KB5008380 — autentifikācijas atjauninājumi (CVE-2021-42287)

Kopsavilkums

CVE-2021-42287 pievēršas drošības apiešanas ievainojamībai, kas ietekmē Kerberos privilēģiju atribūta sertifikātu (PAC) un sniedz iespēju potenciālajiem uzbrukumiem personificēt domēna kontrollerus. Lai izmantotu šo ievainojamību, apdraudēts domēna konts var izraisīt atslēgas izplatīšanas centra (Key Distribution Center — KDC) izveidot pakalpojuma biļeti ar augstāku privilēģiju līmeni, kas pārsniedz apdraudētā konta līmeni. Tas tiek paveikts, neļaujot KDC noteikt, kuram kontam ir augstākas privilēģiju pakalpojuma biļete.

Uzlabotais autentifikācijas process rīkā CVE-2021-42287 pievieno jaunu informāciju par sākotnējo pieprasītāju Kerberos Ticket-Granting biļešu paeksiem (TGT). Vēlāk, kad kontam tiek ģenerēta Kerberos pakalpojuma biļete, jaunajā autentifikācijas procesā tiek pārbaudīts, vai konts, kas pieprasīja TGT, ir tas pats konts, uz kuru ir atsauce pakalpojuma biļetē.

Pēc Windows atjauninājumu instalēšanas ar 2021. gada 9. novembra vai jaunāku versiju, PAC tiks pievienoti visu domēnu kontu TGT pat tad, ja iepriekš izvēlējāties noraidīt PAC.

Rīcība

Lai aizsargātu vidi un izvairītos no darbības pārtraukumiem, veiciet tālāk norādītās darbības.

Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot 2021. gada 9. novembra drošības atjauninājumu un 2021. gada 14. novembra ārpusjoslas (OOB) atjauninājumu. Zemāk atrodiet OOB KB numuru konkrētai OS ierīcei.

OS	KB numurs
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 1. servisa pakotne	5008605
Windows Server 2008 SP2	5008606

Pēc 2021. gada 9. novembra drošības atjauninājuma un 2021. gada 14. novembra OOB atjauninājuma instalēšanas visās Active Directory domēna kontrolleros vismaz 7 dienas, iesakām iespējot ieviešanas režīmu visās Active Directory domēna kontrolleros.
Sākot ar (atjaunināts) 2022. gada 11. oktobra ieviešanas posma atjauninājumu, visās Windows domēna kontrolleros būs iespējots ieviešanas režīms, un tas būs nepieciešams.

Windows atjauninājumu hronometrāža — (atjaunināta 31.01.23.)

Šie Windows Atjauninājumi tiks izlaisti trīs posmos:

Sākotnējā izvietošana — atjauninājuma ievads, kā arī reģistra atslēga PacRequestorEnforcement
Otrā izvietošana — PacRequestorEnforcement vērtības 0 noņemšana (iespēja atspējot reģistra atslēgu)
Ieviešanas fāze — tiek iespējots ieviešanas režīms. Šajā posmā tiek novecojušs PacRequestorEnforcement taustiņš , un tas vairs netiek nolasīts.

2021. gada 9. novembris. Sākotnējā izvietošanas fāze

Sākotnējais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2021. gada 9. novembrī. Šajā laidienā:

Pievieno aizsardzību pret CVE-2021-42287
Pievieno atbalstu reģistra vērtībai PacRequestorEnforcement , kas ļauj pāriet uz ieviešanas posmu ātrāk

Risku mazināšana ietver Windows atjauninājumu instalēšanu visās ierīcēs, kurās tiek viesota domēna kontrollera loma un tikai lasāmi domēna kontrolleri (RODC).

2022. gada 12. jūlijs: otrais izvietošanas posms

Otrais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2022. gada 12. jūlijā. Šajā fāzē tiek noņemts PacRequestorEnforcement iestatījums 0. PacRequestorEnforcement iestatīšanai uz 0 pēc šī atjauninājuma instalēšanas būs tāda pati ietekme kā PacRequestorEnforcement iestatīšanai uz 1. Domēna kontrolleri (DC) tiks izvietoti izvietošanas režīmā.

