KB5008380 – autentifikavimo naujinimai (CVE-2021-42287)

Suvestinė

CVE-2021-42287 išsprendžia saugos apėjimo pažeidžiamumą, kuris turi įtakos "Kerberos" teisių atributo sertifikatui (PAC) ir leidžia potencialiems programišiams apsimesti domeno valdikliais. Norint pasinaudoti šiuo pažeidžiamumu, pažeista domeno paskyra gali sukelti rakto platinimo centras (KDC) sukurti tarnybos kvitą su didesne privilegija, nei pažeista abonemento. Tai atliekama neleidžiant KDC nustatyti, kuriai paskyrai skirtas didesnės teisės tarnybos kvitas.

Patobulintas autentifikavimo procesas CVE-2021-42287 įtraukia naują informaciją apie pradinį prašančiuosius į "Kerberos Ticket-Granting Tickets" (TGT) KOMPIUTERIUs. Vėliau, kai Kerberos tarnybos kvitas yra sugeneruotas abonemento, naujas autentifikavimo procesas patikrins, ar TGT užklaususi paskyra yra ta pati paskyra, nurodyta tarnybos kvite.

Įdiegus 2021 m. lapkričio 9 d. arba vėlesnius "Windows" naujinimus, PAC bus įtraukti į visų domenų paskyrų, net ir tų, kurios anksčiau pasirinko atmesti PACs, TGT.

Imtis veiksmų

Norėdami apsaugoti aplinką ir išvengti trikčių, atlikite šiuos veiksmus:

Atnaujinkite visus įrenginius, kuriuose veikia "Active Directory" domeno valdiklio vaidmuo, įdiegdami 2021 m. lapkričio 9 d. saugos naujinimą ir 2021 m. lapkričio 14 d. ne juostos (OOB) naujinimą. Toliau rasite konkrečios OS OOB KB numerį.

OS	KB numeris
„Windows Server 2016“	5008601
„Windows Server 2019”	5008602
„Windows Server 2012 R2“	5008603
„Windows Server 2012“	5008604
„Windows Server 2008 R2“ SP1	5008605
Windows Server 2008 SP2	5008606

Įdiegus 2021 m. lapkričio 9 d. saugos naujinimą ir 2021 m. lapkričio 14 d. OOB naujinimą visuose "Active Directory" domenų valdikliuose bent 7 dienas, primygtinai rekomenduojame įgalinti vykdymo režimą visuose "Active Directory" domenų valdikliuose.
Pradedant nuo (atnaujinto) 2022 m. spalio 11 d. vykdymo etapo naujinimo, vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir bus reikalingas.

"Windows" naujinimų laikas – (atnaujinta 2013-01-31)

Šie "Windows Naujinimai" bus išleisti trimis etapais:

Pradinis diegimas – naujinimo įvadas, taip pat "PacRequestorEnforcement" registro raktas
Antrasis diegimas – 0 "PacRequestorEnforcement " reikšmės pašalinimas (galimybė išjungti registro raktą)
Vykdymo etapas – įgalintas vykdymo režimas. Šiuo etapu nebenaudojamas "PacRequestorEnforcement " raktas ir jis nebeskaitomas

2021 m. lapkričio 9 d.: pradinis diegimo etapas

Pradinis diegimo etapas prasideda nuo "Windows" naujinimo, išleisto 2021 m. lapkričio 9 d. Šis leidimas:

Prideda apsaugą nuo CVE-2021-42287
Įtraukiamas "PacRequestorEnforcement" registro reikšmės palaikymas, kuris leidžia pereiti prie vykdymo etapo anksčiau

Rizikos mažinimą sudaro "Windows" naujinimų diegimas visuose įrenginiuose, kuriuose nuomojami domeno valdiklio vaidmuo ir tik skaityti skirti domeno valdikliai (RODCs).

2022 m. liepos 12 d.: antrasis diegimo etapas

Antrasis diegimo etapas prasideda nuo "Windows" naujinimo, išleisto 2022 m. liepos 12 d. Šiuo etapu pašalinamas 0 " PacRequestorEnforcement " parametras. Nustačius "PacRequestorEnforcement " į 0 įdiegus šį naujinimą, poveikis bus toks pat, kaip nustatant "PacRequestorEnforcement" į 1. Domeno valdikliai (DC) veiks diegimo režimu.

