BIJGEWERKT dinsdag 14 maart 2023
Samenvatting
CVE-2021-42287 lost een beveiligingsprobleem op dat van invloed is op het Kerberos Privilege Attribute Certificate (PAC) en waarmee potentiële aanvallers domeincontrollers kunnen imiteren. Als u misbruik wilt maken van dit beveiligingsprobleem, kan een gecompromitteerd domeinaccount ervoor zorgen dat het Key Distribution Center (KDC) een serviceticket maakt met een hoger bevoegdheidsniveau dan dat van het gecompromitteerde account. Dit wordt bereikt door te voorkomen dat de KDC kan identificeren voor welk account het serviceticket met een hogere bevoegdheid is bestemd.
Het verbeterde verificatieproces in CVE-2021-42287 voegt nieuwe informatie over de oorspronkelijke aanvrager toe aan de PACs van Kerberos Ticket-Granting Tickets (TGT). Wanneer later een Kerberos-serviceticket wordt gegenereerd voor een account, controleert het nieuwe verificatieproces of het account dat de TGT heeft aangevraagd, hetzelfde account is waarnaar wordt verwezen in het serviceticket.
Na de installatie van Windows-updates van 9 november 2021 of hoger worden PACs toegevoegd aan de TGT van alle domeinaccounts, zelfs de accounts die eerder ervoor hebben gekozen om PC's te weigeren.
Actie ondernemen
Voer de volgende stappen uit om uw omgeving te beschermen en storingen te voorkomen:
-
Werk alle apparaten bij die als host fungeren voor de Active Directory-domeincontrollerrol door de beveiligingsupdate van 9 november 2021 en de OOB-update (Out-of-Band) van 14 november 2021 te installeren. Hieronder vindt u het OOB KB-nummer voor uw specifieke besturingssysteem.
Besturingssysteem
KB-nummer
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
Na de installatie van de beveiligingsupdate van 9 november 2021 en de OOB-update van 14 november 2021 op alle Active Directory-domeincontrollers gedurende ten minste 7 dagen, raden we u ten zeerst aan de afdwingingsmodus in te schakelen op alle Active Directory-domeincontrollers.
-
Vanaf de (bijgewerkte) update van de afdwingingsfase van 11 oktober 2022 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en is deze modus vereist.
Timing van Windows-updates - (Bijgewerkt op 31-1-23)
Deze Windows Updates worden in drie fasen uitgebracht:
-
Initiële implementatie: introductie van de update, evenals de registersleutel PacRequestorEnforcement
-
Tweede implementatie: verwijdering van PacRequestorEnforcement-waarde van 0 (mogelijkheid om de registersleutel uit te schakelen)
-
Afdwingingsfase: de afdwingingsmodus is ingeschakeld. In deze fase wordt de PacRequestorEnforcement-sleutel afgeschaft en wordt deze niet meer gelezen
9 november 2021: Eerste implementatiefase
De eerste implementatiefase begint met de Windows-update die is uitgebracht op 9 november 2021. Deze release:
-
Beveiliging tegen CVE-2021-42287 toegevoegd
-
Er wordt ondersteuning toegevoegd voor de registerwaarde PacRequestorEnforcement , waarmee u vroegtijdig kunt overstappen op de afdwingingsfase
Beperking bestaat uit de installatie van Windows-updates op alle apparaten die als host fungeren voor de domeincontrollerrol en alleen-lezen domeincontrollers (RODC's).
12 juli 2022: Tweede implementatiefase
De tweede implementatiefase begint met de Windows-update die is uitgebracht op 12 juli 2022. In deze fase wordt de PacRequestorEnforcement-instelling van 0 verwijderd. Het instellen van PacRequestorEnforcement op 0 nadat deze update is geïnstalleerd, heeft hetzelfde effect als het instellen van PacRequestorEnforcement op 1. De domeincontrollers (DC's) bevinden zich in de implementatiemodus.
Opmerking Deze fase is niet nodig als PacRequestorEnforcement nooit is ingesteld op 0 in uw omgeving. Deze fase helpt ervoor te zorgen dat klanten die PacRequestorEnforcement instellen op 0, naar instelling 1 gaan vóór de afdwingingsfase.
Opmerking Bij deze update wordt ervan uitgegaan dat alle domeincontrollers zijn bijgewerkt met de Windows-update van 9 november 2021 of hoger.
