Endre logg
|
Endring 1: 5. april 2023: Flyttet «Håndhevelse som standard»-fasen i registernøkkelen fra 11. april 2023 til 13. juni 2023 i delen «Tidsberegning av oppdateringer for å adressere CVE-2022-38023». Endring 2: 20. april 2023: Fjernet unøyaktig referanse til gruppepolicyobjektet «Domenekontroller: Tillat sårbare Netlogon-sikre kanaltilkoblinger» i delen Innstillinger for registernøkkel. Endring 3: 19. juni 2023:
|
I denne artikkelen
Oppsummering
November 8, 2022 og senere Windows-oppdateringer adresserer svakheter i Netlogon-protokollen når RPC-signering brukes i stedet for RPC-forsegling. Du finner mer informasjon i CVE-2022-38023 .
Grensesnittet for ekstern prosedyrekall for Netlogon Remote Protocol (RPC) brukes hovedsakelig til å opprettholde relasjonen mellom en enhet og domenet , og relasjoner mellom domenekontrollere (DCer) og domener.
Denne oppdateringen beskytter Windows-enheter fra CVE-2022-38023 som standard. For tredjepartsklienter og tredjeparts domenekontrollere er oppdateringen i kompatibilitetsmodus som standard og tillater sårbare tilkoblinger fra slike klienter. Se avsnittet registernøkkelinnstillinger for trinn for å gå til håndhevelsesmodus.
Hvis du vil sikre miljøet, installerer du Windows-oppdateringen som er datert 8. november 2022 eller en senere Windows-oppdatering til alle enheter, inkludert domenekontrollere.
Viktig Fra og med juni 2023 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter. På dette tidspunktet vil du ikke kunne deaktivere oppdateringen, men kan gå tilbake til innstillingen for kompatibilitetsmodus. Kompatibilitetsmodus fjernes i juli 2023, som beskrevet i delen Tidsberegning av oppdateringer for å løse sikkerhetsproblemet i Netlogon CVE-2022-38023 .
Tidsberegning for oppdateringer for å adressere CVE-2022-38023
Oppdateringer vil bli utgitt i flere faser: den første fasen for oppdateringer utgitt på eller etter 8. november 2022 og håndhevelsesfasen for oppdateringer utgitt på eller etter 11. juli 2023.
Den første distribusjonsfasen starter med oppdateringene som ble utgitt 8. november 2022, og fortsetter med senere Windows-oppdateringer frem til håndhevelsesfasen. Windows-oppdateringer på eller etter 8. november 2022 løser sikkerhetsforbikoblingssårbarheten til CVE-2022-38023 ved å håndheve RPC-forsegling på alle Windows-klienter.
Enheter angis som standard i kompatibilitetsmodus. Windows-domenekontrollere krever at Netlogon-klienter bruker RPC-forsegling hvis de kjører Windows, eller hvis de fungerer som enten domenekontrollere eller som klareringskontoer.
Windows-oppdateringene som ble utgitt 11. april 2023, vil fjerne muligheten til å deaktivere RPC-forsegling ved å angi verdi 0 til requireseal-registerundernøkkelen .
Registerundernøkkelen RequireSeal flyttes til fremtvunget modus med mindre administratorer eksplisitt konfigureres til å være under kompatibilitetsmodus. Sårbare tilkoblinger fra alle klienter, inkludert tredjeparter, vil bli nektet godkjenning. Se Endre 1.
Windows-oppdateringene som ble utgitt 11. juli 2023, fjerner muligheten til å sette verdi 1 til requireseal-registerundernøkkelen . Dette muliggjør håndhevelsesfasen av CVE-2022-38023.
Innstillinger for registernøkkel
Etter at Windows-oppdateringene som er datert på eller etter 8. november 2022 er installert, er følgende registerundernøkkel tilgjengelig for Netlogon-protokollen på Windows-domenekontrollere.
VIKTIG Denne oppdateringen, i tillegg til fremtidige håndhevelsesendringer, legger ikke automatisk til eller fjerner registerundernøkkelen RequireSeal. Registerundernøkkelen må legges til manuelt for at den skal kunne leses. Se Endre 3.
RequireSeal-undernøkkel
|
Registernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Verdi |
RequireSeal |
|
Datatype |
REG_DWORD |
|
Data |
0 – Deaktivert 1 – Kompatibilitetsmodus. Windows-domenekontrollere krever at Netlogon-klienter bruker RPC Seal hvis de kjører Windows, eller hvis de fungerer som enten domenekontrollere eller Trust-kontoer. 2 – Håndhevelsesmodus. Alle klienter er pålagt å bruke RPC Seal. Se Endring 2. |
|
Kreves omstart? |
Nei |
Windows-hendelser relatert til CVE-2022-38023
MERK Følgende hendelser har en buffer på én time der dupliserte hendelser som inneholder samme informasjon, forkastes under denne bufferen.
|
Hendelseslogg |
System |
|
Hendelsestype |
Feil |
|
Hendelseskilde |
NETLOGON |
|
Hendelses-ID |
5838 |
|
Hendelsestekst |
Netlogon-tjenesten støtte på en klient ved hjelp av RPC-signering i stedet for RPC-forsegling. |
Hvis du finner denne feilmeldingen i hendelsesloggene, må du utføre følgende handlinger for å løse systemfeilen:
-
Bekreft at enheten kjører en støttet versjon av Windows.
-
Kontroller at alle enheter er oppdaterte.