Pastaba Šis etapas nėra būtinas, jei "PacRequestorEnforcement " niekada nebuvo nustatyta į 0 jūsų aplinkoje. Šis etapas padeda užtikrinti, kad klientai, kurie nustato "PacRequestorEnforcement " į 0, pereis prie 1 parametro prieš vykdymo etapą.

Pastaba Šis naujinimas daro prielaidą, kad visi domeno valdikliai yra atnaujinami 2021 m. lapkričio 9 d. arba naujesniu "Windows" naujinimu.

2022 m. spalio 11 d.: Vykdymo etapas – (atnaujinta 2023-01-31)

2022 m. spalio 11 d. leidime bus pereiti visi "Active Directory" domeno valdikliai į vykdymo etapą. Vykdymo etapas išjungia "PacRequestorEnforcement " raktą ir jo nebeskaito. Todėl "Windows" domeno valdikliai, kuriuose įdiegtas 2022 m. spalio 11 d. naujinimas, nebebus suderinami su:

Domeno valdikliai, kurie neįdiegė 2021 m. lapkričio 9 d. arba naujesnių naujinimų.
Domeno valdikliai, kurie įdiegė 2021 m. lapkričio 9 d. arba naujesnius naujinimus, bet dar neįdiegė 2022 m. liepos 12 d. naujinimo ir kurie turi PacRequestorEnforcement registro reikšmę 0.

Tačiau "Windows" domeno valdikliai, kuriuose įdiegtas 2022 m. spalio 11 d. naujinimas, ir toliau bus suderinami su:

"Windows" domeno valdikliai, kuriuose įdiegti 2022 m. spalio 11 d. arba naujesni naujinimai
"Window" domeno valdikliai, kurie įdiegė 2021 m.^{lapkričio 9 d}. arba naujesnius naujinimus ir turi PacRequestorEnforcement reikšmę arba 1 arba 2

Registro rakto informacija

Įdiegus CVE-2021-42287 apsaugą "Windows" naujinimuose, išleistuose nuo 2021 m. lapkričio 9 d. iki 2022 m. birželio 14 d., bus pasiekiamas šis registro raktas:

Registro dalinis raktas	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Reikšmė	PacRequestorEnforcement
Duomenų tipas	REG_DWORD
Duomenys	1: Įtraukite naują PAC vartotojams, kurie autentifikavo naudodami "Active Directory" domeno valdiklį, kuriame įdiegti 2021 m. lapkričio 9 d. arba naujesni naujinimai. Autentifikuojant, jei vartotojas turi naują PAC, PAC patikrinamas. Jei vartotojas neturi naujo PAC, jokių tolesnių veiksmų nesiimta. "Active Directory" domeno valdikliai šiuo režimu yra diegimo etape. 2: Įtraukite naują PAC vartotojams, kurie autentifikavo naudodami "Active Directory" domeno valdiklį, kuriame įdiegti 2021 m. lapkričio 9 d. arba naujesni naujinimai. Autentifikuojant, jei vartotojas turi naują PAC, PAC patikrinamas. Jei vartotojas neturi naujo PAC, autentifikavimas yra uždraustas. "Active Directory" domeno valdikliai šiuo režimu yra vykdymo etape. 0: išjungia registro raktą. Nerekomenduojama. "Active Directory" domeno valdikliai šiuo režimu yra išjungto etapo metu. Šios reikšmės nebus po 2022 m. liepos 12 d. arba vėlesnių naujinimų. Svarbu Parametras 0 nesuderinamas su 2 parametru. Kartais gali įvykti trikčių, jei abu parametrai naudojami miške. Jei naudojamas 0 parametras, rekomenduojame pereiti prie 0 parametro (Išjungti) parametro 1 (diegimas) bent savaitei prieš perkeliant į 2 parametrą (vykdymo režimas).
Numatytasis	1 (kai registro raktas nenustatytas)
Ar reikia paleisti iš naujo?	Ne

Audito įvykiai

2021 m. lapkričio 9 d. "Windows" naujinimas taip pat įtrauks naujų įvykių žurnalų.

PAC be atributų

KDC susiduria su TGT be PAC atributo buferio. Tikėtina, kad kitame žurnalų KDC nėra naujinimo arba veikia išjungimo režimu.

