KB5008380 – godkjenningsoppdateringer (CVE-2021-42287)

Oppsummering

CVE-2021-42287 tar for seg et sikkerhetsproblem som kan omgå sikkerhetsproblemer som påvirker Kerberos Privilege Attribute Certificate (PAC), og gjør det mulig for potensielle angripere å representere domenekontrollere. Hvis du vil utnytte dette sikkerhetsproblemet, kan en kompromittert domenekonto føre til at KDC (Key Distribution Center) oppretter en tjenestebillett med høyere tilgangsnivå enn den kompromitterte kontoen. Den oppnår dette ved å hindre KDC i å identifisere hvilken konto tjenestebilletten med høyere rettigheter er for.

Den forbedrede godkjenningsprosessen i CVE-2021-42287 legger til ny informasjon om den opprinnelige anmoderen i PACene til Kerberos Ticket-Granting Tickets (TGT). Senere, når en Kerberos-tjenestebillett genereres for en konto, vil den nye godkjenningsprosessen bekrefte at kontoen som ba om TGT, er den samme kontoen som det refereres til i tjenestebilletten.

Etter å ha installert Windows-oppdateringer datert 9. november 2021 eller nyere, legges PACer til i TGT for alle domenekontoer, selv de som tidligere valgte å avslå PACer.

Utfør handling

Følg disse trinnene for å beskytte miljøet og unngå avbrudd:

Oppdater alle enheter som er vert for active directory-domenekontrollerrollen, ved å installere sikkerhetsoppdateringen 9. november 2021 og oppdateringen for ikke-bånd (OOB) 14. november 2021. Finn OOB KB-nummeret for det bestemte operativsystemet nedenfor.

OS	KB-nummer
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Når du har installert sikkerhetsoppdateringen 9. november 2021 og OOB-oppdateringen for november 14, 2021 på alle Active Directory-domenekontrollere i minst sju dager, anbefaler vi på det sterkeste at du aktiverer håndhevelsesmodus på alle Active Directory-domenekontrollere.
Fra og med den (oppdaterte) oppdateringen for håndhevelsesfasen 11. oktober 2022 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og kreves.

Tidsberegning for Windows-oppdateringer – (oppdatert 31.01.23)

Disse Windows Oppdateringer lanseres i tre faser:

Første distribusjon – innføring av oppdateringen, samt PacRequestorEnforcement-registernøkkelen
Andre distribusjon – fjerning av PacRequestorEnforcement-verdien på 0 (muligheten til å deaktivere registernøkkelen)
Håndhevelsesfase – Håndhevelsesmodus er aktivert. Denne fasen avskriver PacRequestorEnforcement-nøkkelen og leser den ikke lenger

9. november 2021: Første distribusjonsfase

Den første distribusjonsfasen starter med Windows-oppdateringen utgitt 9. november 2021. Denne utgivelsen:

Legger til beskyttelse mot CVE-2021-42287
Legger til støtte for registerverdien PacRequestorEnforcement , som gjør det mulig å gå over til håndhevelsesfasen tidlig

Begrensning består av installasjonen av Windows-oppdateringer på alle enheter som er vert for domenekontrollerrollen og skrivebeskyttede domenekontrollere (RODCer).

12. juli 2022: Andre distribusjonsfase

Den andre distribusjonsfasen starter med Windows-oppdateringen utgitt 12. juli 2022. Denne fasen fjerner PacRequestorEnforcement-innstillingen på 0. Hvis du angir PacRequestorEnforcement til 0 etter at denne oppdateringen er installert, vil det ha samme effekt som å angi PacRequestorEnforcement til 1. Domenekontrollerne (DC-er) vil være i distribusjonsmodus.

Merk Denne fasen er ikke nødvendig hvis PacRequestorEnforcement aldri ble satt til 0 i miljøet ditt. Denne fasen bidrar til å sikre at kunder som angir PacRequestorEnforcement til 0, flytter til innstillingen 1 før håndhevelsesfasen.

Obs! Denne oppdateringen forutsetter at alle domenekontrollere oppdateres med Windows-oppdateringen 9. november 2021 eller nyere.

11. oktober 2022: Håndhevelsesfase - (oppdatert 31.01.23)

11. oktober 2022-utgivelsen overfører alle Active Directory-domenekontrollere til håndhevelsesfasen. Håndhevelsesfasen avskriver PacRequestorEnforcement-nøkkelen og leser den ikke lenger. Som et resultat vil windows-domenekontrollere som har installert oppdateringen 11. oktober 2022, ikke lenger være kompatible med:

Domenekontrollere som ikke installerte oppdateringene 9. november 2021 eller senere.
Domenekontrollere som installerte oppdateringene 9. november 2021 eller nyere, men som ennå ikke har installert oppdateringen 12. juli 2022 og som har en PacRequestorEnforcement-registerverdi på 0.

