Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Posodobljene

10. april 2023: Posodobitev »tretje faze uvajanja« z 11. aprila 2023 na 13. junij 2023 v razdelku »Časovna usklajenost posodobitev za naslov CVE-2022-37967«.

V tem članku

Povzetek

8. novembra 2022 sistem Windows posodobi obhod varnosti naslova in povišanje ranljivosti pravic s podpisi s potrdilom o atributu privilegija (PAC). Ta varnostna posodobitev odpravlja ranljivosti Kerberos, kjer lahko napadalec digitalno spremeni podpise PAC in dviga svoje pravice.

Če želite zaščititi svoje okolje, namestite to posodobitev sistema Windows v vse naprave, vključno s krmilniki domene sistema Windows. Preden preklopite posodobitev na vsileni način, morate najprej posodobiti vse krmilnike domene v vaši domeni.

Če želite izvedeti več o teh ranljivostih, glejte CVE-2022-37967.

Ukrepajte

Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo, da izvedete te korake:

  1. Posodobite krmilnike domene sistema Windows s posodobitvijo sistema Windows, izdano 8. novembra 2022 ali po tem.

  2. Krmilnike domene sistema Windows premaknite v način nadzora v razdelku Nastavitev registrskega ključa.

  3. SPREMLJAjte dogodke, ki ste jih vložili med načinom nadzora, da zaščitite svoje okolje.

  4. OMOGOČINačin uveljavljanja za naslov CVE-2022-37967 v vašem okolju.

Opomba 1. korak namestitve posodobitev, izdanih 8. novembra 2022 ali po tem, privzeto ne bo odpravil varnostnih težav v CVE-2022-37967 za naprave s sistemom Windows. Če želite v celoti ublažiti varnostno težavo za vse naprave, morate čim prej v vseh krmilnikih domene sistema Windows premakniti v način nadzora (opisan v 2. koraku), ki mu sledi vsiljeni način (opisan v 4. koraku).

Pomembno Od julija 2023 bo način uveljavljanja omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave iz neskladnih naprav.  V tem času posodobitve ne boste mogli onemogočiti, lahko pa se premaknete nazaj na nastavitev načina nadzora. Način nadzora bo oktobra 2023 odstranjen, kot je opisano v razdelku Časovna usklajenost posodobitev za naslov ranljivosti Kerberos CVE-2022-37967 .

Čas posodobitev za naslov CVE-2022-37967

Posodobitve bodo izdane v fazah: začetna faza za posodobitve, izdane 8. novembra 2022 ali po tem 8. novembru, in faze uveljavljanja za posodobitve, izdane 13. junija 2023 ali po tem.

Faza začetnega uvajanja se začne s posodobitvami, izdanimi 8. novembra 2022, in se nadaljuje s poznejšimi posodobitvami sistema Windows do faze uveljavljanja. Ta posodobitev doda podpise v medpomnilnik Kerberos PAC, vendar med preverjanjem pristnosti ne preveri, ali so na voljo podpisi. Tako je varni način privzeto onemogočen.

Ta posodobitev:

  • Doda podpise PAC medpomnilniku Kerberos PAC.

  • Doda ukrepe za zaščito ranljivosti obhoda v protokolu Kerberos.

Druga faza uvajanja se začne s posodobitvami, izdanimi 13. decembra 2022. S temi in novejšimi posodobitvami spremenite protokol Kerberos za nadzor naprav s sistemom Windows tako , da krmilnike domene sistema Windows premaknete v način nadzora.

S to posodobitvijo bodo vse naprave privzeto v načinu nadzora:

  • Če podpis manjka ali je neveljaven, je dovoljeno preverjanje pristnosti. Poleg tega bo ustvarjen dnevnik nadzora. 

  • Če podpis manjka, dvignite dogodek in omogočite preverjanje pristnosti.

  • Če je podpis prisoten, ga preverite. Če podpis ni pravilen, dvignite dogodek in omogočite preverjanje pristnosti.

Posodobitve sistema Windows, izdane 13. junija 2023 ali po tem, bodo storile to: 

  • Odstranite možnost onemogočanja dodajanja podpisa PAC tako, da podključ KrbtgtFullPacSignature nastavite na vrednost 0.

Posodobitve sistema Windows, izdane 11. julija 2023 ali po tem, bodo storile to: 

  • Odstrani možnost nastaviti vrednost 1 za podključ KrbtgtFullPacSignature.