Įvykių žurnalas	Sistema
Įvykio tipas	Įspėjimas
Įvykio šaltinis	"Microsoft-Windows-Kerberos-Key-Distribution-Center"
Įvykio ID	35
Įvykio tekstas	Rakto paskirstymo centre (KDC) aptiktas kvito suteikimo kvitas (TGT) iš kito KDC ("<KDC pavadinimas>"), kuriame nebuvo PAC atributų lauko.

Bilietas be PAC

KDC susiduria su TGT ar kitu įrodymų kvitu be PAC. Tai neleidžia KDC vykdyti kvito saugos patikrų.

Įvykių žurnalas	Sistema
Įvykio tipas	Įspėjimas diegimo etapu Vykdymo etapo klaida
Įvykio šaltinis	"Microsoft-Windows-Kerberos-Key-Distribution-Center"
Įvykio ID	36
Įvykio tekstas	Rakto paskirstymo centras (KDC) susidūrė su kvitu, kuriame nebuvo PAC apdorojant kito kvito užklausą. Tai neleido atlikti saugos patikrų ir gali atidaryti saugos pažeidžiamumus. Klientas: <domeno vardas>\<vartotojo vardas> Bilietas: <tarnybos pavadinimas>

Bilietas be prašančiojo

KDC susiduria su TGT ar kitų įrodymų kvitą be PAC prašančiojo buferio. Tikėtina, kad KDC, kuri pagamino PAC, nėra naujinimo arba veikia išjungimo režimu.

Pastaba Svarbios informacijos apie 37 įvykį žr. skyriuje Žinomos problemos .

Įvykių žurnalas	Sistema
Įvykio tipas	Įspėjimas diegimo etapu Vykdymo etapo klaida
Įvykio šaltinis	"Microsoft-Windows-Kerberos-Key-Distribution-Center"
Įvykio ID	37
Įvykio tekstas	Rakto paskirstymo centre (KDC) įvyko kvitas, kuriame nebuvo informacijos apie paskyrą, kuri paprašė kvito apdorojant kito kvito užklausą. Tai neleido atlikti saugos patikrų ir gali atidaryti saugos pažeidžiamumus. Ticket PAC constructed by: <KDC Name> Klientas: <domeno vardas>\<kliento vardas> Bilietas: <tarnybos pavadinimas>

Prašančiojo neatitikimas

KDC susiduria su TGT ar kitu įrodymų kvitu, o paskyra, kuri paprašė TGT arba įrodymo kvito, neatitinka paskyros, kuriai sukurtas tarnybos kvitas.

Įvykių žurnalas	Sistema
Įvykio tipas	Klaida
Įvykio šaltinis	"Microsoft-Windows-Kerberos-Key-Distribution-Center"
Įvykio ID	38
Įvykio tekstas	Rakto paskirstymo centre (KDC) įvyko kvitas, kuriame buvo nenuoseklios informacijos apie paskyrą, kuri paprašė kvito. Tai gali reikšti, kad nuo kvito išdavimo paskyra buvo pervardyta, o tai galėjo būti bandymo išnaudoti dalį. Ticket PAC constructed by: <Kdc Name> Klientas: <domeno vardas>\<vartotojo vardas> Bilietas: <tarnybos pavadinimas> Abonemento SID užklausa iš "Active Directory": <SID> Abonemento SID užklausa iš kvito: <SID>

Žinomos problemos

Požymis	Sprendimas
Įdiegus "Windows" naujinimus, išleistus 2021 m. lapkričio 9 d. arba vėliau domeno valdikliuose (DC), kai kurie klientai gali matyti naują audito įvykio ID 37, prisiregistravusį po tam tikrų slaptažodžio parametrų arba pakeitus operacijas, pvz.: Naujinimo arba taisymo perėmimo klasterio CNO arba VCO Vartotojo slaptažodžio nustatymas iš naujo naudojant "Active Directory" vartotojai ir kompiuteriai (dsa.msc) konsolę Naujo vartotojo kūrimas naudojant konsolę "Active Directory" vartotojai ir kompiuteriai (dsa.msc) Trečiosios šalies, prie domeno prijungtų įrenginių slaptažodžio keitimas Jei įdiegus "Windows" naujinimus, išleistus 2021 m. lapkričio 9 d. arba vėlesnei savaitei, nematote įvykio ID 37, o PacRequestorEnforcement yra "1" arba "2", jūsų aplinkai tai įtakos neturi. Jei nustatysite PacRequestorEnforcement = 1, įvykio ID 37 bus užregistruotas kaip įspėjimas, bet slaptažodžio keitimo užklausos bus sėkmingos ir neturės įtakos vartotojams. Jei nustatysite PacRequestorEnforcement = 2, slaptažodžio keitimo užklausos nepavyks ir dėl to pirmiau išvardytos operacijos taip pat nepavyks.	Ši problema buvo išspręsta šiuose naujinimuose: Windows 11 – KB5011563 "Windows Server 2022" – KB5011558 Windows 10 20H2 versija, Windows 10 21H1 versija ir Windows 10 21H2 versija – KB5011543 Windows 10 1809 versija ir "Windows Server 2019" – KB5011551 Windows 10 1607 versija ir "Windows Server 2016" – KB5012596 "Windows Server 2012 R2" – KB5012670 "Windows Server 2012" – KB5012666 "Windows Server 2008 R2" – KB5012649 "Windows Server 2008 SP2" – KB5012632

