KB5008380—Kimlik doğrulama güncelleştirmeleri (CVE-2021-42287)

Özet

CVE-2021-42287 , Kerberos Privilege Attribute Certificate'ı (PAC) etkileyen ve olası saldırganların etki alanı denetleyicilerini taklit etmesine izin veren bir güvenlik atlama güvenlik açığını giderir. Güvenliği aşılmış bir etki alanı hesabı bu güvenlik açığından yararlanmak için Anahtar Dağıtım Merkezi'nin (KDC) güvenliği aşılmış hesabın ayrıcalık düzeyinden daha yüksek bir ayrıcalık düzeyine sahip bir hizmet bileti oluşturmasına neden olabilir. Bunu, KDC'nin daha yüksek ayrıcalıklı hizmet biletinin hangi hesap için olduğunu tanımlamasını engelleyerek gerçekleştirir.

CVE-2021-42287'deki geliştirilmiş kimlik doğrulama işlemi, Kerberos Ticket-Granting Biletlerinin (TGT) DC'lerine özgün istek sahibi hakkında yeni bilgiler ekler. Daha sonra, bir hesap için Kerberos hizmet bileti oluşturulduğunda, yeni kimlik doğrulama işlemi TGT'yi talep eden hesabın hizmet biletinde başvuruda bulunan hesapla aynı olduğunu doğrular.

9 Kasım 2021 veya üzeri tarihli Windows güncelleştirmelerini yükledikten sonra, BILGISAYARLAR, daha önce BILGISAYARLARı reddetmeyi seçenler bile dahil olmak üzere tüm etki alanı hesaplarının TGT'sine eklenir.

Eyleme geçme

Ortamınızı korumak ve kesintileri önlemek için lütfen aşağıdaki adımları tamamlayın:

9 Kasım 2021 güvenlik güncelleştirmesini ve 14 Kasım 2021 bant dışı (OOB) güncelleştirmesini yükleyerek Active Directory etki alanı denetleyicisi rolünü barındıran tüm cihazları güncelleştirin. Belirli işletim sisteminiz için OOB KB numarasını aşağıda bulabilirsiniz.

İS	KB numarası
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

9 Kasım 2021 güvenlik güncelleştirmesini ve 14 Kasım 2021 OOB güncelleştirmesini en az 7 gün boyunca tüm Active Directory etki alanı denetleyicilerine yükledikten sonra, tüm Active Directory etki alanı denetleyicilerinde Zorlama modunu etkinleştirmenizi kesinlikle öneririz.
11 Ekim 2022 Zorlama Aşaması güncelleştirmesi (güncelleştirildi) ile başlayarak, Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve gerekli olacaktır.

Windows güncelleştirmelerinin zamanlaması - (31/1/23 güncelleştirildi)

Bu Windows Güncelleştirmeler üç aşamada yayımlanacaktır:

İlk dağıtım – Güncelleştirmenin yanı sıra PacRequestorEnforcement kayıt defteri anahtarının tanıtımı
İkinci dağıtım – PacRequestorEnforcement değerinin 0 kaldırılması (kayıt defteri anahtarını devre dışı bırakma özelliği)
Zorlama aşaması – Zorlama modu etkindir. Bu aşama PacRequestorEnforcement anahtarını kullanımdan kaldırıyor ve artık okumuyor

9 Kasım 2021: İlk dağıtım aşaması

İlk dağıtım aşaması, 9 Kasım 2021'de yayımlanan Windows güncelleştirmesi ile başlar. Bu sürüm:

CVE-2021-42287'ye karşı korumalar ekler
Zorlama aşamasına erken geçiş yapmanızı sağlayan PacRequestorEnforcement kayıt defteri değeri için destek ekler

Azaltma, etki alanı denetleyicisi rolünü ve salt okunur etki alanı denetleyicilerini (RODC) barındıran tüm cihazlara Windows güncelleştirmelerinin yüklenmesinden oluşur.

12 Temmuz 2022: İkinci dağıtım aşaması

İkinci dağıtım aşaması, 12 Temmuz 2022'de yayımlanan Windows güncelleştirmesi ile başlar. Bu aşama PacRequestorEnforcement 0 ayarını kaldırır. Bu güncelleştirme yüklendikten sonra PacRequestorEnforcement ayarının 0 olarak ayarlanması , PacRequestorEnforcement'un 1 olarak ayarlanmasıyla aynı etkiye sahip olacaktır. Etki alanı denetleyicileri (DC' ler) Dağıtım modunda olacaktır.

