AKTUALIZACJA 14 marca 2023 r.
Podsumowanie
Cve-2021-42287 usuwa lukę obejścia zabezpieczeń, która wpływa na certyfikat atrybutu uprawnień Kerberos (PAC) i umożliwia potencjalnym osobom atakującym personifikacja kontrolerów domeny. Aby wykorzystać tę lukę w zabezpieczeniach, naruszone konto domeny może spowodować, że Centrum dystrybucji kluczy (KDC) utworzy bilet usługi o wyższym poziomie uprawnień niż konto, które zostało naruszone. W tym celu usługa KDC nie będzie identyfikować konta, dla którego jest przeznaczony bilet usługi o wyższym uprawnieniu.
Ulepszony proces uwierzytelniania w cve-2021-42287 dodaje nowe informacje o pierwotnym żądaczu do pacs Kerberos bilety Ticket-Granting (TGT). Później, gdy dla konta zostanie wygenerowany bilet usługi Kerberos, nowy proces uwierzytelniania sprawdzi, czy konto, które zażądało TGT, jest tym samym kontem, do którego odwołuje się bilet usługi.
Po zainstalowaniu aktualizacji systemu Windows z dnia 9 listopada 2021 r. lub nowszych pakiety PACs zostaną dodane do TGT wszystkich kont domeny, nawet tych, które wcześniej zdecydowały się odrzucić pacy.
Podejmij działanie
Aby chronić środowisko i uniknąć przerw w dostawie prądu, wykonaj następujące czynności:
-
Zaktualizuj wszystkie urządzenia pełniące rolę kontrolera domeny usługi Active Directory, instalując aktualizację zabezpieczeń z 9 listopada 2021 r. i aktualizację pozapasmową (OOB) z 14 listopada 2021 r. Poniżej znajduje się numer bazy wiedzy OOB dla konkretnego systemu operacyjnego.
System operacyjny
Numer artykułu bazy wiedzy
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 z dodatkiem SP1
Windows Server 2008 z dodatkiem SP2
-
Po zainstalowaniu aktualizacji zabezpieczeń z 9 listopada 2021 r. i aktualizacji OOB z 14 listopada 2021 r. na wszystkich kontrolerach domeny usługi Active Directory przez co najmniej 7 dni zdecydowanie zalecamy włączenie trybu wymuszania na wszystkich kontrolerach domeny usługi Active Directory.
-
Począwszy od aktualizacji (zaktualizowanej) fazy wymuszania z 11 października 2022 r., tryb wymuszania będzie włączony na wszystkich kontrolerach domeny systemu Windows i będzie wymagany.
Chronometraż aktualizacji systemu Windows — (aktualizacja: 23.01.23)
Te Aktualizacje Windows zostaną wydane w trzech fazach:
-
Wdrożenie początkowe — wprowadzenie aktualizacji, a także klucz rejestru PacRequestorEnforcement
-
Drugie wdrożenie — usunięcie wartości PacRequestorEnforcement 0 (możliwość wyłączenia klucza rejestru)
-
Faza wymuszania — tryb wymuszania jest włączony. Ta faza deprecjonuje klucz PacRequestorEnforcement i nie odczytuje go
9 listopada 2021 r.: Początkowa faza wdrażania
Początkowa faza wdrażania rozpoczyna się od wydania aktualizacji systemu Windows 9 listopada 2021 r. Ta wersja:
-
Dodaje ochronę przed CVE-2021-42287
-
Dodaje obsługę wartości rejestru PacRequestorEnforcement , która umożliwia wcześniejsze przejście do fazy wymuszania
Łagodzenie obejmuje instalację aktualizacji systemu Windows na wszystkich urządzeniach, które hostują rolę kontrolera domeny i kontrolery domeny tylko do odczytu (RODC).
12 lipca 2022 r.: Druga faza wdrażania
Druga faza wdrażania rozpoczyna się od wydania aktualizacji systemu Windows 12 lipca 2022 r. Ta faza powoduje usunięcie ustawienia PacRequestorEnforcement (Wymuszanie PacRequestorEnforcement ) równego 0. Ustawienie wartości PacRequestorEnforcement na wartość 0 po zainstalowaniu tej aktualizacji będzie miało taki sam skutek jak ustawienie wartości PacRequestorEnforcement na 1. Kontrolery domeny będą w trybie wdrażania.
Uwaga Ta faza nie jest konieczne, jeśli PacRequestorEnforcement nigdy nie został ustawiony na 0 w środowisku. Ta faza gwarantuje, że klienci, którzy ustawili wartość PacRequestorEnforcement na 0, przejdą do ustawienia 1 przed fazą wymuszania.