Požymis

Sprendimas

Įdiegus "Windows" naujinimus, išleistus 2021 m. lapkričio 9 d. arba vėliau domeno valdikliuose (DC), kai kurie klientai gali matyti naują audito įvykio ID 37, prisiregistravusį po tam tikrų slaptažodžio parametrų arba pakeitus operacijas, pvz.:

Naujinimo arba taisymo perėmimo klasterio CNO arba VCO
Vartotojo slaptažodžio nustatymas iš naujo naudojant "Active Directory" vartotojai ir kompiuteriai (dsa.msc) konsolę
Naujo vartotojo kūrimas naudojant konsolę "Active Directory" vartotojai ir kompiuteriai (dsa.msc)
Trečiosios šalies, prie domeno prijungtų įrenginių slaptažodžio keitimas

Jei įdiegus "Windows" naujinimus, išleistus 2021 m. lapkričio 9 d. arba vėlesnei savaitei, nematote įvykio ID 37, o PacRequestorEnforcement yra "1" arba "2", jūsų aplinkai tai įtakos neturi.

Jei nustatysite PacRequestorEnforcement = 1, įvykio ID 37 bus užregistruotas kaip įspėjimas, bet slaptažodžio keitimo užklausos bus sėkmingos ir neturės įtakos vartotojams.

Jei nustatysite PacRequestorEnforcement = 2, slaptažodžio keitimo užklausos nepavyks ir dėl to pirmiau išvardytos operacijos taip pat nepavyks.

Ši problema buvo išspręsta šiuose naujinimuose:

Windows 11 – KB5011563
"Windows Server 2022" – KB5011558
Windows 10 20H2 versija, Windows 10 21H1 versija ir Windows 10 21H2 versija – KB5011543
Windows 10 1809 versija ir "Windows Server 2019" – KB5011551
Windows 10 1607 versija ir "Windows Server 2016" – KB5012596
"Windows Server 2012 R2" – KB5012670
"Windows Server 2012" – KB5012666
"Windows Server 2008 R2" – KB5012649
"Windows Server 2008 SP2" – KB5012632

Dažnai užduodami klausimai

1 k. Kas nutiks, jei turiu atnaujintų ir neatnaujintų "Active Directory" domeno valdiklių mišinį?

A1. A1. Atnaujintų ir neatnaujintų, bet numatytųjų "PacRequestorEnforcement " registro rakto 1 reikšmės domenų valdiklių mišinys yra suderinamas tarpusavyje. Tačiau "Microsoft" primygtinai pataria nenaudoti atnaujintų ir neatnaujintų domenų valdiklių aplinkoje.

2 k. Kas nutiks, jei turiu "Active Directory" domeno valdiklių, kurie turi įvairias "PacRequestorEnforcement" reikšmes, mišinį?

A2. Domeno valdiklių, kurių "PacRequestorEnforcement" reikšmės yra 0 ir 1, mišinys yra suderinamas tarpusavyje. Domeno valdiklių, kurių "PacRequestorEnforcement" reikšmės yra 1 ir 2, mišinys yra suderinamas tarpusavyje. Domeno valdiklių, kurių "PacRequestorEnforcement" reikšmės yra 0 ir 2, mišinys nesuderinamas tarpusavyje ir gali sukelti pasikartojančių trikčių. Daugiau informacijos žr. skyriuje Registro rakto informacija.