Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

AKTUALIZACJA 14 marca 2023 r.

Podsumowanie

Cve-2021-42287 usuwa lukę obejścia zabezpieczeń, która wpływa na certyfikat atrybutu uprawnień Kerberos (PAC) i umożliwia potencjalnym osobom atakującym personifikacja kontrolerów domeny. Aby wykorzystać tę lukę w zabezpieczeniach, naruszone konto domeny może spowodować, że Centrum dystrybucji kluczy (KDC) utworzy bilet usługi o wyższym poziomie uprawnień niż konto, które zostało naruszone. W tym celu usługa KDC nie będzie identyfikować konta, dla którego jest przeznaczony bilet usługi o wyższym uprawnieniu.

Ulepszony proces uwierzytelniania w cve-2021-42287 dodaje nowe informacje o pierwotnym żądaczu do pacs Kerberos bilety Ticket-Granting (TGT). Później, gdy dla konta zostanie wygenerowany bilet usługi Kerberos, nowy proces uwierzytelniania sprawdzi, czy konto, które zażądało TGT, jest tym samym kontem, do którego odwołuje się bilet usługi.

Po zainstalowaniu aktualizacji systemu Windows z dnia 9 listopada 2021 r. lub nowszych pakiety PACs zostaną dodane do TGT wszystkich kont domeny, nawet tych, które wcześniej zdecydowały się odrzucić pacy.

Podejmij działanie

Aby chronić środowisko i uniknąć przerw w dostawie prądu, wykonaj następujące czynności:

  1. Zaktualizuj wszystkie urządzenia pełniące rolę kontrolera domeny usługi Active Directory, instalując aktualizację zabezpieczeń z 9 listopada 2021 r. i aktualizację pozapasmową (OOB) z 14 listopada 2021 r. Poniżej znajduje się numer bazy wiedzy OOB dla konkretnego systemu operacyjnego.

    System operacyjny

    Numer artykułu bazy wiedzy

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 z dodatkiem SP1

    5008605

    Windows Server 2008 z dodatkiem SP2

    5008606

  2. Po zainstalowaniu aktualizacji zabezpieczeń z 9 listopada 2021 r. i aktualizacji OOB z 14 listopada 2021 r. na wszystkich kontrolerach domeny usługi Active Directory przez co najmniej 7 dni zdecydowanie zalecamy włączenie trybu wymuszania na wszystkich kontrolerach domeny usługi Active Directory.

  3. Począwszy od aktualizacji (zaktualizowanej) fazy wymuszania z 11 października 2022 r., tryb wymuszania będzie włączony na wszystkich kontrolerach domeny systemu Windows i będzie wymagany.

Chronometraż aktualizacji systemu Windows — (aktualizacja: 23.01.23)

Te Aktualizacje Windows zostaną wydane w trzech fazach:

  1. Wdrożenie początkowe — wprowadzenie aktualizacji, a także klucz rejestru PacRequestorEnforcement

  2. Drugie wdrożenie — usunięcie wartości PacRequestorEnforcement 0 (możliwość wyłączenia klucza rejestru)

  3. Faza wymuszania — tryb wymuszania jest włączony. Ta faza deprecjonuje klucz PacRequestorEnforcement i nie odczytuje go

9 listopada 2021 r.: Początkowa faza wdrażania

Początkowa faza wdrażania rozpoczyna się od wydania aktualizacji systemu Windows 9 listopada 2021 r. Ta wersja:

  • Dodaje ochronę przed CVE-2021-42287

  • Dodaje obsługę wartości rejestru PacRequestorEnforcement , która umożliwia wcześniejsze przejście do fazy wymuszania

Łagodzenie obejmuje instalację aktualizacji systemu Windows na wszystkich urządzeniach, które hostują rolę kontrolera domeny i kontrolery domeny tylko do odczytu (RODC).

12 lipca 2022 r.: Druga faza wdrażania

Druga faza wdrażania rozpoczyna się od wydania aktualizacji systemu Windows 12 lipca 2022 r. Ta faza powoduje usunięcie ustawienia PacRequestorEnforcement (Wymuszanie PacRequestorEnforcement ) równego 0. Ustawienie wartości PacRequestorEnforcement na wartość 0 po zainstalowaniu tej aktualizacji będzie miało taki sam skutek jak ustawienie wartości PacRequestorEnforcement na 1. Kontrolery domeny będą w trybie wdrażania.

Uwaga Ta faza nie jest konieczne, jeśli PacRequestorEnforcement nigdy nie został ustawiony na 0 w środowisku. Ta faza gwarantuje, że klienci, którzy ustawili wartość PacRequestorEnforcement na 0, przejdą do ustawienia 1 przed fazą wymuszania.

Uwaga W tej aktualizacji przyjęto założenie, że wszystkie kontrolery domeny zostały zaktualizowane za pomocą aktualizacji systemu Windows z 9 listopada 2021 r. lub nowszej.

11 października 2022 r.: Faza wymuszania — (aktualizacja: 23.01.2023 r.)

