KB5008380 - Actualizări de autentificare (CVE-2021-42287)

Rezumat

CVE-2021-42287 tratează o vulnerabilitate de ocolire de securitate care afectează Certificatul de atribute de privilegii Kerberos (PAC) și permite atacatorilor potențiali să personifice controlere de domeniu. Pentru a exploata această vulnerabilitate, un cont de domeniu compromis poate face ca Centrul de distribuire cheie (KDC) să creeze un tichet de serviciu cu un nivel de privilegii mai mare decât cel al contului compromis. Se realizează acest lucru prin împiedicarea KDC de la identificarea contului pentru care este tichetul de serviciu privilegiu mai mare.

Procesul de autentificare îmbunătățit din CVE-2021-42287 adaugă noi informații despre solicitantul original la PAC-urile din Kerberos Ticket-Granting Tickets (TGT). Mai târziu, atunci când un tichet de serviciu Kerberos este generat pentru un cont, noul proces de autentificare va verifica dacă contul care a solicitat TGT este același cont la care se face referire în tichetul de serviciu.

După instalarea actualizărilor Windows din 9 noiembrie 2021 sau o versiune mai recentă, PAC-urile vor fi adăugate la TGT pentru toate conturile de domeniu, chiar și cele care au ales anterior să refuze PAC-uri.

Luați măsuri

Pentru a vă proteja mediul și a evita întreruperile, parcurgeți următorii pași:

Actualizați toate dispozitivele care găzduiesc rolul de controler de domeniu Active Directory, instalând actualizarea de securitate din 9 noiembrie 2021 și actualizarea OOB din 14 noiembrie 2021. Găsiți mai jos numărul KB OOB pentru sistemul dvs. de operare specific.

SO	Numărul articolului din Baza de cunoștințe
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

După instalarea actualizării de securitate din 9 noiembrie 2021 și a actualizării OOB din 14 noiembrie 2021 pe toate controlerele de domeniu Active Directory timp de cel puțin 7 zile, vă sugerăm ferm să activați modul Impunere pe toate controlerele de domeniu Active Directory.
Începând cu actualizarea (actualizată) din 11 octombrie 2022 a fazei de impunere, modul Impunere va fi activat pe toate controlerele de domeniu Windows și va fi necesar.

Temporizarea actualizărilor Windows - (actualizată pe 31.01.23)

Aceste Actualizări Windows vor fi lansate în trei faze:

Implementarea inițială - Introducerea actualizării, precum și cheia de registry PacRequestorEnforcement
A doua implementare - Eliminarea valorii PacRequestorEnforcement de 0 (capacitatea de a dezactiva cheia de registry)
Faza de impunere - modul impunere este activat. Această fază perimează cheia PacRequestorEnforcement și nu o mai citește

9 noiembrie 2021: Etapa inițială de implementare

Faza inițială de implementare începe cu actualizarea Windows lansată pe 9 noiembrie 2021. Această versiune:

Adaugă protecții împotriva CVE-2021-42287
Adaugă suport pentru valoarea de registry PacRequestorEnforcement , care vă permite să treceți mai devreme la etapa De impunere

Atenuarea constă în instalarea actualizărilor Windows pe toate dispozitivele care găzduiesc rolul de controler de domeniu și controlerele de domeniu doar în citire (RODCs).

12 iulie 2022: A doua fază de implementare

A doua fază de implementare începe cu actualizarea Windows lansată pe 12 iulie 2022. Această fază elimină setarea PacRequestorEnforcement de 0. Setarea PacRequestorEnforcement la 0 după instalarea acestei actualizări va avea același efect ca setarea PacRequestorEnforcement la 1. Controlerele de domeniu (DCs) vor fi în modul Implementare.

Notă Această fază nu este necesară dacă PacRequestorEnforcement nu a fost setat niciodată la 0 în mediul dvs. Această fază vă ajută să vă asigurați că clienții care setează PacRequestorEnforcement la 0trec la setarea 1 înainte de faza de impunere.

Notă Această actualizare presupune că toate controlerele de domeniu sunt actualizate cu actualizarea Windows din 9 noiembrie 2021 sau cu o versiune mai recentă.

11 octombrie 2022: Faza de impunere - (actualizată pe 31.01.23)

Lansarea din 11 octombrie 2022 va trece toate controlerele de domeniu Active Directory în faza Impunere. Faza De impunere perimează cheia PacRequestorEnforcement și nu o mai citește. Prin urmare, controlerele de domeniu Windows care au instalat actualizarea din 11 octombrie 2022 nu vor mai fi compatibile cu:

Controlere de domeniu care nu au instalat actualizările din 9 noiembrie 2021 sau mai recente.
Controlerele de domeniu care au instalat actualizările din 9 noiembrie 2021 sau mai recente, dar nu au instalat încă actualizarea din 12 iulie 2022 și care au o valoare de registry PacRequestorEnforcement de 0.