  • Premakne posodobitev v način uveljavljanja (privzeto) (KrbtgtFullPacSignature = 3), ki ga lahko preglasi skrbnik z eksplicitno nastavitvijo Nadzora.

Posodobitve sistema Windows, izdane 10. oktobra 2023 ali po tem, bodo storile to: 

  • Odstrani podporo za registrski podključ KrbtgtFullPacSignature.

  • Odstrani podporo za način nadzora.

  • Vse naročila storitev brez novih podpisov PAC bodo zavrnjena za preverjanje pristnosti.

Smernice za uvajanje

Če želite uvesti posodobitve sistema Windows z dne 8. novembra 2022 ali novejše posodobitve sistema Windows, sledite tem korakom:

  1. Posodobite krmilnike domene sistema Windows s posodobitvijo, izdano 8. novembra 2022 ali po tem.

  2. Krmilnike domene premaknite v način nadzora v razdelku Nastavitev registrskega ključa.

  3. SPREMLJAjte dogodke, ki ste jih vložili med načinom nadzora, da zaščitite svoje okolje.

  4. OMOGOČI Način uveljavljanja za naslov CVE-2022-37967 v vašem okolju.

1. KORAK: POSODOBITEV 

Uvedi posodobitve z dne 8. novembra 2022 ali novejše posodobitve za vse veljavne krmilnike domene sistema Windows. Po uvedbi posodobitve bodo posodobljeni krmilniki domene sistema Windows imeli v medpomnilnik Kerberos PAC dodano podpise in bodo privzeto negotovi (podpis PAC ni preverjen).

  • Med posodabljanjem ne pozabite ohraniti registrske vrednosti KrbtgtFullPacSignature v privzetem stanju, dokler niso posodobljeni vsi krmilniki domene sistema Windows.

2. KORAK: PREMAKNI 

Ko so krmilniki domene sistema Windows posodobljeni, preklopite v način nadzora tako, da vrednost KrbtgtFullPacSignature spremenite na 2.  

3. KORAK: NAJDI/MONITOR 

Identificirajte območja, kjer manjkajo podpisi PAC ali pa imajo podpise PAC, ki ne morejo izvesti preverjanja veljavnosti v dnevnikih dogodkov, sproženih med načinom nadzora.   

  • Prepričajte se, da je funkcionalna raven domene nastavljena na vsaj 2008 ali več, preden se premaknete v način uveljavljanja. Če z domenami na ravni funkcij domene 2003 nadaljujete z načinom uveljavljanja, lahko pride do napak pri preverjanju pristnosti.

  • Dogodki nadzora bodo prikazani, če vaša domena ni v celoti posodobljena ali če v vaši domeni še vedno obstajajo neporavnane že izdane vstopnice storitve.

  • Še naprej spremljajte, ali so shranjeni dodatni dnevniki dogodkov, ki kažejo manjkajoče podpise PAC ali napake pri preverjanju veljavnosti obstoječih podpisov PAC.

  • Ko je celotna domena posodobljena in vse neporavnane vstopnice potečejo, dogodki nadzora ne bi več morali biti prikazani. Nato se boste lahko premaknili v način uveljavljanja brez napak.

4. KORAK: OMOGOČITE 

Omogočite način uveljavljanja za naslov CVE-2022-37967 v svojem okolju.

  • Ko so vsi dogodki nadzora odpravljeni in niso več prikazani, premaknite domene v način uveljavljanja tako, da posodobite vrednost registra KrbtgtFullPacSignature , kot je opisano v razdelku Nastavitve registrskega ključa.

  • Če ima servisna vstopnica neveljaven podpis PAC ali manjkajo podpisi PAC, preverjanje veljavnosti ne bo uspelo in dogodek napake bo zabeležen.

Nastavitve registrskega ključa

Protokol Kerberos

Po namestitvi posodobitev sistema Windows z datumom ali po 8. novembru 2022 je za protokol Kerberos na voljo ta registrski ključ:

  • KrbtgtFullPacSignature

    Ta registrski ključ se uporablja za zadržanje uvajanja sprememb Kerberos. Ta registrski ključ je začasen in ne bo več prebran po polnem datumu uveljavljanja, ki je 10. oktobra 2023. 

    Registrski ključ

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Vrednost

    KrbtgtFullPacSignature

    Podatkovni tip

    REG_DWORD

    Podatki

    0 – Onemogočeno  

    1 – Dodani so novi podpisi, vendar niso preverjeni. (Privzeta nastavitev)

    2 – Način nadzora. Dodani so novi podpisi in preverjeni, če so prisotni. Če podpis manjka ali pa je neveljaven, je preverjanje pristnosti dovoljeno in ustvarjeni so dnevniki nadzora.

