KB5021130: Cara mengelola perubahan protokol Netlogon yang terkait dengan CVE-2022-38023

Fase penyebaran awal dimulai dengan pembaruan yang dirilis pada 8 November 2022 dan berlanjut dengan pembaruan Windows yang lebih baru hingga fase Penerapan. Windows update on or after November 8, 2022 address security bypass vulnerability of CVE-2022-38023 by enforcing RPC sealing on all Windows clients.

Secara default, perangkat akan diatur dalam mode Kompatibilitas. Pengontrol domain Windows akan mengharuskan klien Netlogon menggunakan segel RPC jika mereka menjalankan Windows, atau jika mereka bertindak sebagai pengontrol domain atau sebagai akun kepercayaan.

Pembaruan Windows yang dirilis pada atau setelah 11 April 2023 akan menghapus kemampuan untuk menonaktifkan penyegelan RPC dengan mengatur nilai 0 ke subkey registri RequireSeal .

Subkey registri RequireSeal akan dipindahkan ke mode Diberlakukan kecuali Administrator mengonfigurasi secara eksplisit agar berada di bawah mode Kompatibilitas. Koneksi yang rentan dari semua klien termasuk pihak ketiga akan ditolak autentikasi. Lihat Mengubah 1.

Pembaruan Windows yang dirilis pada 11 Juli 2023 akan menghapus kemampuan untuk mengatur nilai 1 ke subkey registri RequireSeal . Ini memungkinkan fase Penerapan CVE-2022-38023.

Jika menemukan pesan kesalahan ini dalam log kejadian, Anda harus melakukan tindakan berikut ini untuk mengatasi kesalahan sistem:

• Pastikan bahwa perangkat menjalankan versi Windows yang didukung.

• Periksa untuk memastikan bahwa semua perangkat telah diperbarui.

• Periksa untuk memastikan bahwa Anggota domain: Anggota domain Mengenkripsi atau menandatangani data saluran aman secara digital (selalu) diatur ke Diaktifkan .

Jika Anda menemukan Acara 5840, ini adalah tanda bahwa klien di domain Anda menggunakan kriptografi yang lemah.

Jika Anda menemukan Kejadian 5841, ini adalah tanda bahwa nilai RejectMD5Clients diatur ke TRUE .

Kunci RejectMD5Clients adalah kunci yang sudah ada sebelumnya dalam layanan Netlogon. Untuk informasi selengkapnya, lihat deskripsi RejectMD5Clients dari Model Data Abstrak.

Semua akun mesin yang tergabung dalam domain dipengaruhi oleh CVE ini. Acara akan memperlihatkan siapa yang paling terkena dampak masalah ini setelah pembaruan Windows 8 November 2022 atau yang lebih baru diinstal, silakan tinjau bagian Kesalahan Log Kejadian untuk mengatasi masalah tersebut.

Untuk membantu mendeteksi klien lama yang tidak menggunakan crypto terkuat yang tersedia, pembaruan ini memperkenalkan log kejadian untuk klien yang menggunakan RC4.

Penandatanganan RPC adalah ketika protokol Netlogon menggunakan RPC untuk menandatangani pesan yang dikirim melalui kawat. PENYEGELAN RPC adalah ketika protokol Netlogon menandatangani dan mengenkripsi pesan yang dikirim melalui kawat.

Pengontrol Domain Windows menentukan apakah klien Netlogon menjalankan Windows dengan membuat kueri atribut "OperatingSystem" di Direktori Aktif untuk klien Netlogon dan memeriksa string berikut:

• "Windows", "Hyper-V Server", dan "Azure Stack HCI"

Kami tidak menyarankan atau mendukung bahwa atribut ini diubah oleh klien Netlogon atau administrator domain menjadi nilai yang tidak mewakili sistem operasi (OS) yang dijalankan klien Netlogon. Anda harus menyadari bahwa kami dapat mengubah kriteria pencarian kapan saja. Lihat Mengubah 3.

Fase penerapan tidak menolak klien Netlogon berdasarkan tipe enkripsi yang digunakan klien. Ini hanya akan menolak klien Netlogon jika mereka melakukan penandatanganan RPC dan bukan RPC Sealing. Penolakan klien RC4 Netlogon didasarkan pada kunci registri "RejectMd5Clients" yang tersedia untuk Windows Server 2008 R2 dan Pengontrol Domain Windows yang lebih baru. Fase penerapan untuk pembaruan ini tidak mengubah nilai "RejectMd5Clients". Kami menyarankan agar pelanggan mengaktifkan nilai "RejectMd5Clients" untuk keamanan yang lebih tinggi di domain mereka. Lihat Mengubah 3.

Advanced Encryption Standard (AES) adalah cipher blok yang menggantikan Standar Enkripsi Data (DES). AES dapat digunakan untuk melindungi data elektronik. Algoritma AES dapat digunakan untuk mengenkripsi (encipher) dan mendekripsi (decipher) informasi. Enkripsi mengonversi data ke formulir yang tidak memenuhi syarat yang disebut ciphertext; mendekripsi teks sandi mengonversi data kembali ke bentuk aslinya, yang disebut plaintext. AES digunakan dalam kriptografi kunci simetris, yang berarti bahwa kunci yang sama digunakan untuk operasi enkripsi dan dekripsi. Ini juga merupakan cipher blok, yang berarti bahwa ia beroperasi pada blok tetap dari plaintext dan ciphertext, dan memerlukan ukuran plaintext serta ciphertext untuk menjadi kelipatan persis dari ukuran blok ini. AES juga dikenal sebagai algoritma enkripsi simetris Rijndael [FIPS197] .

Dalam lingkungan keamanan jaringan yang kompatibel dengan sistem operasi Windows NT, komponen yang bertanggung jawab untuk sinkronisasi dan fungsi pemeliharaan antara pengontrol domain utama (PDC) dan pengontrol domain cadangan (BDC). Netlogon adalah prekursor untuk protokol server replikasi direktori (DRS). Antarmuka panggilan prosedur jarak jauh (RPC) Protokol Jarak Jauh Netlogon terutama digunakan untuk mempertahankan hubungan antara perangkat dan domainnya , dan hubungan antara pengontrol domain (DC) dan domain. Untuk informasi selengkapnya, lihat Netlogon Remote Protocol.

RC4-HMAC (RC4) adalah algoritma enkripsi simetris variabel panjang kunci. Untuk informasi selengkapnya, lihat [SCHNEIER] bagian 17.1.

Koneksi panggilan prosedur jarak jauh (RPC) yang diautentikasi antara dua mesin dalam domain dengan konteks keamanan mapan yang digunakan untuk menandatangani dan mengenkripsi paket RPC .