Uwaga W tej aktualizacji przyjęto założenie, że wszystkie kontrolery domeny zostały zaktualizowane za pomocą aktualizacji systemu Windows z 9 listopada 2021 r. lub nowszej.
11 października 2022 r.: Faza wymuszania — (aktualizacja: 23.01.2023 r.)
Wersja z 11 października 2022 r. przeniesie wszystkie kontrolery domeny usługi Active Directory do fazy wymuszania. Faza wymuszania zaniecha klucza PacRequestorEnforcement i nie odczytuje go. W związku z tym kontrolery domeny systemu Windows, które zainstalowały aktualizację z 11 października 2022 r., nie będą już zgodne z:
-
Kontrolery domeny, które nie zainstalowały aktualizacji z 9 listopada 2021 r. lub nowszych.
-
Kontrolery domeny, które zainstalowały aktualizacje z 9 listopada 2021 r. lub nowsze, ale nie zainstalowały jeszcze aktualizacji z 12 lipca 2022 r. i które mają wartość rejestru PacRequestorEnforcement równą 0.
Jednak kontrolery domeny systemu Windows, które zainstalowały aktualizację z 11 października 2022 r., pozostaną zgodne z:
-
Kontrolery domeny systemu Windows, które zainstalowały aktualizacje z 11 października 2022 r. lub nowsze
-
Kontrolery domeny w oknie, które zainstalowały aktualizacje z 9listopada 2021 r. lub nowsze i mają wartość PacRequestorEnforcement lub 1 lub 2
Informacje o kluczu rejestru
Po zainstalowaniu zabezpieczeń CVE-2021-42287 w aktualizacjach systemu Windows wydanych między 9 listopada 2021 r. a 14 czerwca 2022 r. będzie dostępny następujący klucz rejestru:
Podklucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Wartość |
PacRequestorEnforcement |
Typ danych |
REG_DWORD |
dane |
1. Dodaj nowy pac do użytkowników, którzy uwierzytelnili się za pomocą kontrolera domeny usługi Active Directory z zainstalowanymi aktualizacjami z 9 listopada 2021 r. lub nowszymi. Podczas uwierzytelniania, jeśli użytkownik ma nowy pac, pac jest sprawdzana poprawność. Jeśli użytkownik nie ma nowego pac, nie są podejmowane żadne dalsze działania. Kontrolery domeny usługi Active Directory w tym trybie są na etapie wdrażania. 2. Dodaj nowy pac do użytkowników, którzy uwierzytelnili się za pomocą kontrolera domeny usługi Active Directory z zainstalowanymi aktualizacjami z 9 listopada 2021 r. lub nowszymi. Podczas uwierzytelniania, jeśli użytkownik ma nowy pac, pac jest sprawdzana poprawność. Jeśli użytkownik nie ma nowego pac, uwierzytelnianie zostanie odrzucone. Kontrolery domeny usługi Active Directory w tym trybie są na etapie wymuszania. 0. Wyłącza klucz rejestru. Niezalecane. Kontrolery domeny usługi Active Directory w tym trybie są w fazie Wyłączone. Ta wartość nie będzie istnieć po aktualizacji z 12 lipca 2022 r. lub nowszych. Ważne Ustawienie 0 nie jest zgodne z ustawieniem 2. Sporadyczne awarie mogą wystąpić, jeśli oba ustawienia są używane w lesie. Jeśli jest używane ustawienie 0, zalecamy przejście 0 (Wyłącz) na ustawienie 1 (Wdrożenie) przez co najmniej tydzień przed przejściem do ustawienia 2 (tryb wymuszania). |
Domyślne |
1 (jeśli nie ustawiono klucza rejestru) |
Czy jest wymagane ponowne uruchomienie komputera? |
Nie |
Inspekcja zdarzeń
Aktualizacja systemu Windows z 9 listopada 2021 r. doda również nowe dzienniki zdarzeń.