    3 – Način uveljavljanja. Dodani so novi podpisi in preverjeni, če so prisotni. Če podpis manjka ali je neveljaven, je preverjanje pristnosti zavrnjeno in ustvarjeni so dnevniki nadzora.

    Ali je potreben vnovični zagon?

    Ne

    Opomba Če morate spremeniti registrsko vrednost KrbtgtFullPacSignature, ročno dodajte in nato konfigurirajte registrski ključ tako, da preglasi privzeto vrednost.

Dogodki sistema Windows, povezani s CVE-2022-37967

V načinu nadzora lahko najdete eno od teh napak, če podpisi PAC manjkajo ali niso veljavni. Če se ta težava ponavlja med načinom uveljavljanja, bodo ti dogodki zabeleženi kot napake.

Če v svoji napravi najdete napako, verjetno niso posodobljeni vsi krmilniki domene sistema Windows v vaši domeni s posodobitvijo sistema Windows z dne 8. novembra 2022 ali novejše. Če želite odpraviti težave, morate podrobneje raziskati svojo domeno, da boste našli krmilnike domene sistema Windows, ki niso posodobljeni.  

Opomba Če najdete napako z ID-jem dogodka 42, glejte KB5021131: Kako upravljati spremembe protokola Kerberos, povezane s CVE-2022-37966.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo

Vir dogodka

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID dogodka

43

Besedilo dogodka

Središče za distribucijo ključa (KDC) je naletelo na vstopnico, da ni mogel preveriti veljavnosti
celoten podpis PAC. Če želite https://go.microsoft.com/fwlink/?linkid=2210019 več informacij, glejte Članek z več podatki. Odjemalec: <sfero>/<Ime>

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo

Vir dogodka

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID dogodka

44

Besedilo dogodka

Središče za distribucijo ključa (KDC) je naletelo na vstopnico, ki ni vsebovala celotnega podpisa PAC. Če želite https://go.microsoft.com/fwlink/?linkid=2210019 več informacij, glejte Članek z več podatki. Odjemalec: <sfero>/<Ime>

Naprave drugih ponudnikov, ki uporabljajo protokol Kerberos

Domene, ki imajo krmilnike domene neodvisnih izdelovalcev, lahko vidijo napake v načinu uveljavljanja.

Domene z odjemalci tretjih oseb bodo po namestitvi posodobitve sistema Windows z dne 8. novembra 2022 ali novejše posodobitve sistema Windows morda dlje počiščene.

Obrnite se na proizvajalca naprave (OEM) ali prodajalca programske opreme in preverite, ali je njegova programska oprema združljiva z najnovejšo spremembo protokola.

Če želite več informacij o posodobitvah protokola, glejte temo Protokola Windows na Microsoftovem spletnem mestu.

Slovar

Kerberos je protokol preverjanja pristnosti v omrežju računalnika, ki deluje na osnovi »vstopnic«, ki vozliščem, ki prek omrežja komunicirajo, da dokažejo svojo identiteto med seboj na varen način.

Storitev Kerberos, ki izvaja storitve preverjanja pristnosti in dodeljevanja vstopnic, določenih v protokolu Kerberos. Storitev se izvaja v računalnikih, ki jih izbere skrbnik sfere ali domene; ni prisoten v vseh računalnikih v omrežju. Za sfero, ki ji služi, mora imeti dostop do zbirke podatkov računa. KD-ji so integrirani v vlogo krmilnika domene. Gre za omrežno storitev, ki odjemalcem dobavlja vstopnice za uporabo pri omogočanja pristnosti storitev.

Potrdilo o atributu pravic (PAC) je struktura, ki sporoča informacije, povezane s pooblastilom, ki jih posredujejo krmilniki domene. Če želite več informacij, glejte Podatkovna struktura potrdila s atributom privilegija.

Posebna vrsta vozovnice, ki jo je mogoče uporabiti za pridobitev drugih vstopnic. Ticket-granting Ticket (TGT) se pridobi po prvotnem preverjanju pristnosti v izmenjavo AS (Authentication Service); nato uporabnikom ni treba predstaviti svojih poverilnic, lahko pa uporabijo TGT za pridobitev poznejših vozovnic.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×