Cu toate acestea, controlerele de domeniu Windows care au instalat actualizarea din 11 octombrie 2022 vor rămâne compatibile cu:

Controlere de domeniu Windows care au instalat actualizările din 11 octombrie 2022 sau mai recente
Controlere de domeniu Windows care au instalat actualizările^{din 9 noiembrie} 2021 sau mai recente și au o valoare PacRequestorEnforcement sau 1 sau 2

Informații despre cheia de registry

După ce instalați protecțiile CVE-2021-42287 în actualizările Windows lansate între 9 noiembrie 2021 și 14 iunie 2022, va fi disponibilă următoarea cheie de registry:

Subcheie de registry	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valoare	PacRequestorEnforcement
Tip de date	REG_DWORD
Date	1: Adăugați noul PAC utilizatorilor care s-au autentificat utilizând un controler de domeniu Active Directory care are instalate actualizările din 9 noiembrie 2021 sau mai recente. Atunci când vă autentificați, dacă utilizatorul are noul PAC, PAC este validat. Dacă utilizatorul nu are noul PAC, nu se mai efectuează alte acțiuni. Controlerele de domeniu Active Directory din acest mod sunt în faza de implementare. 2: Adăugați noul PAC utilizatorilor care s-au autentificat utilizând un controler de domeniu Active Directory care are instalate actualizările din 9 noiembrie 2021 sau mai recente. Atunci când vă autentificați, dacă utilizatorul are noul PAC, PAC este validat. Dacă utilizatorul nu are noul PAC, autentificarea este refuzată. Controlerele de domeniu Active Directory din acest mod sunt în faza impunere. 0: Dezactivează cheia de registry. Nu se recomandă. Controlerele de domeniu Active Directory din acest mod sunt în faza Dezactivat. Această valoare nu va exista după actualizările din 12 iulie 2022 sau mai recente. Important Setarea 0 nu este compatibilă cu setarea 2. Pot apărea erori intermitente dacă ambele setări sunt utilizate într-o pădure. Dacă se utilizează setarea 0, vă recomandăm să faceți tranziția setării 0 (Dezactivare) la setarea 1 (Implementare) timp de cel puțin o săptămână înainte de a trece la setarea 2 (modul Impunere).
Valoare Implicită	1 (atunci când cheia de registry nu este setată)
Este necesară o repornire?	Nu

Evenimente de audit

Actualizarea Windows din 9 noiembrie 2021 va adăuga, de asemenea, jurnale de evenimente noi.

PAC fără atribute

KDC întâlnește un TGT fără tamponul de atribut PAC. Probabil că celelalte KDC din jurnale nu conțin actualizarea sau se află în modul Dezactivat.

Jurnal de evenimente	Sistem
Tip eveniment	Avertisment
Sursa de eveniment	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID eveniment	35
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un tichet de acordare a tichetelor (TGT) de la un alt KDC ("<nume KDC>") care nu conținea un câmp de atribute PAC.

Bilet fără PAC

KDC întâlnește un tichet TGT sau alte dovezi fără PAC. Acest lucru împiedică KDC să impună verificări de securitate pe tichet.

Jurnal de evenimente	Sistem
Tip eveniment	Avertisment în timpul fazei de implementare Eroare în timpul fazei de impunere
Sursa de eveniment	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID eveniment	36
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un tichet care nu conținea un PAC în timpul procesării unei solicitări pentru un alt tichet. Acest lucru a împiedicat rularea verificărilor de securitate și poate deschide vulnerabilitățile de securitate. Client: <nume de domeniu>\<nume de utilizator> Tichet pentru: numele serviciului <>

Tichet fără solicitant

KDC întâlnește un tichet TGT sau alte dovezi fără tamponul solicitant PAC. Este posibil ca KDC care a construit PAC să nu conțină actualizarea sau să fie în modul Dezactivat.

Notă Consultați secțiunea Probleme cunoscute pentru informații importante despre evenimentul 37.

Jurnal de evenimente	Sistem
Tip eveniment	Avertisment în timpul fazei de implementare Eroare în timpul fazei de impunere
Sursa de eveniment	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID eveniment	37
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un tichet care nu conținea informații despre contul care a solicitat tichetul în timpul procesării unei solicitări pentru un alt tichet. Acest lucru a împiedicat rularea verificărilor de securitate și poate deschide vulnerabilitățile de securitate. Ticket PAC constructed by: <KDC Name> Client: <nume de domeniu>\<nume client> Tichet pentru: numele serviciului <>

Nepotrivire solicitant

KDC întâlnește un tichet TGT sau alte dovezi, iar contul care a solicitat TGT sau tichetul de probă nu corespunde contului pentru care este construit tichetul de serviciu.

