Actualizat
10 aprilie 2023: a actualizat "A treia fază de implementare" din 11 aprilie 2023 până la 13 iunie 2023 în secțiunea "Temporizarea actualizărilor pentru adresa CVE-2022-37967".
În acest articol
Rezumat
Actualizările Windows din 8 noiembrie 2022 abordează ocolirea securității și sporirea vulnerabilităților de privilegii cu semnăturile Certificat de atribut privilege (PAC). Această actualizare de securitate se referă la vulnerabilitățile Kerberos, unde un atacator ar putea modifica digital semnăturile PAC, ridicându-și privilegiile.
Pentru a contribui la securizarea mediului, instalați această actualizare Windows pe toate dispozitivele, inclusiv pe controlerele de domeniu Windows. Toate controlerele de domeniu din domeniul dvs. trebuie să fie actualizate mai întâi înainte de a comuta actualizarea la modul Impus.
Pentru a afla mai multe despre aceste vulnerabilități, consultați CVE-2022-37967.
Acționați
Pentru a contribui la protejarea mediului și a preveni întreruperile, vă recomandăm să efectuați următorii pași:
-
ACTUALIZAți controlerele de domeniu Windows cu o actualizare Windows lansată la sau după 8 noiembrie 2022.
-
MUTAȚI controlerele de domeniu Windows în modul auditare utilizând secțiunea Setare cheie de registry .
-
MONITORIZAți evenimentele în timpul modului Auditare pentru a vă securiza mediul.
-
ACTIVAMod de impunere pentru a adresa CVE-2022-37967 în mediul dvs.
Notă Pasul 1 al instalării actualizărilor lansate la sau după 8 noiembrie 2022 NU va trata problemele de securitate din CVE-2022-37967 pentru dispozitivele Windows în mod implicit. Pentru a atenua complet problema de securitate pentru toate dispozitivele, trebuie să treceți la modul auditare (descris în Pasul 2), urmat de modul Impus (descris în Pasul 4) cât mai curând posibil pe toate controlerele de domeniu Windows.
Important Începând din iulie 2023, modul Impunere va fi activat pe toate controlerele de domeniu Windows și va bloca conexiunile vulnerabile de la dispozitivele neconforme. În acel moment, nu veți putea dezactiva actualizarea, dar puteți reveni la setarea mod auditare. Modul de auditare va fi eliminat în octombrie 2023, așa cum se arată în temporizarea actualizărilor pentru a trata vulnerabilitatea Kerberos CVE-2022-37967 .
Calendarul actualizărilor pentru adresa CVE-2022-37967
Actualizări vor fi lansate în etape: faza inițială pentru actualizări lansate la sau după 8 noiembrie 2022 și etapa de impunere pentru actualizările lansate la sau după 13 iunie 2023.
Faza inițială de implementare începe cu actualizările lansate pe 8 noiembrie 2022 și continuă cu actualizările Windows ulterioare până la faza de impunere. Această actualizare adaugă semnături la tamponul PAC Kerberos, dar nu verifică semnăturile în timpul autentificării. Astfel, modul de siguranță este dezactivat în mod implicit.
Această actualizare:
-
Adaugă semnături PAC la tamponul PAC Kerberos.
-
Adaugă măsuri pentru a trata vulnerabilitatea de ocolire de securitate din protocolul Kerberos.
A doua fază de implementare începe cu actualizările lansate pe 13 decembrie 2022. Aceste actualizări și mai recente efectuează modificări la protocolul Kerberos pentru a audita dispozitivele Windows, mutând controlerele de domeniu Windows în modul auditare.
Cu această actualizare, toate dispozitivele vor fi în modul Auditare în mod implicit:
-
Dacă semnătura lipsește sau nu este validă, autentificarea este permisă. În plus, se va crea un jurnal de auditare.
-
Dacă semnătura lipsește, ridicați un eveniment și permiteți autentificarea.
-
Dacă semnătura este prezentă, validați-o. Dacă semnătura este incorectă, ridicați un eveniment și permiteți autentificarea.
Actualizările Windows lansate pe sau după 13 iunie 2023 vor face următoarele:
-
Eliminați capacitatea de a dezactiva adăugarea semnăturilor PAC setând subcheia KrbtgtFullPacSignature la valoarea 0.