11 oktober 2022: Afdwingingsfase - (Bijgewerkt 31-1-23)
Met de release van 11 oktober 2022 worden alle Active Directory-domeincontrollers overgezet naar de afdwingingsfase. In de fase Afdwingen wordt de pacrequestorEnforcement-sleutel afgeschaft en niet meer gelezen. Als gevolg hiervan zijn Windows-domeincontrollers waarop de update van 11 oktober 2022 is geïnstalleerd, niet langer compatibel met:
-
Domeincontrollers waarop de updates van 9 november 2021 of hoger niet zijn geïnstalleerd.
-
Domeincontrollers waarop de updates van 9 november 2021 of hoger zijn geïnstalleerd, maar die de update van 12 juli 2022 nog niet hebben geïnstalleerd en die de registerwaarde PacRequestorEnforcement van 0 hebben.
Windows-domeincontrollers die de update van 11 oktober 2022 hebben geïnstalleerd, blijven echter compatibel met:
-
Windows-domeincontrollers waarop de updates van 11 oktober 2022 of hoger zijn geïnstalleerd
-
Vensterdomeincontrollers die de updatesvan 9 november 2021 of hoger hebben geïnstalleerd en een PacRequestorEnforcement-waarde hebben of 1 of 2
Registersleutelgegevens
Na installatie van CVE-2021-42287-beveiliging in Windows-updates die zijn uitgebracht tussen 9 november 2021 en 14 juni 2022, is de volgende registersleutel beschikbaar:
Registersubsleutel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Waarde |
PacRequestorEnforcement |
Gegevenstype |
REG_DWORD |
Gegevens |
1: Voeg de nieuwe PAC toe aan gebruikers die zijn geverifieerd met behulp van een Active Directory-domeincontroller waarop de updates van 9 november 2021 of hoger zijn geïnstalleerd. Als de gebruiker tijdens de verificatie de nieuwe PAC heeft, wordt de PAC gevalideerd. Als de gebruiker het nieuwe PAC niet heeft, wordt er geen verdere actie ondernomen. Active Directory-domeincontrollers in deze modus bevinden zich in de implementatiefase. 2: Voeg de nieuwe PAC toe aan gebruikers die zijn geverifieerd met behulp van een Active Directory-domeincontroller waarop de updates van 9 november 2021 of hoger zijn geïnstalleerd. Als de gebruiker tijdens de verificatie de nieuwe PAC heeft, wordt de PAC gevalideerd. Als de gebruiker het nieuwe PAC niet heeft, wordt de verificatie geweigerd. Active Directory-domeincontrollers in deze modus bevinden zich in de afdwingingsfase. 0: hiermee schakelt u de registersleutel uit. Niet aanbevolen. Active Directory-domeincontrollers in deze modus bevinden zich in de fase Uitgeschakeld. Deze waarde bestaat niet na de updates van 12 juli 2022 of hoger. Belangrijk Instelling 0 is niet compatibel met instelling 2. Er kunnen onregelmatige fouten optreden als beide instellingen binnen een forest worden gebruikt. Als instelling 0 wordt gebruikt, raden we u aan om instelling 0 (Uitschakelen) ten minste een week over te zetten naar instelling 1 (Implementatie) voordat u overgaat naar instelling 2 (Afdwingingsmodus). |
Standaard |
1 (wanneer de registersleutel niet is ingesteld) |
Is opnieuw opstarten vereist? |
Nee |
Controle-gebeurtenissen
De Windows-update van 9 november 2021 voegt ook nieuwe gebeurtenislogboeken toe.
PAC zonder kenmerken
De KDC ondervindt een TGT zonder de PAC-kenmerkbuffer. Het is waarschijnlijk dat de andere KDC in de logboeken de update niet bevat of zich in de modus Uitgeschakeld bevindt.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Waarschuwing |
Bron van gebeurtenis |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Gebeurtenis-id |
35 |
Gebeurtenistekst |
In het Sleuteldistributiecentrum (KDC) is een TGT (ticket-granting-ticket) aangetroffen van een andere KDC ('<KDC-naam>') die geen pac-kenmerkveld bevat. |
Ticket zonder PAC
De KDC ondervindt een TGT of ander bewijsbewijs zonder PAC. Dit voorkomt dat de KDC beveiligingscontroles afdwingt op het ticket.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Waarschuwing tijdens de implementatiefase Fout tijdens afdwingingsfase |
Bron van gebeurtenis |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Gebeurtenis-id |
36 |
Gebeurtenistekst |
In het Key Distribution Center (KDC) is een ticket aangetroffen dat geen PAC bevat tijdens het verwerken van een aanvraag voor een ander ticket. Hierdoor kunnen beveiligingscontroles niet worden uitgevoerd en kunnen beveiligingsproblemen worden geopend. Client: <domain name>\<gebruikersnaam> Ticket voor: <servicenaam> |
Ticket zonder aanvrager
De KDC ondervindt een TGT of een ander bewijsticket zonder de PAC Requestor-buffer. Het is waarschijnlijk dat de KDC die de PAC heeft samengesteld de update niet bevat of zich in de modus Uitgeschakeld bevindt.