Piezīme Šis posms nav nepieciešams, ja PacRequestorEnforcement nekad nav iestatīts uz 0 jūsu vidē. Šis posms palīdz nodrošināt, ka klienti, kas iestata PacRequestorEnforcement uz 0, pāriet uz 1 iestatīšanu pirms ieviešanas posma.

Piezīme Šajā atjauninājumā tiek pieņemts, ka visi domēna kontrolleri tiek atjaunināti ar 2021. gada 9. novembra vai jaunāku Windows atjauninājumu.

2022. gada 11. oktobris: Ieviešanas posms - (Atjaunināts 31.01.23.)

2022. gada 11. oktobra laidiens pāries uz ieviešanas posmu visiem Active Directory domēna kontrolleriem. Ieviešanas posms noveco un vairs nelasa PacRequestorEnforcement atslēgu. Rezultātā Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra atjauninājumu, vairs nebūs saderīgi ar:

Domēnu kontrolleri, kas neinstalēja 2021. gada 9. novembra vai jaunāku versiju atjauninājumus.
Domēnu kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunāku versiju, bet vēl nav instalējuši 2022. gada 12. jūlija atjauninājumu un kuriem ir PacRequestorEnforcement reģistra vērtība 0.

Tomēr Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra atjauninājumu, paliks saderīgi ar:

Windows domēna kontrolleri, kas instalējuši 2022. gada 11. oktobra vai jaunāku versiju atjauninājumus
Loga domēnu kontrolleri, kas instalējuši 2021.^{gada 9.} novembrī vai jaunāku versiju un kuriem ir pacRequestorEnforcement vērtība vai 1 vai 2

Reģistra atslēgas informācija

Pēc CVE-2021-42287 aizsardzības instalēšanas Windows atjauninājumos, kas izlaisti no 2021. gada 9. novembra līdz 2022. gada 14. jūnijam, būs pieejama šāda reģistra atslēga:

Reģistra apakšatslēga	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Vērtība	PacRequestorEnforcement
Datu tips	REG_DWORD
Dati	1. Pievienojiet jaunu PAC lietotājiem, kuri autentificēja, izmantojot Active Directory domēna kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunākas versijas atjauninājumus. Autentificējot, ja lietotājam ir jaunā PAC, PAC tiek validēts. Ja lietotājam nav jaunā PAC, nekādas turpmākas darbības netiek jāveic. Active Directory domēna kontrolleri šajā režīmā ir izvietošanas posmā. 2. Pievienojiet jaunu PAC lietotājiem, kuri autentificēja, izmantojot Active Directory domēna kontrolleri, kas instalēja 2021. gada 9. novembra vai jaunākas versijas atjauninājumus. Autentificējot, ja lietotājam ir jaunā PAC, PAC tiek validēts. Ja lietotājam nav jaunā PAC, autentifikācija tiek liegta. Active Directory domēna kontrolleri šajā režīmā ir ieviešanas posmā. 0. Atspējo reģistra atslēgu. Nav ieteicams. Active Directory domēnu kontrolleri šajā režīmā ir atspējotā fāzē. Šī vērtība nepastāvēs pēc 2022. gada 12. jūlija vai jaunākas versijas atjauninājumiem. Svarīgi! Iestatījums 0 nav saderīgs ar 2. iestatījumu. Neregulāras kļūmes var rasties, ja mežā tiek izmantoti abi iestatījumi. Ja tiek izmantots iestatījums 0, ieteicams pāriet uz 0 (Atspējot) iestatīšanu 1 (Izvietošana) vismaz nedēļu pirms pārejat uz 2 iestatījumu (ieviešanas režīms).
Noklusējums	1 (ja reģistra atslēga nav iestatīta)
Vai nepieciešama restartēšana?	Nē

Notikumu auditēšana

Arī 2021. gada 9. novembra Windows atjauninājums pievienos jaunus notikumu žurnālus.

PAC bez atribūtiem

KDC atrod TGT bez PAC atribūtu bufera. Iespējams, ka cits KDC žurnālos nav iekļauts atjauninājums vai ir atspējošanas režīmā.