-
Kontroller at domenemedlemmet: Domenemedlem krypterer digitalt eller signerer sikre kanaldata (alltid) er satt til Aktivert .
|
Hendelseslogg |
System |
|
Hendelsestype |
Feil |
|
Hendelseskilde |
NETLOGON |
|
Hendelses-ID |
5839 |
|
Hendelsestekst |
Netlogon-tjenesten oppdaget en klarering ved hjelp av RPC-signering i stedet for RPC-forsegling. |
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
NETLOGON |
|
Hendelses-ID |
5840 |
|
Hendelsestekst |
Netlogon-tjenesten opprettet en sikker kanal med en klient med RC4. |
Hvis du finner Hendelse 5840, er dette et tegn på at en klient i domenet bruker svak kryptografi.
|
Hendelseslogg |
System |
|
Hendelsestype |
Feil |
|
Hendelseskilde |
NETLOGON |
|
Hendelses-ID |
5841 |
|
Hendelsestekst |
Netlogon-tjenesten nektet en klient å bruke RC4 på grunn av innstillingen RejectMd5Clients. |
Hvis du finner hendelse 5841, er dette et tegn på at RejectMD5Clients-verdien er satt til SANN .
RejectMD5Clients-nøkkelen er en eksisterende nøkkel i Netlogon-tjenesten. Hvis du vil ha mer informasjon, kan du se rejectMD5Clients-beskrivelsen av den abstrakte datamodellen.
Vanlige spørsmål
Alle domenetilføyde maskinkontoer påvirkes av denne CVE-en. Hendelser viser hvem som påvirkes mest av dette problemet etter at Windows-oppdateringene er installert 8. november 2022 eller senere. Se gjennom feildelen for hendelsesloggen for å løse problemene.
Denne oppdateringen introduserer hendelseslogger for klienter som bruker RC4 for å oppdage eldre klienter som ikke bruker den sterkeste tilgjengelige krypteringen.
RPC-signering er når Netlogon-protokollen bruker RPC til å signere meldingene den sender over ledningen. RPC-forsegling er når Netlogon-protokollen både signerer og krypterer meldingene den sender over ledningen.
Windows Domain Controller bestemmer om en Netlogon-klient kjører Windows ved å spørre OperatingSystem-attributtet i Active Directory for Netlogon-klienten og se etter følgende strenger:
-
«Windows», «Hyper-V Server» og «Azure Stack HCI»
Vi anbefaler ikke eller støtter ikke at dette attributtet endres av Netlogon-klienter eller domeneadministratorer til en verdi som ikke er representativ for operativsystemet (OS) som Netlogon-klienten kjører. Du bør være oppmerksom på at vi kan endre søkekriteriene når som helst. Se Endre 3.
Håndhevelsesfasen avviser ikke Netlogon-klienter basert på krypteringstypen klientene bruker. Det vil bare avvise Netlogon-klienter hvis de gjør RPC-signering i stedet for RPC Sealing. Avvisning av RC4 Netlogon-klienter er basert på "RejectMd5Clients"-registernøkkelen som er tilgjengelig for Windows Server 2008 R2 og senere Windows Domain Controllers. Håndhevelsesfasen for denne oppdateringen endrer ikke rejectMd5Clients-verdien. Vi anbefaler at kunder aktiverer «RejectMd5Clients»-verdien for høyere sikkerhet i domenene sine. Se Endre 3.
Ordliste
Advanced Encryption Standard (AES) er en blokksitør som erstatter Data Encryption Standard (DES). AES kan brukes til å beskytte elektroniske data. AES-algoritmen kan brukes til å kryptere (encipher) og dekryptere (dechiffrere) informasjon. Kryptering konverterer data til et uforståelig skjema kalt ciphertext. Dekryptering av chiffrering konverterer dataene tilbake til sin opprinnelige form, kalt ren tekst. AES brukes i kryptografi med symmetrisk nøkkel, noe som betyr at den samme nøkkelen brukes for krypterings- og dekrypteringsoperasjonene. Det er også en blokksitaffer, noe som betyr at den opererer på blokker med fast størrelse av ren tekst og chiffrering, og krever at størrelsen på ren tekst samt chifferteksten er et nøyaktig multiplum av denne blokkstørrelsen. AES er også kjent som Rijndael symmetrisk krypteringsalgoritme [FIPS197] .
I et Windows NT operativsystemkompatibelt nettverkssikkerhetsmiljø, komponenten som er ansvarlig for synkroniserings- og vedlikeholdsfunksjoner mellom en primær domenekontroller (PDC) og kontrollører for sikkerhetskopiering av domener (BDC). Netlogon er en forløper til DRS-protokollen (Directory Replication Server). Grensesnittet for ekstern prosedyrekall for Netlogon Remote Protocol (RPC) brukes hovedsakelig til å opprettholde relasjonen mellom en enhet og domenet , og relasjoner mellom domenekontrollere (DCer) og domener. Hvis du vil ha mer informasjon, kan du se Netlogon Remote Protocol.
RC4-HMAC (RC4) er en variabel symmetrisk krypteringsalgoritme med nøkkellengde. Hvis du vil ha mer informasjon, kan du se [SCHNEIER] del 17.1.
En godkjent ekstern prosedyrekalltilkobling (RPC) mellom to maskiner i et domene med en etablert sikkerhetskontekst som brukes til å signere og kryptere RPC-pakker .