Opmerking Zie de sectie Bekende problemen voor belangrijke informatie over gebeurtenis 37.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Waarschuwing tijdens de implementatiefase Fout tijdens afdwingingsfase |
Bron van gebeurtenis |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Gebeurtenis-id |
37 |
Gebeurtenistekst |
In het Key Distribution Center (KDC) is een ticket aangetroffen dat geen informatie bevat over het account dat het ticket heeft aangevraagd tijdens het verwerken van een aanvraag voor een ander ticket. Hierdoor kunnen beveiligingscontroles niet worden uitgevoerd en kunnen beveiligingsproblemen worden geopend. Ticket PAC samengesteld door: <KDC-naam> Client: <domeinnaam>\<clientnaam> Ticket voor: <servicenaam> |
Aanvrager komt niet overeen
De KDC ondervindt een TGT- of ander bewijsticket en het account dat het TGT- of bewijsticket heeft aangevraagd, komt niet overeen met het account waarvoor het serviceticket is gemaakt.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Fout |
Bron van gebeurtenis |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Gebeurtenis-id |
38 |
Gebeurtenistekst |
In het Key Distribution Center (KDC) is een ticket aangetroffen dat inconsistente informatie bevat over het account dat het ticket heeft aangevraagd. Dit kan betekenen dat de naam van het account is gewijzigd sinds het ticket is uitgegeven, wat mogelijk deel uitmaakte van een poging tot misbruik. Ticket PAC samengesteld door: <Kdc-naam> Client: <domain name>\<gebruikersnaam> Ticket voor: <servicenaam> Account-SID aanvragen bij Active Directory: <SID-> Account-SID aanvragen bij ticket: <SID-> |
Bekende problemen
Symptoom |
Tijdelijke oplossing |
---|---|
Na de installatie van Windows-updates die zijn uitgebracht op 9 november 2021 of hoger op domeincontrollers (DC's), zien sommige klanten mogelijk de nieuwe controlegebeurtenis-id 37 geregistreerd na bepaalde wachtwoordinstellingen of wijzigingsbewerkingen, zoals:
Als gebeurtenis-id 37 een week niet wordt weergegeven nadat u Windows-updates hebt geïnstalleerd die zijn uitgebracht op 9 november 2021 of later, en PacRequestorEnforcement '1' of '2' is, wordt uw omgeving niet beïnvloed. Als u PacRequestorEnforcement = 1 instelt, wordt gebeurtenis-id 37 geregistreerd als een waarschuwing, maar wachtwoordwijzigingsaanvragen slagen en zijn ze niet van invloed op gebruikers. Als u PacRequestorEnforcement = 2 instelt, mislukken aanvragen voor wachtwoordwijziging en mislukken de hierboven vermelde bewerkingen ook. |
Dit probleem is opgelost in de volgende updates:
|
Veelgestelde vragen
Q1 Wat gebeurt er als ik een combinatie van Active Directory-domeincontrollers heb die wel en niet zijn bijgewerkt?
A1. Een combinatie van domeincontrollers die zijn bijgewerkt en niet zijn bijgewerkt, maar die de standaardwaarde van de PacRequestorEnforcement-registersleutel 1 hebben, zijn compatibel met elkaar. Microsoft raadt echter ten zeere af om domeincontrollers te hebben die wel en niet worden bijgewerkt in een omgeving.
V2 Wat gebeurt er als ik een combinatie van Active Directory-domeincontrollers heb met verschillende PacRequestorEnforcement-waarden?
A2. Een combinatie van domeincontrollers met PacRequestorEnforcement-waarden van 0 en 1 zijn compatibel met elkaar. Een combinatie van domeincontrollers met PacRequestorEnforcement-waarden van 1 en 2 zijn compatibel met elkaar. Een combinatie van domeincontrollers met PacRequestorEnforcement-waarden van 0 en 2 zijn niet compatibel met elkaar en kunnen onregelmatige fouten veroorzaken. Zie de sectie Registersleutelinformatie voor meer informatie.