KB5021130: Kaip valdyti tinklo registravimo protokolo pakeitimus, susijusius su CVE-2022-38023

Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2022 m. lapkričio 8 d., ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. "Windows" naujinimai 2022 m. lapkričio 8 d. arba vėliau išsprendžia CVE-2022-38023 saugos apėjimo pažeidžiamumą įgalinant RPC uždarymą visuose "Windows" klientuose.

Pagal numatytuosius parametrus įrenginiai bus nustatyti suderinamumo režimu. "Windows" domenų valdikliai reikalaus, kad "Netlogon" klientai naudotų RPC antspaudą, jei jie naudoja "Windows" arba veikia kaip domeno valdikliai arba kaip patikimumo paskyros.

"Windows" naujinimai, išleisti 2023 m. balandžio 11 d. arba vėliau, pašalins galimybę išjungti RPC uždarymą nustatant reikšmę 0 dalinio registro rakto RequireSeal .

Dalinis registro raktas RequireSeal bus perkeltas į įgalintą režimą, nebent administratoriai aiškiai sukonfigūruotas veikti suderinamumo režimu. Bus uždraustas visų klientų, įskaitant trečiąsias šalis, pažeidžiamas ryšys. Žr. 1 pakeitimas.

2023 m. liepos 11 d. išleisti "Windows" naujinimai pašalins galimybę nustatyti registro dalinio rakto RequireSeal reikšmę 1. Tai įgalina CVE-2022-38023 vykdymo etapą.

Jei įvykių žurnaluose pastebėsite šį klaidos pranešimą, turite atlikti šiuos veiksmus, kad išspręstumėte sistemos klaidą:

• Įsitikinkite, kad įrenginyje veikia palaikoma "Windows" versija.

• Patikrinkite, ar visi įrenginiai yra atnaujinti.

• Įsitikinkite, kad domeno narys: domeno narys Skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenis (visada) nustatyta kaip Įgalinta .

Jei pastebėsite įvykį 5840, tai yra ženklas, kad jūsų domeno klientas naudoja silpną kriptografiją.

Jei pastebėsite įvykį 5841, tai yra ženklas, kad RejectMD5Clients reikšmė nustatyta kaip TRUE .

" RejectMD5Clients " raktas yra iš anksto esamas tinklo registravimo tarnybos raktas. Daugiau informacijos žr. Abstrakčių duomenų modelio " RejectMD5Clients " aprašas.

Ši CVE paveiks visus prijungtus domenus, kompiuterio paskyras. Įvykiai parodys, kam ši problema labiausiai paveikta įdiegus 2022 m. lapkričio 8 d. arba naujesnius "Windows" naujinimus, peržiūrėkite skyrių Įvykių žurnalo klaidos , kad išspręstumėte problemas.

Kad būtų lengviau aptikti senesnius klientus, kurie nenaudoja stipriausios galimos šifravimo funkcijos, šis naujinimas pristato įvykių žurnalus klientams, kurie naudoja RC4.

RPC pasirašymas yra, kai tinklo registravimo protokolas naudoja RPC pasirašyti pranešimus, kuriuos siunčia laidu. RPC užsandarinimas yra tada, kai tinklo registravimo protokolas pasirašo ir užšifruoja pranešimus, kuriuos siunčia laidu.

"Windows" domeno valdiklis nustato, ar tinklo registravimo klientas naudoja "Windows" užklausdamas "OperatingSystem" atributą "Active Directory", skirtą tinklo registravimo klientui, ir tikrindamas, ar yra šios eilutės:

• "Windows", "Hyper-V Server" ir "Azure Stack HCI"

Nerekomenduojame ir nepalaikome šio atributo pakeitimo "Netlogon" klientais arba domeno administratoriais į reikšmę, kuri nėra tipiška operacinei sistemai (OS), kurią naudoja "Netlogon" klientas. Turėtumėte žinoti, kad galime bet kada pakeisti ieškos kriterijus. Žr. 3 pakeitimas.

Vykdymo etapas neatmes "Netlogon" klientų pagal klientų naudojamo šifravimo tipą. Jis atmes "Netlogon" klientus tik tuo atveju, jei jie pasirašys RPC vietoj RPC uždarymo. RC4 tinklo registravimo klientų atmetimas pagrįstas "RejectMd5Clients" registro raktu, pasiekiamu "Windows Server 2008 R2" ir naujesnėms "Windows" domeno valdikliams. Šio naujinimo vykdymo etapas nekeičia reikšmės "RejectMd5Clients". Rekomenduojame klientams įgalinti reikšmę "RejectMd5Clients", kad būtų didesnė domenų sauga. Žr. 3 pakeitimas.

Išplėstinis šifravimo standartas (AES) yra bloko šifravimo standartas, pakeičiantis Duomenų šifravimo standartą (DES). AES gali būti naudojama elektroniniams duomenims apsaugoti. AES algoritmas gali būti naudojamas šifruoti (užšifruoti) ir iššifruoti (iššifruoti) informaciją. Šifravimas konvertuoja duomenis į neįskaitomą formą, vadinamą šifravimo tekstu; šifro tekstas iššifruoja duomenis atgal į pradinę formą, vadinamą paprastuoju tekstu. AES naudojamas simetrinio rakto kriptografijai, tai reiškia, kad tas pats raktas naudojamas šifravimo ir iššifravimo operacijoms atlikti. Tai taip pat yra bloko šifras, tai reiškia, kad jis veikia fiksuoto dydžio paprastojo teksto ir šifroteksto blokuose ir reikalauja, kad paprastojo teksto bei šifro tekstas būtų tikslus šio bloko dydžio kartotinis. AES taip pat žinomas kaip Rijndael simetrinio šifravimo algoritmas [FIPS197] .

"Windows NT" operacinės sistemos suderinamoje tinklo saugos aplinkoje komponentas, atsakingas už sinchronizavimo ir priežiūros funkcijas tarp pirminio domeno valdiklio (PDC) ir atsarginės kopijos domeno valdiklių (BDC). Tinklo registravimo tarnyba yra katalogų replikavimo serverio (DRS) protokolo pirmtakas. Tinklo registravimo nuotolinio protokolo nuotolinės procedūros iškvietimo (RPC) sąsaja pirmiausia naudojama palaikyti ryšį tarp įrenginio ir jo domeno bei ryšius tarp domeno valdiklių (DC) ir domenų. Daugiau informacijos žr. "Netlogon" nuotolinis protokolas.

RC4-HMAC (RC4) yra kintamojo rakto ilgio simetrinis šifravimo algoritmas. Daugiau informacijos žr. [SCHNEIER] 17.1 skyriuje.

Autentifikuotas nuotolinės procedūros iškvietimas (RPC) ryšys tarp dviejų domeno kompiuterių su sukurtu saugos kontekstu , naudojamu RPC paketams pasirašyti ir šifruoti.