Windows-domenekontrollere som har installert oppdateringen 11. oktober 2022, forblir imidlertid kompatible med:

Windows-domenekontrollere som har installert oppdateringene 11. oktober 2022 eller nyere
Vindusdomenekontrollere som har installert oppdateringene^9. november 2021 eller nyere og har en PacRequestorEnforcement-verdi eller enten 1 eller 2

Informasjon om registernøkkel

Når du har installert CVE-2021-42287-beskyttelser i Windows-oppdateringer utgitt mellom 9. november 2021 og 14. juni 2022, vil følgende registernøkkel være tilgjengelig:

Registerundernøkkel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Verdi	PacRequestorEnforcement
Datatype	REG_DWORD
Data	1: Legg til den nye PAC-en til brukere som godkjente ved hjelp av en Active Directory-domenekontroller som har oppdateringene 9. november 2021 eller senere installert. Ved godkjenning, hvis brukeren har den nye PAC-en, valideres PAC-en. Hvis brukeren ikke har den nye PAC-en, utføres ingen ytterligere tiltak. Active Directory-domenekontrollere i denne modusen er i distribusjonsfasen. 2: Legg til den nye PAC-en til brukere som godkjente ved hjelp av en Active Directory-domenekontroller som har oppdateringene 9. november 2021 eller senere installert. Ved godkjenning, hvis brukeren har den nye PAC-en, valideres PAC-en. Hvis brukeren ikke har den nye PAC-en, nektes godkjenningen. Active Directory-domenekontrollere i denne modusen er i håndhevelsesfasen. 0: Deaktiverer registernøkkelen. Anbefales ikke. Active Directory-domenekontrollere i denne modusen er i deaktivert fase. Denne verdien finnes ikke etter oppdateringene 12. juli 2022 eller senere. Viktig Innstillingen 0 er ikke kompatibel med innstilling 2. Uregelmessige feil kan oppstå hvis begge innstillingene brukes i en skog. Hvis innstillingen 0 brukes, anbefaler vi at du overfører innstillingen 0 (Deaktiver) til å angi 1 (distribusjon) i minst en uke før du går over til å angi 2 (håndhevelsesmodus).
Standard	1 (når registernøkkelen ikke er angitt)
Kreves en omstart?	Nei

Overvåkingshendelser

Windows-oppdateringen 9. november 2021 legger også til nye hendelseslogger.

PAC uten attributter

KDC-en støter på en TGT uten PAC-attributtbufferen. Det er sannsynlig at den andre KDC-en i loggene ikke inneholder oppdateringen eller er i deaktivert modus.

Hendelseslogg	System
Hendelsestype	Advarsel
Hendelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hendelses-ID	35
Hendelsestekst	Key Distribution Center (KDC) fant en billetttildelingsbillett (TGT) fra en annen KDC («<KDC-navn>») som ikke inneholdt et PAC-attributtfelt.

Billett uten pac

KDC møter en TGT eller andre bevis billett uten en PAC. Dette hindrer KDC fra å håndheve sikkerhetskontroller på billetten.

Hendelseslogg	System
Hendelsestype	Advarsel under distribusjonsfasen Feil under håndhevelsesfase
Hendelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hendelses-ID	36
Hendelsestekst	KDC (Key Distribution Center) fant en billett som ikke inneholdt en PAC under behandling av en forespørsel om en annen billett. Dette hindret sikkerhetskontroller i å kjøre og kunne åpne sikkerhetsproblemer. Klient: <domenenavn>\<brukernavn> Billett til: <tjenestenavn>

Billett uten anmoder

KDC støter på en TGT- eller annen bevisforespørsel uten PAC Requestor-bufferen. Det er sannsynlig at KDC som konstruerte PAC ikke inneholder oppdateringen eller er i deaktivert modus.

Merk Se delen Kjente problemer hvis du vil ha viktig informasjon om hendelse 37.

Hendelseslogg	System
Hendelsestype	Advarsel under distribusjonsfasen Feil under håndhevelsesfase
Hendelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hendelses-ID	37
Hendelsestekst	KDC (Key Distribution Center) fant en billett som ikke inneholdt informasjon om kontoen som ba om billetten under behandling av en forespørsel om en annen billett. Dette hindret sikkerhetskontroller i å kjøre og kunne åpne sikkerhetsproblemer. Billett-PAC konstruert av: <KDC-navn> Klient: <domenenavn>\<klientnavn> Billett til: <tjenestenavn>

Anmoderen samsvarer ikke

KDC møter en TGT eller annen bevisbillett, og kontoen som ba om TGT eller bevisbilletten, samsvarer ikke med kontoen som tjenestebilletten er bygget for.