Wersja z 11 października 2022 r. przeniesie wszystkie kontrolery domeny usługi Active Directory do fazy wymuszania. Faza wymuszania zaniecha klucza PacRequestorEnforcement i nie odczytuje go. W związku z tym kontrolery domeny systemu Windows, które zainstalowały aktualizację z 11 października 2022 r., nie będą już zgodne z:

  • Kontrolery domeny, które nie zainstalowały aktualizacji z 9 listopada 2021 r. lub nowszych.

  • Kontrolery domeny, które zainstalowały aktualizacje z 9 listopada 2021 r. lub nowsze, ale nie zainstalowały jeszcze aktualizacji z 12 lipca 2022 r. i które mają wartość rejestru PacRequestorEnforcement równą 0.

Jednak kontrolery domeny systemu Windows, które zainstalowały aktualizację z 11 października 2022 r., pozostaną zgodne z:

  • Kontrolery domeny systemu Windows, które zainstalowały aktualizacje z 11 października 2022 r. lub nowsze

  • Kontrolery domeny w oknie, które zainstalowały aktualizacje z 9listopada 2021 r. lub nowsze i mają wartość PacRequestorEnforcement lub 1 lub 2

Informacje o kluczu rejestru

Po zainstalowaniu zabezpieczeń CVE-2021-42287 w aktualizacjach systemu Windows wydanych między 9 listopada 2021 r. a 14 czerwca 2022 r. będzie dostępny następujący klucz rejestru:

Podklucz rejestru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Wartość

PacRequestorEnforcement

Typ danych

REG_DWORD

dane

1. Dodaj nowy pac do użytkowników, którzy uwierzytelnili się za pomocą kontrolera domeny usługi Active Directory z zainstalowanymi aktualizacjami z 9 listopada 2021 r. lub nowszymi. Podczas uwierzytelniania, jeśli użytkownik ma nowy pac, pac jest sprawdzana poprawność. Jeśli użytkownik nie ma nowego pac, nie są podejmowane żadne dalsze działania. Kontrolery domeny usługi Active Directory w tym trybie są na etapie wdrażania.

2. Dodaj nowy pac do użytkowników, którzy uwierzytelnili się za pomocą kontrolera domeny usługi Active Directory z zainstalowanymi aktualizacjami z 9 listopada 2021 r. lub nowszymi. Podczas uwierzytelniania, jeśli użytkownik ma nowy pac, pac jest sprawdzana poprawność. Jeśli użytkownik nie ma nowego pac, uwierzytelnianie zostanie odrzucone. Kontrolery domeny usługi Active Directory w tym trybie są na etapie wymuszania.

0. Wyłącza klucz rejestru. Niezalecane. Kontrolery domeny usługi Active Directory w tym trybie są w fazie Wyłączone. Ta wartość nie będzie istnieć po aktualizacji z 12 lipca 2022 r. lub nowszych.

Ważne Ustawienie 0 nie jest zgodne z ustawieniem 2. Sporadyczne awarie mogą wystąpić, jeśli oba ustawienia są używane w lesie. Jeśli jest używane ustawienie 0, zalecamy przejście 0 (Wyłącz) na ustawienie 1 (Wdrożenie) przez co najmniej tydzień przed przejściem do ustawienia 2 (tryb wymuszania).

Domyślne

1 (jeśli nie ustawiono klucza rejestru)

Czy jest wymagane ponowne uruchomienie komputera?

Nie

Inspekcja zdarzeń

Aktualizacja systemu Windows z 9 listopada 2021 r. doda również nowe dzienniki zdarzeń.

PAC bez atrybutów

Funkcja łączności danych biznesowych napotka wartość TGT bez buforu atrybutu PAC. Istnieje prawdopodobieństwo, że inny kontroler danych biznesowych w dziennikach nie zawiera aktualizacji lub jest w trybie wyłączonym.

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

35

Tekst zdarzenia

W Centrum dystrybucji kluczy (KDC) wystąpił bilet TGT (ticket-granting-ticket) z innej usługi KDC ("<> nazwa usługi łączności danych biznesowych"), która nie zawierała pola atrybutów PAC. 

Bilet bez PAC

Funkcja KDC napotka bilet TGT lub inny bilet dowodowy bez PAC. Zapobiega to wymuszaniu kontroli zabezpieczeń biletu przez centrum danych biznesowych.

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie podczas fazy wdrażania

Błąd podczas fazy wymuszania

Źródło zdarzenia

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

36

Tekst zdarzenia

Centrum dystrybucji kluczy napotkało bilet, który nie zawierał pac podczas przetwarzania żądania innego biletu. Uniemożliwia to uruchamianie kontroli zabezpieczeń i może spowodować otwarcie luk w zabezpieczeniach. 

Klient: nazwa domeny <>\<nazwa_użytkownika>

Bilet na:> nazwa usługi <

Bilet bez żądacza

Funkcja KDC napotka bilet TGT lub inny bilet dowodu bez buforu PAC Requestor. Istnieje prawdopodobieństwo, że usługa KDC, która skonstruowała pac nie zawiera aktualizacji lub jest w trybie wyłączonym.

