Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Atjaunināts

2023. gada 10. aprīlis: sadaļā "Atjauninājumu hronometrāža adresei CVE-2022-37967" ir atjaunināts "Trešais izvietošanas posms" no 2023. gada 11. aprīļa līdz 2023. gada 13. jūnijam.

Šajā rakstā

Kopsavilkums

2022. gada 8. novembrī Windows atjauninājumi novērš drošības apiešanu un privilēģiju ievainojamību pacēlumu, izmantojot privilege attribute certificate (PAC) parakstus. Šajā drošības atjauninājumā ir novērsta Kerberos ievainojamība, kur uzbrukums var digitāli mainīt PAC parakstus, paaugstināt viņu privilēģijas.

Lai palīdzētu aizsargāt savu vidi, instalējiet šo Windows atjauninājumu visās ierīcēs, tostarp Windows domēna kontrolleros. Pirms atjauninājuma pārslēgšanas uz ieviesto režīmu visi domēna kontrolleri jūsu domēnā ir jāatjaunina.

Lai uzzinātu vairāk par šo ievainojamību, skatiet CVE-2022-37967.

Rīcība

Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām veikt tālāk norādītās darbības.

  1. ATJAUNINIET savu Windows domēnu kontrollerus, izmantojot Windows atjauninājumu, kas izlaists 2022. gada 8. novembrī vai pēc tam.

  2. Pārvietojiet Windows domēna kontrollerus uz audita režīmu, izmantojot reģistra atslēgas iestatījumu sadaļu.

  3. AUDITa režīmā fiksēto notikumu PĀRRAUDZĪBA, lai aizsargātu savu vidi.

  4. ENABLEIeviešanas režīms, lai CVE-2022-37967 novērstu problēmas jūsu vidē.

Piezīme 2022. gada 8. novembrī izlaisto atjauninājumu instalēšanas 1. darbība NEadresēs uz drošības problēmām CVE-2022-37967 Windows ierīcēm pēc noklusējuma. Lai pilnībā mazinātu drošības problēmu visām ierīcēm, pārejiet uz audita režīmu (aprakstīts 2. darbībā), kam seko ieviestais režīms (aprakstīts 4. darbībā), cik drīz vien iespējams visās Windows domēna kontrolleros.

Svarīgi Sākot ar 2023. gada jūliju, ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm.  Tad nevarēsit atspējot atjauninājumu, bet varat pāriet atpakaļ uz audita režīma iestatījumu. 2023. gada oktobrī audita režīms tiks noņemts, kā norādīts sadaļā Atjauninājumu hronometrāža, lai novērstu Kerberos ievainojamību CVE-2022-37967 .

Atjauninājumu hronometrāža adresēm CVE-2022-37967

Atjauninājumi tiks izlaists fāzēs: sākotnējā posmā atjauninājumiem, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un ieviešanas fāze atjauninājumiem, kas izlaisti 2023. gada 13. jūnijā vai pēc tam.

Sākotnējais izvietošanas posms sākas ar 2022. gada 8. novembrī izlaistajiem atjauninājumiem un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei. Šis atjauninājums pievieno parakstus Kerberos PAC buferim, bet autentifikācijas laikā nepārbauda parakstus. Tādējādi drošais režīms ir atspējots pēc noklusējuma.

Šis atjauninājums:

  • Pievieno PAC parakstus Kerberos PAC buferim.

  • Pievieno pasākumus, lai novērstu drošības apiešanas ievainojamību Kerberos protokols.

Otrais izvietošanas posms sākas ar atjauninājumiem, kas izlaisti 2022. gada 13. decembrī. Šie un vēlākie atjauninājumi veic izmaiņas Kerberos protokols, lai auditētu Windows ierīces, pārvietojot Windows domēna kontrollerus uz audita režīmu.

Ar šo atjauninājumu visas ierīces pēc noklusējuma būs auditēšanas režīmā:

  • Ja paraksta trūkst vai tas nav derīgs, autentifikācija ir atļauta. Turklāt tiks izveidots audita žurnāls. 

  • Ja trūkst paraksta, paceliet notikumu un atļaujiet autentifikāciju.

  • Ja paraksts ir derīgs, validējiet to. Ja paraksts nav pareizs, paceliet notikumu un atļaujiet autentifikāciju.

Windows atjauninājumi, kas izlaisti 2023. gada 13. jūnijā vai pēc tam, darbosies šādi: 

  • Noņemiet iespēju atspējot PAC paraksta papildinājumu, iestatot apakšatslēgu KrbtgtFullPacSignature uz vērtību 0.

Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā vai pēc tam, darbosies šādi: 

  • Noņem iespēju apakšatslēgai KrbtgtFullPacSignature iestatīt vērtību1.

  • Pārvieto atjauninājumu uz ieviešanas režīmu (noklusējums) (KrbtgtFullPacSignature = 3), ko administrators var ignorēt ar tiešu audita iestatījumu.

Windows atjauninājumi, kas izlaisti 2023. gada 10. oktobrī vai pēc tam, darbosies šādi: 

  • Noņem atbalstu reģistra apakšatslēgai KrbtgtFullPacSignature.

  • Noņem atbalstu audita režīmam.

  • Visas pakalpojumu biļetes bez jaunajiem PAC parakstiem tiks liegta autentifikācija.

Izvietošanas vadlīnijas

Lai izvietotu Windows atjauninājumus, kas ir ar 2022. gada 8. novembra vai jaunāku Windows atjauninājumu, veiciet tālāk norādītās darbības.

  1. ATJAUNINIET savu Windows domēna kontrolleru ar atjauninājumu, kas izlaists 2022. gada 8. novembrī vai pēc tam.

  2. Pārvietojiet domēna kontrollerus uz audita režīmu, izmantojot reģistra atslēgas iestatījumu sadaļu.

  3. AUDITa režīmā ierakstītu notikumu PĀRRAUDZĪBA, lai palīdzētu aizsargāt savu vidi.

  4. ENABLE Ieviešanas režīms, lai CVE-2022-37967 novērstu problēmas jūsu vidē.

1. DARBĪBA. ATJAUNINĀŠANA 

Izvietojiet 2022. gada 8. novembra vai jaunākas versijas atjauninājumus visiem piemērojamiem Windows domēnu kontrolleriem (DC). Pēc atjauninājuma izvietošanas Windows domēna kontrolleriem, kas ir atjaunināti, būs paraksti, kas pievienoti Kerberos PAC buferim, un tie pēc noklusējuma būs nedroši (PAC paraksts nav validēts).

  • Veicot atjaunināšanu, nodrošiniet, lai reģistra vērtība KrbtgtFullPacSignature būtu noklusējuma stāvoklī, līdz tiek atjauninātas visas Windows domēna kontrolleri.

2. DARBĪBA. PĀRVIETOŠANA 

Kad Windows domēna kontrolleri ir atjaunināti, pārslēdzieties uz audita režīmu, mainot vērtību KrbtgtFullPacSignature uz 2.  

3. DARBĪBA. ATRAŠANA/PĀRRAUDZĪBA 

Norādiet apgabalus, kuros trūkst PAC parakstu vai kuriem ir PAC paraksti, kas neizdosies validēt, izmantojot notikumu žurnālus, kas aktivizēti audita režīmā.   

  • Pirms pārejat uz ieviešanas režīmu, pārliecinieties , vai domēna funkcionalitātes līmenis ir iestatīts uz vismaz 2008 vai lielāku. Pāreja uz ieviešanas režīmu ar domēniem 2003. gada domēna darbības līmenī var izraisīt autentifikācijas kļūmes.

  • Audita notikumi tiks parādīti, ja jūsu domēns nav pilnībā atjaunināts vai ja jūsu domēnā joprojām pastāv neapmaksātās iepriekš izdotās pakalpojumu biļetes.

  • Turpiniet pārraudzīt papildu notikumu žurnālus, kas norāda trūkstošus PAC parakstus vai esošo PAC parakstu validācijas kļūmes.

  • Pēc visa domēna atjaunināšanas un visu neapmaksāto biļešu derīguma beigām audita notikumiem vairs nevajadzētu parādīties. Pēc tam varat pāriet uz ieviešanas režīmu bez kļūmēm.

4. DARBĪBA. IESPĒJOŠANA 

Iespējojiet ieviešanas režīmu, lai jūsu vidē adresē CVE-2022-37967.

  • Kad visi audita notikumi ir atrisināti un vairs nav redzami, pārvietojiet savus domēnus uz ieviešanas režīmu, atjauninot reģistra vērtību KrbtgtFullPacSignature , kā aprakstīts sadaļā Reģistra atslēgas iestatījumi.

  • Ja pakalpojuma biļetei ir nederīgs PAC paraksts vai tajā trūkst PAC parakstu, validācija neizdosies un tiks reģistrēts kļūdas notikums.

Reģistra atslēgas iestatījumi

Kerberos protokols

Pēc Windows atjauninājumu instalēšanas, kas ir novecojuši 2022. gada 8. novembrī vai pēc tam, Kerberos protokolam ir pieejama šāda reģistra atslēga:

  • KrbtgtFullPacSignature

    Šī reģistra atslēga tiek izmantota, lai piekļūtu Kerberos izmaiņu izvietošanai. Šī reģistra atslēga ir pagaidu atslēga, un vairs netiks nolasīta pēc pilnas ieviešanas datuma (2023. gada 10. oktobris). 