Actualizările Windows lansate la sau după 11 iulie 2023 vor face următoarele:
-
Elimină capacitatea de a seta valoarea 1 pentru subcheia KrbtgtFullPacSignature.
-
Mută actualizarea în modul Impunere (Implicit) (KrbtgtFullPacSignature = 3), care poate fi înlocuită de un administrator cu o setare de audit explicită.
Actualizările Windows lansate la sau după 10 octombrie 2023 vor face următoarele:
-
Elimină suportul pentru subcheia de registry KrbtgtFullPacSignature.
-
Elimină suportul pentru modul Auditare.
-
Tuturor tichetelor de serviciu fără noile semnături PAC li se va refuza autentificarea.
Instrucțiuni de implementare
Pentru a implementa actualizările Windows datate 8 noiembrie 2022 sau mai recente, urmați acești pași:
-
ACTUALIZAți controlerele de domeniu Windows cu o actualizare lansată la sau după 8 noiembrie 2022.
-
MUTAȚI controlerele de domeniu în modul Auditare utilizând secțiunea Setare cheie de registry.
-
MONITORIZAți evenimentele în timpul modului auditare pentru a contribui la securizarea mediului.
-
ACTIVA Mod de impunere pentru a adresa CVE-2022-37967 în mediul dvs.
PASUL 1: ACTUALIZARE
Implementați actualizările din 8 noiembrie 2022 sau mai recente pentru toate controlerele de domeniu Windows (DCS) aplicabile. După implementarea actualizării, controlerele de domeniu Windows care au fost actualizate vor avea semnături adăugate la tamponul PAC Kerberos și vor fi nesigure în mod implicit (semnătura PAC nu este validată).
-
În timp ce actualizați, asigurați-vă că păstrați valoarea de registry KrbtgtFullPacSignature în starea implicită până când se actualizează toate controlerele de domeniu Windows.
PASUL 2: MUTARE
După ce se actualizează controlerele de domeniu Windows, comutați la modul Audit, modificând valoarea KrbtgtFullPacSignature la 2.
PASUL 3: GĂSIRE/MONITORIZARE
Identificați zonele care fie nu au semnături PAC, fie au semnături PAC care nu reușesc validarea prin jurnalele de evenimente declanșate în modul auditare.
-
Asigurați-vă că nivelul funcțional al domeniului este setat la cel puțin 2008 sau mai mare înainte de a trece la modul Impunere. Trecerea la modul impunere cu domenii la nivelul funcțional al domeniului 2003 poate duce la erori de autentificare.
-
Evenimentele de auditare vor apărea dacă domeniul dvs. nu este actualizat complet sau dacă există încă tichete de serviciu emise anterior în domeniul dvs.
-
Continuați să monitorizați jurnalele de evenimente suplimentare îndosări care indică fie semnăturile PAC lipsă, fie erorile de validare ale semnăturilor PAC existente.
-
După actualizarea întregului domeniu și expirarea tuturor biletelor restante, evenimentele de auditare nu ar mai trebui să apară. Apoi, ar trebui să puteți trece la modul Impunere fără erori.
PASUL 4: ACTIVAȚI
Activați modul Impunere pentru a trata CVE-2022-37967 în mediul dvs.
-
După ce toate evenimentele de auditare au fost rezolvate și nu mai apar, mutați domeniile în modul Impunere actualizând valoarea de registry KrbtgtFullPacSignature , așa cum este descris în secțiunea Setări cheie de registry.
-
Dacă un tichet de serviciu are o semnătură PAC nevalidă sau îi lipsesc semnături PAC, validarea nu va reuși și se va înregistra în jurnal un eveniment de eroare.