Uwaga Aby uzyskać ważne informacje na temat zdarzenia 37, zobacz sekcję Znane problemy .

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie podczas fazy wdrażania

Błąd podczas fazy wymuszania

Źródło zdarzenia

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

37

Tekst zdarzenia

Centrum dystrybucji kluczy napotkało bilet, który nie zawierał informacji o koncie, które zażądało biletu podczas przetwarzania żądania innego biletu. Uniemożliwia to uruchamianie kontroli zabezpieczeń i może spowodować otwarcie luk w zabezpieczeniach. 

Pac bilet skonstruowany przez: <nazwa KDC>

 Klient: nazwa domeny <>\<nazwa klienta>

Bilet na:> nazwa usługi <

Niezgodność żądacza

Usługa łączności danych biznesowych napotka bilet TGT lub inny bilet dowodowy, a konto, które zażądało biletu TGT lub dowodu, nie odpowiada kontu, dla których utworzono bilet usługi.

Dziennik zdarzeń

System

Typ zdarzenia

Błąd

Źródło zdarzenia

Microsoft-Windows-Kerberos-Key-Distribution-Center

Identyfikator zdarzenia

38

Tekst zdarzenia

Centrum dystrybucji kluczy napotkało bilet zawierający niespójne informacje o koncie, które zażądało biletu. Może to oznaczać, że od czasu wystawienia biletu zmieniono nazwę konta, co mogło być częścią próby wykorzystania. 

Bilet PAC skonstruowany przez: <Kdc Name>

Klient: nazwa domeny <>\<nazwa_użytkownika>

Bilet na:> nazwa usługi <

Żądanie identyfikatora SID konta od usługi Active Directory: <SID>

Żądanie identyfikatora SID konta z biletu: <SID>

Znane problemy

Objawy

Obejście

Po zainstalowaniu aktualizacji systemu Windows wydanych 9 listopada 2021 r. lub nowszych na kontrolerach domen (DCs) niektórzy klienci mogą zobaczyć nowy identyfikator zdarzenia inspekcji 37 zarejestrowany po pewnych ustawieniach haseł lub zmianach operacji, takich jak:

  • Aktualizacja lub naprawa klastra trybu failover CNO lub VCO

  • Resetowanie hasła użytkownika z konsoli Użytkownicy i komputery usługi Active Directory (dsa.msc)

  • Tworzenie nowego użytkownika na konsoli Użytkownicy i komputery usługi Active Directory (dsa.msc)

  • Zmienianie hasła dla urządzeń przyłączonych do domeny innych firm

Jeśli po zainstalowaniu aktualizacji systemu Windows wydanych 9 listopada 2021 r. lub nowszych przez tydzień nie widzisz identyfikatora zdarzenia 37, a wartość PacRequestorEnforcement wynosi "1" lub "2", oznacza to, że środowisko nie ma wpływu na twoje środowisko.

Jeśli ustawisz wartość PacRequestorEnforcement = 1, identyfikator zdarzenia 37 zostanie zarejestrowany jako ostrzeżenie, ale żądania zmiany hasła zakończą się powodzeniem i nie będą miały wpływu na użytkowników.

Jeśli ustawisz wartość PacRequestorEnforcement = 2, żądania zmiany hasła nie powiedzie się i spowoduje niepowodzenie operacji wymienionych powyżej.

Ten problem został rozwiązany w następujących aktualizacjach:

  • Windows 11 — KB5011563

  • Windows Server 2022 — KB5011558

  • Windows 10, wersja 20H2, Windows 10 wersja 21H1 i Windows 10, wersja 21H2 — KB5011543

  • Windows 10, wersja 1809 i Windows Server 2019 — KB5011551

  • Windows 10, wersja 1607 i Windows Server 2016 — KB5012596

  • Windows Server 2012 R2 — KB5012670

  • Windows Server 2012 — KB5012666

  • Windows Server 2008 R2 — KB5012649

  • Windows Server 2008 z dodatkiem SP2 — KB5012632

Często zadawane pytania

P1 Co się stanie, jeśli mam kombinację kontrolerów domeny usługi Active Directory, które są aktualizowane, a nie aktualizowane?

A1. Kombinacja kontrolerów domeny, które są aktualizowane i nie aktualizowane, ale mają domyślną wartość klucza rejestru PacRequestorEnforcement równą 1, są ze sobą zgodne. Firma Microsoft zdecydowanie odradza jednak aktualizowanie kontrolerów domeny, które nie są aktualizowane w środowisku.

P2 Co się stanie, jeśli mam kombinację kontrolerów domeny usługi Active Directory, które mają różne wartości PacRequestorEnforcement?

A2. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 0 i 1 jest ze sobą zgodna. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 1 i 2 jest ze sobą zgodna. Kombinacja kontrolerów domeny o wartościach PacRequestorEnforcement równych 0 i 2 nie jest ze sobą zgodna i może powodować sporadyczne błędy. Aby uzyskać szczegółowe informacje, zobacz sekcję Informacje o kluczach rejestru.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×