhasználókra.

Ha a PacRequestorEnforcement = 2 értéket állítja be, a jelszómódosítási kérések sikertelenek lesznek, és a fent felsorolt műveletek is meghiúsulnak.

Ezt a problémát a következő frissítésekben javítottuk:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, 20H2-es, Windows 10 21H1-es és Windows 10 21H2-es verzió – KB5011543
Windows 10, 1809-es verzió és Windows Server 2019 – KB5011551
Windows 10, 1607-es és Windows Server 2016-es verzió – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Gyakori kérdések

1. kérdés: Mi történik, ha olyan Active Directory-tartományvezérlők keverékével rendelkezem, amelyek frissítve vannak, és nem frissülnek?

A1. A frissített és nem frissített, de az alapértelmezett 1 PacRequestorEnforcement beállításkulcs-értékkel rendelkező tartományvezérlők keveréke kompatibilis egymással. A Microsoft azonban határozottan javasolja, hogy ne legyenek frissítve a környezetben frissített és nem frissített tartományvezérlők.

2. kérdés Mi történik, ha különböző PacRequestorEnforcement értékekkel rendelkező Active Directory-tartományvezérlők keverékével rendelkezem?

A2. A PacRequestorEnforcement 0 és 1 értékű tartományvezérlők keveréke kompatibilis egymással. Az 1 és 2 PacRequestorEnforcement értékekkel rendelkező tartományvezérlők keveréke kompatibilis egymással. A PacRequestorEnforcement 0 és 2 értékű tartományvezérlők keveréke nem kompatibilis egymással, és időszakos hibákat okozhat. További részletekért tekintse meg a Beállításkulcs információi szakaszt.