Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Uppdaterad

10 april 2023: Uppdaterade "Tredje distributionsfasen" från 11 april 2023 till 13 juni 2023 i avsnittet "Tidpunkt för uppdateringar för att hantera CVE-2022-37967".

I denna artikel

Sammanfattning

Windows-uppdateringarna från 8 november 2022 åtgärdar säkerhetsfel och säkerhetsrisker med utökade privilegier med PAC-signaturer (Privilege Attribute Certificate). Den här säkerhetsuppdateringen åtgärdar Kerberos sårbarheter där en angripare kan ändra PAC-signaturer digitalt och öka sina privilegier.

För att skydda din miljö installerar du den här Windows-uppdateringen på alla enheter, inklusive Windows domänkontrollanter. Alla domänkontrollanter i domänen måste uppdateras först innan uppdateringen växlar till framtvingat läge.

Mer information om dessa sårbarheter finns i CVE-2022-37967.

Vidta åtgärder

För att skydda din miljö och förhindra avbrott rekommenderar vi att du gör följande:

  1. UPPDATERA dina Windows-domänkontrollanter med en Windows-uppdatering som släpptes 8 november 2022 eller senare.

  2. FLYTTA windows-domänkontrollanterna till granskningsläge med hjälp av avsnittet Registernyckelinställning .

  3. ÖVERVAKA händelser som sparats i granskningsläget för att skydda din miljö.

  4. AKTIVERATillämpningsläge för att hantera CVE-2022-37967 i din miljö.

Observera Steg 1 i installationen av uppdateringar som släpptes 8 november 2022 eller senare kommer INTE att åtgärda säkerhetsproblemen i CVE-2022-37967 för Windows-enheter som standard. Om du vill minimera säkerhetsproblemen för alla enheter måste du gå över till granskningsläge (beskrivs i steg 2) följt av framtvingat läge (beskrivs i steg 4) så snart som möjligt på alla Windows-domänkontrollanter.

Viktigt! Från och med juli 2023 aktiveras tvingande läge på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter.  Då kan du inte inaktivera uppdateringen, men du kan gå tillbaka till inställningen Granskningsläge. Granskningsläget tas bort i oktober 2023, vilket beskrivs i avsnittet Tidsinställning för uppdateringar för att åtgärda Kerberos säkerhetsrisker CVE-2022-37967 .

Tidpunkt för uppdateringar för CVE-2022-37967

Uppdateringar kommer att släppas i faser: den första fasen för uppdateringar som släpptes den 8 november 2022 eller senare och fasen för tillämpning för uppdateringar som släpptes den 13 juni 2023 eller senare.

Den första distributionsfasen börjar med uppdateringarna som släpptes 8 november 2022 och fortsätter med senare Windows-uppdateringar fram till tvingande fas. Den här uppdateringen lägger till signaturer i Kerberos PAC-buffert men söker inte efter signaturer under autentiseringen. Detta innebär att säkert läge är inaktiverat som standard.

Den här uppdateringen:

  • Lägger till PAC-signaturer i Kerberos PAC-buffert.

  • Lägger till åtgärder för att åtgärda säkerhetsbrister i Kerberos-protokollet.

Den andra distributionsfasen börjar med uppdateringar som släpptes 13 december 2022. Dessa och senare uppdateringar gör ändringar i Kerberos-protokollet för att granska Windows-enheter genom att flytta Windows-domänkontrollanter till granskningsläge.

Med den här uppdateringen är alla enheter i granskningsläge som standard:

  • Om signaturen saknas eller är ogiltig tillåts autentisering. Dessutom skapas en granskningslogg. 

  • Om signaturen saknas kan du skapa en händelse och tillåta autentiseringen.

  • Om signaturen finns verifierar du den. Om signaturen är felaktig kan du upphöcka en händelse och tillåta autentiseringen.