Setări cheie de registry
Protocolul Kerberos
După instalarea actualizărilor Windows care sunt datate la sau după 8 noiembrie 2022, următoarea cheie de registry este disponibilă pentru protocolul Kerberos:
-
KrbtgtFullPacSignature
Această cheie de registry este utilizată pentru a impune implementarea modificărilor Kerberos. Această cheie de registry este temporară și nu va mai fi citită după data completă de impunere din 10 octombrie 2023.Cheie de registry
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Valoare
KrbtgtFullPacSignature
Tip de date
REG_DWORD
Date
0 – Dezactivat
1 – Se adaugă semnături noi, dar nu sunt verificate. (Setare implicită)
2 - Modul auditare. Sunt adăugate semnături noi și verificate dacă există. Dacă semnătura lipsește sau nu este validă, autentificarea este permisă și se creează jurnale de auditare.
3 - Mod impunere. Sunt adăugate semnături noi și verificate dacă există. Dacă semnătura lipsește sau nu este validă, autentificarea este refuzată și se creează jurnale de auditare.
Repornire necesară?
Nu
Notă Dacă trebuie să modificați valoarea de registry KrbtgtFullPacSignature, adăugați manual și apoi configurați cheia de registry pentru a înlocui valoarea implicită.
Evenimente Windows legate de CVE-2022-37967
În modul Auditare, este posibil să găsiți oricare dintre următoarele erori dacă semnăturile PAC lipsesc sau nu sunt valide. Dacă această problemă continuă în timpul modului Impunere, aceste evenimente vor fi înregistrate în jurnal ca erori.
Dacă găsiți orice eroare pe dispozitivul dvs., probabil că toate controlerele de domeniu Windows din domeniul dvs. nu sunt actualizate cu o actualizare Windows din 8 noiembrie 2022 sau o versiune mai recentă. Pentru a atenua problemele, va trebui să investigați și mai mult domeniul pentru a găsi controlerele de domeniu Windows care nu sunt actualizate.
Notă Dacă găsiți o eroare cu ID-ul de eveniment 42, consultați KB5021131: Cum se gestionează modificările de protocol Kerberos legate de CVE-2022-37966.
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursă eveniment |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ID eveniment |
43 |
|
Text eveniment |
Centrul de distribuire cheie (KDC) a întâlnit un tichet pe care nu l-a putut valida |
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursă eveniment |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ID eveniment |
44 |
|
Text eveniment |
Centrul de distribuire cheie (KDC) a întâlnit un tichet care nu conține semnătura PAC completă. Consultați https://go.microsoft.com/fwlink/?linkid=2210019 pentru a afla mai multe. Client :> <de nume>/<al domeniului < |
Dispozitive terțe care implementează protocolul Kerberos
Domeniile care au controlere de domeniu terțe pot vedea erori în modul Impunere.
Este posibil ca verificarea completă a domeniilor cu clienți terți să dureze mai mult timp după instalarea unei actualizări Windows din 8 noiembrie 2022 sau mai recentă.
Contactați producătorul dispozitivului (OEM) sau furnizorul software-ului pentru a determina dacă software-ul său este compatibil cu cea mai recentă modificare de protocol.
Pentru informații despre actualizările de protocol, consultați subiectul Protocol Windows de pe site-ul web Microsoft.
Glosar
Kerberos este un protocol de autentificare de rețea de computer care funcționează pe baza "tichetelor" pentru a permite nodurilor care comunică printr-o rețea să își demonstreze identitatea unul altuia într-un mod sigur.
Serviciul Kerberos care implementează serviciile de autentificare și de acordare a tichetelor specificate în protocolul Kerberos. Serviciul rulează pe computere selectate de administratorul domeniului sau domeniului; nu este prezent pe fiecare computer din rețea. Trebuie să aibă acces la o bază de date de cont pentru domeniul pe care îl servește. KDC-urile sunt integrate în rolul de controler de domeniu. Este un serviciu de rețea care furnizează tichete clienților pentru autentificarea la servicii.
Privilege Attribute Certificate (PAC) este o structură care transmite informații legate de autorizare furnizate de controlerele de domeniu (DCs). Pentru mai multe informații, consultați Structura de date a atributului Privilege.
Un tip special de tichet care poate fi folosit pentru a obține alte tichete. Tichetul de acordare a tichetului (TGT) este obținut după autentificarea inițială în schimbul serviciului de autentificare (AS); după aceea, utilizatorii nu trebuie să își prezinte acreditările, dar pot utiliza TGT pentru a obține tichete ulterioare.