PAC bez atrybutów
Funkcja łączności danych biznesowych napotka wartość TGT bez buforu atrybutu PAC. Istnieje prawdopodobieństwo, że inny kontroler danych biznesowych w dziennikach nie zawiera aktualizacji lub jest w trybie wyłączonym.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identyfikator zdarzenia |
35 |
Tekst zdarzenia |
W Centrum dystrybucji kluczy (KDC) wystąpił bilet TGT (ticket-granting-ticket) z innej usługi KDC ("<> nazwa usługi łączności danych biznesowych"), która nie zawierała pola atrybutów PAC. |
Bilet bez PAC
Funkcja KDC napotka bilet TGT lub inny bilet dowodowy bez PAC. Zapobiega to wymuszaniu kontroli zabezpieczeń biletu przez centrum danych biznesowych.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie podczas fazy wdrażania Błąd podczas fazy wymuszania |
Źródło zdarzenia |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identyfikator zdarzenia |
36 |
Tekst zdarzenia |
Centrum dystrybucji kluczy napotkało bilet, który nie zawierał pac podczas przetwarzania żądania innego biletu. Uniemożliwia to uruchamianie kontroli zabezpieczeń i może spowodować otwarcie luk w zabezpieczeniach. Klient: nazwa domeny <>\<nazwa_użytkownika> Bilet na:> nazwa usługi < |
Bilet bez żądacza
Funkcja KDC napotka bilet TGT lub inny bilet dowodu bez buforu PAC Requestor. Istnieje prawdopodobieństwo, że usługa KDC, która skonstruowała pac nie zawiera aktualizacji lub jest w trybie wyłączonym.
Uwaga Aby uzyskać ważne informacje na temat zdarzenia 37, zobacz sekcję Znane problemy .
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie podczas fazy wdrażania Błąd podczas fazy wymuszania |
Źródło zdarzenia |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identyfikator zdarzenia |
37 |
Tekst zdarzenia |
Centrum dystrybucji kluczy napotkało bilet, który nie zawierał informacji o koncie, które zażądało biletu podczas przetwarzania żądania innego biletu. Uniemożliwia to uruchamianie kontroli zabezpieczeń i może spowodować otwarcie luk w zabezpieczeniach. Pac bilet skonstruowany przez: <nazwa KDC> Klient: nazwa domeny <>\<nazwa klienta> Bilet na:> nazwa usługi < |
Niezgodność żądacza
Usługa łączności danych biznesowych napotka bilet TGT lub inny bilet dowodowy, a konto, które zażądało biletu TGT lub dowodu, nie odpowiada kontu, dla których utworzono bilet usługi.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Identyfikator zdarzenia |
38 |
Tekst zdarzenia |
Centrum dystrybucji kluczy napotkało bilet zawierający niespójne informacje o koncie, które zażądało biletu. Może to oznaczać, że od czasu wystawienia biletu zmieniono nazwę konta, co mogło być częścią próby wykorzystania. Bilet PAC skonstruowany przez: <Kdc Name> Klient: nazwa domeny <>\<nazwa_użytkownika> Bilet na:> nazwa usługi < Żądanie identyfikatora SID konta od usługi Active Directory: <SID> Żądanie identyfikatora SID konta z biletu: <SID> |
Znane problemy
Objawy |
Obejście |
---|---|
Po zainstalowaniu aktualizacji systemu Windows wydanych 9 listopada 2021 r. lub nowszych na kontrolerach domen (DCs) niektórzy klienci mogą zobaczyć nowy identyfikator zdarzenia inspekcji 37 zarejestrowany po pewnych ustawieniach haseł lub zmianach operacji, takich jak:
Jeśli po zainstalowaniu aktualizacji systemu Windows wydanych 9 listopada 2021 r. lub nowszych przez tydzień nie widzisz identyfikatora zdarzenia 37, a wartość PacRequestorEnforcement wynosi "1" lub "2", oznacza to, że środowisko nie ma wpływu na twoje środowisko. Jeśli ustawisz wartość PacRequestorEnforcement = 1, identyfikator zdarzenia 37 zostanie zarejestrowany jako ostrzeżenie, ale żądania zmiany hasła zakończą się powodzeniem i nie będą miały wpływu na użytkowników. Jeśli ustawisz wartość PacRequestorEnforcement = 2, żądania zmiany hasła nie powiedzie się i spowoduje niepowodzenie operacji wymienionych powyżej. |
Ten problem został rozwiązany w następujących aktualizacjach:
|
Często zadawane pytania
P1 Co się stanie, jeśli mam kombinację kontrolerów domeny usługi Active Directory, które są aktualizowane, a nie aktualizowane?
A1. Kombinacja kontrolerów domeny, które są aktualizowane i nie aktualizowane, ale mają domyślną wartość klucza rejestru PacRequestorEnforcement równą 1, są ze sobą zgodne. Firma Microsoft zdecydowanie odradza jednak aktualizowanie kontrolerów domeny, które nie są aktualizowane w środowisku.
P2 Co się stanie, jeśli mam kombinację kontrolerów domeny usługi Active Directory, które mają różne wartości PacRequestorEnforcement?
A2. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 0 i 1 jest ze sobą zgodna. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 1 i 2 jest ze sobą zgodna. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 0 i 2 nie jest ze sobą zgodna i może powodować sporadyczne błędy. Aby uzyskać szczegółowe informacje, zobacz sekcję Informacje o kluczach rejestru.