Windows-uppdateringarna som släpptes 13 juni 2023 eller senare gör följande: 

  • Ta bort möjligheten att inaktivera PAC-signaturtillägg genom att ange undernyckeln KrbtgtFullPacSignature till värdet 0.

Windows-uppdateringarna som släpptes 11 juli 2023 eller senare gör följande: 

  • Tar bort möjligheten att ange värdet 1 för undernyckeln KrbtgtFullPacSignature.

  • Flyttar uppdateringen till tvingande läge (standard) (KrbtgtFullPacSignature = 3) som kan åsidosättas av en administratör med en explicit granskningsinställning.

Windows-uppdateringarna som släpptes den 10 oktober 2023 eller senare gör följande: 

  • Tar bort stöd för registerundernyckeln KrbtgtFullPacSignature.

  • Tar bort stöd för granskningsläge.

  • Alla serviceärenden utan de nya PAC-signaturerna nekas autentisering.

Riktlinjer för distribution

Så här distribuerar du Windows-uppdateringarna från 8 november 2022 eller senare Windows-uppdateringar:

  1. UPPDATERA dina Windows-domänkontrollanter med en uppdatering som släpptes 8 november 2022 eller senare.

  2. FLYTTA domänkontrollanterna till granskningsläge med hjälp av avsnittet Registernyckelinställning.

  3. ÖVERVAKA händelser som sparats i granskningsläget för att skydda din miljö.

  4. AKTIVERA Tillämpningsläge för att hantera CVE-2022-37967 i din miljö.

STEG 1: UPPDATERA 

Distribuera uppdateringarna från 8 november 2022 eller senare till alla tillämpliga Windows-domänkontrollanter (DCs). När uppdateringen har distribuerats kommer Windows domänkontrollanter som har uppdaterats att ha signaturer tillagda i Kerberos PAC Buffer och är osäkra som standard (PAC-signatur valideras inte).

  • Under uppdateringen ser du till att behålla registervärdet KrbtgtFullPacSignature i standardtillståndet tills alla Windows-domänkontrollanter uppdateras.

STEG 2: FLYTTA 

När Windows-domänkontrollanterna har uppdaterats växlar du till granskningsläge genom att ändra värdet KrbtgtFullPacSignature till 2.  

STEG 3: HITTA/ÖVERVAKA 

Identifiera områden som antingen saknar PAC-signaturer eller har PAC-signaturer som inte kan valideras via händelseloggarna som utlöses i granskningsläget.   

  • Kontrollera att domänfunktionsnivån är inställd på minst 2008 eller senare innan du går över till tvingande läge. Om du går över till tvingande läge med domäner på 2003-domänfunktionsnivån kan det resultera i autentiseringsfel.

  • Granskningshändelser visas om domänen inte är helt uppdaterad eller om det fortfarande finns utestående serviceärenden som utfärdats tidigare i domänen.

  • Fortsätt att övervaka om det finns ytterligare händelseloggar som anger att pac-signaturer saknas eller verifieringsfel i befintliga PAC-signaturer.

  • När hela domänen har uppdaterats och alla utestående biljetter har gått ut bör granskningshändelserna inte längre visas. Sedan ska du kunna gå över till tvingande läge utan fel.

STEG 4: AKTIVERA 

Aktivera tvingande läge för att hantera CVE-2022-37967 i din miljö.

  • När alla granskningshändelser har lösts och inte längre visas flyttar du domänerna till tvingande läge genom att uppdatera registervärdet KrbtgtFullPacSignature enligt beskrivningen i avsnittet Registernyckelinställningar.

  • Om ett serviceärende har ogiltig PAC-signatur eller saknar PAC-signaturer misslyckas valideringen och en felhändelse loggas.

Registernyckelinställningar

Kerberos-protokoll

När du har installerat Windows-uppdateringarna från 8 november 2022 eller senare är följande registernyckel tillgänglig för Kerberos-protokollet:

  • KrbtgtFullPacSignature

    Den här registernyckeln används för att gate distributionen av Kerberos-ändringarna. Registernyckeln är tillfällig och kommer inte längre att läsas efter det fullständiga tillämpningsdatumet den 10 oktober 2023. 