Hendelseslogg	System
Hendelsestype	Feil
Hendelseskilde	Microsoft-Windows-Kerberos-Key-Distribution-Center
Hendelses-ID	38
Hendelsestekst	KDC (Key Distribution Center) fant en billett som inneholdt inkonsekvent informasjon om kontoen som ba om billetten. Dette kan bety at kontoen har fått nytt navn siden billetten ble utstedt, noe som kan ha vært en del av et forsøk på å utnytte. Ticket PAC konstruert av: <Kdc Name> Klient: <domenenavn>\<brukernavn> Billett til: <tjenestenavn> Ber om konto-SID fra Active Directory: <SID-> Ber om konto-SID fra billett: <SID->

Kjente problemer

Symptom	Løsning
Når du har installert Windows-oppdateringer utgitt 9. november 2021 eller nyere på domenekontrollere, kan det hende at noen kunder ser den nye overvåkingshendelses-ID-en 37 logget etter bestemte passordinnstillinger eller endringsoperasjoner, for eksempel: Oppdater eller reparer failover-klyngens CNO eller VCO Tilbakestille passordet til en bruker fra Active Directory-brukere og -datamaskiner -konsollen (dsa.msc) Opprett en ny bruker fra Active Directory-brukere og -datamaskiner -konsollen (dsa.msc) Endre passord for tredjeparts, domenetilknyttede enheter Hvis du ikke ser hendelses-ID 37 etter å ha installert Windows-oppdateringer utgitt 9. november 2021 eller senere på en uke, og PacRequestorEnforcement enten er «1» eller «2», påvirkes ikke miljøet ditt. Hvis du angir PacRequestorEnforcement = 1, logges hendelses-ID 37 som en advarsel, men forespørsler om passordendring vil lykkes og vil ikke påvirke brukere. Hvis du angir PacRequestorEnforcement = 2, vil forespørsler om passordendring mislykkes og vil føre til at operasjonene som er oppført ovenfor, også mislykkes.	Dette problemet er løst i følgende oppdateringer: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, versjon 20H2, Windows 10 versjon 21H1 og Windows 10, versjon 21H2 - KB5011543 Windows 10, versjon 1809 og Windows Server 2019 – KB5011551 Windows 10, versjon 1607 og Windows Server 2016 – KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Symptom

Løsning

Når du har installert Windows-oppdateringer utgitt 9. november 2021 eller nyere på domenekontrollere, kan det hende at noen kunder ser den nye overvåkingshendelses-ID-en 37 logget etter bestemte passordinnstillinger eller endringsoperasjoner, for eksempel:

Oppdater eller reparer failover-klyngens CNO eller VCO
Tilbakestille passordet til en bruker fra Active Directory-brukere og -datamaskiner -konsollen (dsa.msc)
Opprett en ny bruker fra Active Directory-brukere og -datamaskiner -konsollen (dsa.msc)
Endre passord for tredjeparts, domenetilknyttede enheter

Hvis du ikke ser hendelses-ID 37 etter å ha installert Windows-oppdateringer utgitt 9. november 2021 eller senere på en uke, og PacRequestorEnforcement enten er «1» eller «2», påvirkes ikke miljøet ditt.

Hvis du angir PacRequestorEnforcement = 1, logges hendelses-ID 37 som en advarsel, men forespørsler om passordendring vil lykkes og vil ikke påvirke brukere.

Hvis du angir PacRequestorEnforcement = 2, vil forespørsler om passordendring mislykkes og vil føre til at operasjonene som er oppført ovenfor, også mislykkes.

Dette problemet er løst i følgende oppdateringer:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, versjon 20H2, Windows 10 versjon 21H1 og Windows 10, versjon 21H2 - KB5011543
Windows 10, versjon 1809 og Windows Server 2019 – KB5011551
Windows 10, versjon 1607 og Windows Server 2016 – KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Vanlige spørsmål

Q1 Hva skjer hvis jeg har en blanding av Active Directory-domenekontrollere som oppdateres og ikke oppdateres?

A1. En blanding av domenekontrollere som oppdateres og ikke oppdateres, men som har standard registernøkkelverdi for PacRequestorEnforcement på 1, er kompatible med hverandre. Microsoft anbefaler imidlertid på det sterkeste å ha domenekontrollere som oppdateres og ikke oppdateres i et miljø.

Q2 Hva skjer hvis jeg har en blanding av Active Directory-domenekontrollere som har ulike PacRequestorEnforcement-verdier?

A2. En blanding av domenekontrollere som har PacRequestorEnforcement-verdier på 0 og 1, er kompatible med hverandre. En blanding av domenekontrollere som har PacRequestorEnforcement-verdier på 1 og 2, er kompatible med hverandre. En blanding av domenekontrollere som har PacRequestorEnforcement-verdier på 0 og 2, er ikke kompatible med hverandre og kan forårsake uregelmessige feil. Se avsnittet om registernøkkelinformasjon for mer informasjon.