Notikumu žurnāls	Sistēma
Notikuma tips	Brīdinājums
Notikuma avots	Microsoft-Windows-Kerberos-key-Distribution-Center
Notikuma ID	35
Notikuma teksts	Key Distribution Center (KDC) radās biļešu piešķiršanas biļete (TGT) no citas KDC ("<KDC Name>"), kas nesatur PAC atribūtu lauku.

Biļete bez PAC

KDC atrod TGT vai citu pierādījumu biļeti bez PAC. Tādējādi KDC neļauj veikt drošības pārbaudes biļetē.

Notikumu žurnāls	Sistēma
Notikuma tips	Brīdinājums izvietošanas fāzē Kļūda ieviešanas fāzē
Notikuma avots	Microsoft-Windows-Kerberos-key-Distribution-Center
Notikuma ID	36
Notikuma teksts	Key Distribution Center (KDC) radās biļete, kas nesatur PAC, kamēr apstrādāja citas biļešu pieprasījumu. Tas liedza iespēju veikt drošības pārbaudes, kā arī var atvērt drošības ievainojamības. Klients: <domēna nosaukuma>\<lietotājvārda> Biļete: <pakalpojuma nosaukums>

Biļete bez pieprasītāja

KDC atrod TGT vai citu pierādījumu biļeti bez PAC pieprasītāja bufera. Visticamāk, KDC, kas veidojis PAC, nesatur atjauninājumu vai ir atspējotā režīmā.

Piezīme Svarīgu informāciju par notikumu 37 skatiet sadaļā Zināmās problēmas.

Notikumu žurnāls	Sistēma
Notikuma tips	Brīdinājums izvietošanas fāzē Kļūda ieviešanas fāzē
Notikuma avots	Microsoft-Windows-Kerberos-key-Distribution-Center
Notikuma ID	37
Notikuma teksts	Key Distribution Center (KDC) radās biļete, kurā nav informācijas par kontu, kas pieprasīja biļeti, apstrādājot citas biļešu pieprasījumu. Tas liedza iespēju veikt drošības pārbaudes, kā arī var atvērt drošības ievainojamības. Ticket PAC constructed by: <KDC Name> Klients: <domēna nosaukuma>\<klienta nosaukuma> Biļete: <pakalpojuma nosaukums>

Pieprasītāja neatbilstība

KDC atrod TGT vai citu pierādījumu biļeti, un konts, kas pieprasīja TGT vai pierādījumu biļeti, neatbilst kontam, uz kuru ir veidota pakalpojuma biļete.

Notikumu žurnāls	Sistēma
Notikuma tips	Kļūda
Notikuma avots	Microsoft-Windows-Kerberos-key-Distribution-Center
Notikuma ID	38
Notikuma teksts	Atslēgu adresātu centrā (KDC) radās biļete, kurā bija neatbilstīga informācija par kontu, kas pieprasīja biļeti. Tas var nozīmēt, ka konts ir pārdēvēts kopš biļetes izsaukšanas, kas, iespējams, ir daļa no mēģināts izmantot. Ticket PAC constructed by: <Kdc Name> Klients: <domēna nosaukuma>\<lietotājvārda> Biļete: <pakalpojuma nosaukums> Konta SID pieprasīšana no Active Directory: <SID> Konta SID pieprasīšana no biļetes: <SID>