Jurnal de evenimente	Sistem
Tip eveniment	Eroare
Sursa de eveniment	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID eveniment	38
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un tichet care conținea informații inconsistente despre contul care a solicitat tichetul. Acest lucru ar putea însemna că contul a fost redenumit de la emiterea tichetului, care poate a făcut parte dintr-o încercare de exploatare. Ticket PAC constructed by: <Kdc Name> Client: <nume de domeniu>\<nume de utilizator> Tichet pentru: numele serviciului <> Se solicită SID-ul contului de la Active Directory: <sid> Se solicită SID cont de la Tichet: <SID>

Probleme cunoscute

Simptom	Soluție de evitare
După instalarea actualizărilor Windows lansate pe 9 noiembrie 2021 sau mai recente pe controlerele de domeniu (PC-uri), unii clienți pot vedea noul ID de eveniment de auditare 37 înregistrat după anumite setări de parolă sau operațiuni de modificare, cum ar fi: Actualizarea sau repararea codului CNO sau VCO al clusterului de reluări în caz de nereușită Resetarea parolei unui utilizator din consola Active Directory Users and Computers (dsa.msc) Creați un utilizator nou din consola Active Directory Users and Computers (dsa.msc) Modificarea parolei pentru dispozitive terțe, asociate la domeniu Dacă nu vedeți ID-ul de eveniment 37 după instalarea actualizărilor Windows lansate pe 9 noiembrie 2021 sau mai recente timp de o săptămână și PacRequestorEnforcement este "1" sau "2", atunci mediul dvs. nu este afectat. Dacă setați PacRequestorEnforcement = 1, ID-ul de eveniment 37 este înregistrat ca avertisment, dar solicitările de modificare a parolei vor reuși și nu vor afecta utilizatorii. Dacă setați PacRequestorEnforcement = 2, solicitările de modificare a parolei nu vor reuși și vor face ca și operațiunile listate mai sus să nu reușească.	Această problemă a fost tratată în următoarele actualizări: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, versiunea 20H2, Windows 10 versiunea 21H1 și Windows 10, versiunea 21H2 - KB5011543 Windows 10, versiunea 1809 și Windows Server 2019 - KB5011551 Windows 10, versiunea 1607 și Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Simptom

Soluție de evitare

După instalarea actualizărilor Windows lansate pe 9 noiembrie 2021 sau mai recente pe controlerele de domeniu (PC-uri), unii clienți pot vedea noul ID de eveniment de auditare 37 înregistrat după anumite setări de parolă sau operațiuni de modificare, cum ar fi:

Actualizarea sau repararea codului CNO sau VCO al clusterului de reluări în caz de nereușită
Resetarea parolei unui utilizator din consola Active Directory Users and Computers (dsa.msc)
Creați un utilizator nou din consola Active Directory Users and Computers (dsa.msc)
Modificarea parolei pentru dispozitive terțe, asociate la domeniu

Dacă nu vedeți ID-ul de eveniment 37 după instalarea actualizărilor Windows lansate pe 9 noiembrie 2021 sau mai recente timp de o săptămână și PacRequestorEnforcement este "1" sau "2", atunci mediul dvs. nu este afectat.

Dacă setați PacRequestorEnforcement = 1, ID-ul de eveniment 37 este înregistrat ca avertisment, dar solicitările de modificare a parolei vor reuși și nu vor afecta utilizatorii.

Dacă setați PacRequestorEnforcement = 2, solicitările de modificare a parolei nu vor reuși și vor face ca și operațiunile listate mai sus să nu reușească.

Această problemă a fost tratată în următoarele actualizări:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, versiunea 20H2, Windows 10 versiunea 21H1 și Windows 10, versiunea 21H2 - KB5011543
Windows 10, versiunea 1809 și Windows Server 2019 - KB5011551
Windows 10, versiunea 1607 și Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Întrebări frecvente

Q1 Ce se întâmplă dacă am un amestec de controlere de domeniu Active Directory care sunt actualizate și nu sunt actualizate?

A1. Un amestec de controlere de domeniu care sunt actualizate și nu sunt actualizate, dar au valoarea implicită a cheii de registry PacRequestorEnforcement de 1 sunt compatibile între ele. Cu toate acestea, Microsoft recomandă insistent să nu aveți controlere de domeniu care sunt actualizate și nu sunt actualizate într-un mediu.

Q2 Ce se întâmplă dacă am un amestec de controlere de domeniu Active Directory care au diverse valori PacRequestorEnforcement?

A2. Un amestec de controlere de domeniu care au valori PacRequestorEnforcement de 0 și 1 sunt compatibile între ele. Un amestec de controlere de domeniu care au valori PacRequestorEnforcement de 1 și 2 sunt compatibile între ele. Un amestec de controlere de domeniu care au valori PacRequestorEnforcement de 0 și 2 nu sunt compatibile între ele și pot provoca erori intermitente. Consultați secțiunea Informații despre cheia de registry pentru mai multe detalii.