    Reģistra atslēga

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Vērtība

    KrbtgtFullPacSignature

    Datu tips

    REG_DWORD

    Dati

    0 – atspējots  

    1 . Jauni paraksti tiek pievienoti, bet netiek verificēti. (Noklusējuma iestatījums)

    2 - Audita režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas nav derīgs, autentifikācija ir atļauta un tiek izveidoti audita žurnāli.

    3 . Ieviešanas režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas nav derīgs, autentifikācija tiek liegta un tiek izveidoti audita žurnāli.

    Vai nepieciešama restartēšana?

    Piezīme Ja vēlaties mainīt reģistra vērtību KrbtgtFullPacSignature, manuāli pievienojiet un pēc tam konfigurējiet reģistra atslēgu, lai ignorētu noklusējuma vērtību.

Windows notikumi, kas saistīti ar CVE-2022-37967

Audita režīmā, ja trūkst PAC parakstu vai tie nav derīgi, var tikt atrasta kāda no šīm kļūdām. Ja šī problēma turpina darboties ieviešanas režīmā, šie notikumi tiks reģistrēti kā kļūdas.

Ja atrodat kļūdas ziņojumu savā ierīcē, iespējams, visi jūsu domēna Windows domēna kontrolleri nebūs atjaunināti ar 2022. gada 8. novembri vai jaunāku Windows atjauninājumu. Lai mazinātu problēmas, ir vajadzēs izpētīt savu domēnu papildus Windows domēna kontrolleriem, kas nav atjauninātas.  

Piezīme Ja atrodat kļūdas ziņojumu ar notikuma ID 42, skatiet rakstu KB5021131: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37966.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

43

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās biļete, kuru nevarēja validēt
pilns PAC paraksts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2210019 skatiet rakstā Papildinformācija. Klients : </>/<nosaukuma>

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

Microsoft-Windows-Kerberos-key-Distribution-Center

Notikuma ID

44

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās biļete, kurā nav iekļauts pilns PAC paraksts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2210019 skatiet rakstā Papildinformācija. Klients : </>/<nosaukuma>

Trešo pušu ierīces, kas ievieš Kerberos protokolu

Domēni, kuriem ir trešās puses domēna kontrolleri, var redzēt kļūdas ieviešanas režīmā.

Pēc 2022. gada 8. novembra vai jaunākas Windows atjaunināšanas instalēšanas domēnu ar trešo pušu klientiem var būt nepieciešams ilgāks laiks, līdz pilnībā tiks notīrīti audita notikumi.

Sazinieties ar ierīces ražotāju (OEM) vai programmatūras piegādātāju, lai noteiktu, vai programmatūra ir saderīga ar jaunākajām izmaiņām protokolu.

Informāciju par protokola atjauninājumiem skatiet tēmā Windows protokols Microsoft tīmekļa vietnē.

Glosārijs

Kerberos ir datora tīkla autentifikācijas protokols, kura pamatā ir "biļetes", lai nodrošinātu mezgliem, kas sazinās tīklā, lai droši pierādītu savu identitāti.

Kerberos pakalpojums, kas ievieš autentifikācijas un biļešu piešķiršanas pakalpojumus, kas norādīti Kerberos protokols. Pakalpojumu darbojas datoros, kurus atlasījis uzņēmuma administrators vai domēns. tā nav katrā tīkla datorā. Tai jābūt piekļuvei konta datu bāzei, lai iegūtu informāciju par to, kas tiek apkalpota. KDC tiek integrēti domēna kontrollera lomā. Tas ir tīkla pakalpojums, kas nodrošina biļetes klientiem izmantošanai pakalpojumu autentificēšanā.

Privilege Attribute Certificate (PAC) ir struktūra, kas norāda ar autorizāciju saistītu informāciju, ko nodrošina domēna kontrolleri (Privilege Attribute Certificate — DC). Papildinformāciju skatiet rakstā Privilege Attribute Certificate Data Structure.

Īpaša veida biļete, ko var izmantot citu biļešu iegūšanai. Biļešu piešķiršanas biļete (TGT) tiek iegūta pēc sākotnējās autentifikācijas autentifikācijas pakalpojumu (AS) apmaiņas pakalpojumā. pēc tam lietotājiem nav jā prezentē akreditācijas dati, bet viņi var izmantot TGT, lai iegūtu turpmākās biļetes.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×