Zināmās problēmas

Problēmas pazīme	Risinājums
Pēc Windows atjauninājumu instalēšanas, kas izlaisti 2021. gada 9. novembrī vai jaunāku versiju domēna kontrolleros (DC), daži klienti, iespējams, redzēs jauno audita notikuma ID 37, kas reģistrēts pēc noteikta paroles iestatījuma vai izmaiņu veikšanas, piemēram: Kļūmjpārlēces klastera CNO vai VCO atjaunināšana vai labošana Lietotāja paroles atiestatīšana no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles Jauna lietotāja izveide no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles Trešās puses, domēna ierīču paroles maiņa Ja pēc Windows atjauninājumu instalēšanas, kas nedēļu izlaisti 2021. gada 9. novembrī, neredzat Notikuma ID 37 un PacRequestorEnforcement ir "1" vai "2", jūsu vide netiek ietekmēta. Ja iestatāt PacRequestorEnforcement = 1, notikuma ID 37 tiek reģistrēts kā brīdinājums, bet paroles maiņas pieprasījumi ir veiksmīgi un neietekmēs lietotājus. Ja iestatīsiet PacRequestorEnforcement = 2, paroles maiņas pieprasījumi neizdosies un arī neizdosies veikt iepriekš norādītās darbības.	Šī problēma ir novērsta šādos atjauninājumos: Windows 11 — KB5011563 Windows Server 2022 — KB5011558 Windows 10, 20H2, Windows 10 21H1 un Windows 10 versija 21H2 — KB5011543 Windows 10 1809 un Windows Server 2019 — KB5011551 Windows 10, versija 1607 un Windows Server 2016 — KB5012596 Windows Server 2012 R2 — KB5012670 Windows Server 2012 — KB5012666 Windows Server 2008 R2 — KB5012649 Windows Server 2008 SP2 — KB5012632

Problēmas pazīme

Risinājums

Pēc Windows atjauninājumu instalēšanas, kas izlaisti 2021. gada 9. novembrī vai jaunāku versiju domēna kontrolleros (DC), daži klienti, iespējams, redzēs jauno audita notikuma ID 37, kas reģistrēts pēc noteikta paroles iestatījuma vai izmaiņu veikšanas, piemēram:

Kļūmjpārlēces klastera CNO vai VCO atjaunināšana vai labošana
Lietotāja paroles atiestatīšana no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles
Jauna lietotāja izveide no lietotāja Active Directory lietotāji un datori (dsa.msc) konsoles
Trešās puses, domēna ierīču paroles maiņa

Ja pēc Windows atjauninājumu instalēšanas, kas nedēļu izlaisti 2021. gada 9. novembrī, neredzat Notikuma ID 37 un PacRequestorEnforcement ir "1" vai "2", jūsu vide netiek ietekmēta.

Ja iestatāt PacRequestorEnforcement = 1, notikuma ID 37 tiek reģistrēts kā brīdinājums, bet paroles maiņas pieprasījumi ir veiksmīgi un neietekmēs lietotājus.

Ja iestatīsiet PacRequestorEnforcement = 2, paroles maiņas pieprasījumi neizdosies un arī neizdosies veikt iepriekš norādītās darbības.

Šī problēma ir novērsta šādos atjauninājumos:

Windows 11 — KB5011563
Windows Server 2022 — KB5011558
Windows 10, 20H2, Windows 10 21H1 un Windows 10 versija 21H2 — KB5011543
Windows 10 1809 un Windows Server 2019 — KB5011551
Windows 10, versija 1607 un Windows Server 2016 — KB5012596
Windows Server 2012 R2 — KB5012670
Windows Server 2012 — KB5012666
Windows Server 2008 R2 — KB5012649
Windows Server 2008 SP2 — KB5012632

Bieži uzdotie jautājumi

1. jautājums Kas notiek, ja man ir sajaucti Active Directory domēnu kontrolleri, kas ir atjaunināti un nav atjaunināti?

A1. Domēna kontrolleru sajaucība, kas tiek atjauninātas un netiek atjauninātas, taču kurām ir noklusējuma PacRequestorEnforcement reģistra atslēgas vērtība 1, ir saderīgas savā starpā. Tomēr Microsoft stingri iesaka, ka domēnu kontrolleri tiek atjaunināti un netiek atjaunināti vidē.

2. jautājums Kas notiek, ja man ir dažādu PacRequestorEnforcement vērtību dažādu Active Directory domēnu kontrolleru sajaucība?

A2. A mixture of domain controllers that have PacRequestorEnforcement values of 0 and 1 are compatible each with other. A mixture of domain controllers that have PacRequestorEnforcement values of 1 and 2 are compatible each other. Dažādu domēnu kontrolleru, kuru PacRequestorEnforcement vērtības ir 0 un 2, sajaucība nav saderīga savā starpā un var radīt neregulāras kļūmes. Lai iegūtu papildinformāciju, skatiet sadaļu Reģistra atslēgas informācija.