    Registernyckel

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Värde

    KrbtgtFullPacSignature

    Datatyp

    REG_DWORD

    Data

    0 – Inaktiverad  

    1 – Nya signaturer läggs till, men verifieras inte. (Standardinställning)

    2 – Granskningsläge. Nya signaturer läggs till och verifieras om de finns. Om signaturen saknas eller är ogiltig tillåts autentisering och granskningsloggar skapas.

    3 – Tillämpningsläge. Nya signaturer läggs till och verifieras om de finns. Om signaturen saknas eller är ogiltig nekas autentiseringen och granskningsloggar skapas.

    Krävs en omstart?

    Nej

    Obs! Om du behöver ändra registervärdet KrbtgtFullPacSignature lägger du till och konfigurerar registernyckeln manuellt för att åsidosätta standardvärdet.

Windows-händelser relaterade till CVE-2022-37967

I granskningsläge kan du hitta något av följande fel om PAC-signaturer saknas eller är ogiltiga. Om problemet kvarstår i tvingande läge loggas dessa händelser som fel.

Om du hittar något av felen på enheten är det troligt att alla Windows-domänkontrollanter i din domän inte är uppdaterade med en Windows-uppdatering från 8 november 2022 eller senare. För att minimera problemen måste du undersöka domänen ytterligare för att hitta Windows-domänkontrollanter som inte är uppdaterade.  

Obs! Om du hittar ett fel med händelse-ID 42 läser du KB5021131: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37966.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

Microsoft-Windows-Kerberos-Key-Distribution-Center

Händelse-ID

43

Händelsetext

Nyckeldistributionscentret (KDC) stötte på en biljett som inte kunde validera
fullständig PAC-signatur. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <realm>/<Name>

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

Microsoft-Windows-Kerberos-Key-Distribution-Center

Händelse-ID

44

Händelsetext

Key Distribution Center (KDC) stötte på en biljett som inte innehöll den fullständiga PAC-signaturen. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2210019. Klient : <realm>/<Name>

Enheter från tredje part som implementerar Kerberos-protokoll

Domäner som har domänkontrollanter från tredje part kan se fel i tvingande läge.

Domäner med tredjepartsklienter kan ta längre tid att rensa granskningshändelser efter installationen av en Windows-uppdatering från 8 november 2022 eller senare.

Kontakta enhetstillverkaren (OEM) eller programvaruleverantören för att avgöra om deras programvara är kompatibel med den senaste protokolländringen.

Mer information om protokolluppdateringar finns i avsnittet Om Windows-protokollet på Microsofts webbplats.

Ordlista

Kerberos är ett protokoll för datornätverksautentisering som fungerar baserat på "biljetter" för att noder som kommunicerar via ett nätverk ska kunna bevisa sin identitet för varandra på ett säkert sätt.

Kerberos-tjänsten som implementerar de tjänster för autentisering och biljettgivande som anges i Kerberos-protokollet. Tjänsten körs på datorer som valts av administratören för sfären eller domänen. den finns inte på alla datorer i nätverket. Den måste ha åtkomst till en kontodatabas för den sfär som den tjänar. KDC:er är integrerade i rollen domänkontrollant. Det är en nätverkstjänst som levererar biljetter till kunder för användning vid autentisera till tjänster.

Privilege Attribute Certificate (PAC) är en struktur som förmedlar auktoriseringsrelaterad information som tillhandahålls av domänkontrollanter (DCs). Mer information finns i Strukturen för certifikatdata för privilegiumattribut.

En särskild typ av biljett som kan användas för att få andra biljetter. Biljettbeviljande biljett (TGT) erhålls efter den första autentiseringen i autentiseringstjänstens (AS) utbyte; därefter behöver inte användarna presentera sina autentiseringsuppgifter, men kan använda TGT för att få efterföljande biljetter.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×