Not PacRequestorEnforcement ortamınızda hiçbir zaman 0 olarak ayarlanmamışsa bu aşama gerekli değildir. Bu aşama , PacRequestorEnforcement'ı 0olarak ayarlayan müşterilerin Zorlama aşamasından önce ayar 1'e geçmelerini sağlamaya yardımcı olur.

Not Bu güncelleştirme, tüm etki alanı denetleyicilerinin 9 Kasım 2021 veya üzeri Windows güncelleştirmesi ile güncelleştirildiğini varsayar.

11 Ekim 2022: Zorlama aşaması - (31/1/23 güncelleştirildi)

11 Ekim 2022 sürümü, tüm Active Directory etki alanı denetleyicilerini Zorlama aşamasına geçirecektir. Zorlama aşaması PacRequestorEnforcement anahtarını kullanımdan kaldırıyor ve artık okumaz. Sonuç olarak, 11 Ekim 2022 güncelleştirmesini yükleyen Windows etki alanı denetleyicileri artık aşağıdakilerle uyumlu olmayacaktır:

9 Kasım 2021 veya sonraki güncelleştirmeleri yüklemeyen etki alanı denetleyicileri.
9 Kasım 2021 veya sonraki güncelleştirmeleri yükleyen ancak 12 Temmuz 2022 güncelleştirmesini henüz yüklememiş olan ve PacRequestorEnforcement kayıt defteri değeri 0 olan etki alanı denetleyicileri.

Ancak, 11 Ekim 2022 güncelleştirmesini yükleyen Windows etki alanı denetleyicileri aşağıdakilerle uyumlu kalır:

11 Ekim 2022 veya sonraki güncelleştirmeleri yükleyen Windows etki alanı denetleyicileri
^{9 Kasım} 2021 veya üzeri güncelleştirmeleri yükleyen ve PacRequestorEnforcement değerine veya 1 veya 2'ye sahip pencere etki alanı denetleyicileri

Kayıt defteri anahtarı bilgileri

9 Kasım 2021 ile 14 Haziran 2022 arasında yayımlanan Windows güncelleştirmelerinde CVE-2021-42287 korumalarını yükledikten sonra aşağıdaki kayıt defteri anahtarı kullanılabilir olacaktır:

Kayıt defteri alt anahtarı	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Değer	PacRequestorEnforcement
Veri türü	REG_DWORD
Veri	1: 9 Kasım 2021 veya üzeri güncelleştirmelerin yüklü olduğu bir Active Directory etki alanı denetleyicisi kullanarak kimlik doğrulaması yapan kullanıcılara yeni PAC'yi ekleyin. Kimlik doğrulaması sırasında, kullanıcının yeni PAC'si varsa PAC doğrulanır. Kullanıcının yeni PAC'i yoksa başka işlem yapılmaz. Bu moddaki Active Directory etki alanı denetleyicileri Dağıtım aşamasındadır. 2: 9 Kasım 2021 veya üzeri güncelleştirmelerin yüklü olduğu bir Active Directory etki alanı denetleyicisi kullanarak kimlik doğrulaması yapan kullanıcılara yeni PAC'yi ekleyin. Kimlik doğrulaması sırasında, kullanıcının yeni PAC'si varsa PAC doğrulanır. Kullanıcının yeni PAC'i yoksa kimlik doğrulaması reddedilir. Bu modda Active Directory etki alanı denetleyicileri Zorlama aşamasındadır. 0: Kayıt defteri anahtarını devre dışı bırakır. Önerilmez. Bu moddaki Active Directory etki alanı denetleyicileri Devre Dışı aşamasındadır. Bu değer, 12 Temmuz 2022 veya sonraki güncelleştirmelerin ardından mevcut olmayacaktır. Önemli 0 ayarı 2 ayarıyla uyumlu değildir. Bir ormanda her iki ayar da kullanılıyorsa aralıklı hatalar oluşabilir. 0 ayarı kullanılıyorsa, ayar 2'ye (Zorlama modu) geçmeden önce 0 ayarını en az bir hafta boyunca 1 (Dağıtım) ayarına geçirmenizi öneririz.
Varsayılan	1 (kayıt defteri anahtarı ayarlanmadığında)
Yeniden başlatma gerekiyor mu?	Hayır

Olayları Denetleme

9 Kasım 2021 Windows güncelleştirmesi de yeni olay günlükleri ekleyecektir.

Öznitelikleri olmayan PAC

KDC, PAC Özniteliği arabelleği olmadan bir TGT ile karşılaşır. Günlüklerdeki diğer KDC'nin güncelleştirmeyi içermemesi veya Devre dışı modunda olması olasıdır.

Olay Günlüğü	Sistem
Olay Türü	Uyarı
Olay Kaynağı	Microsoft-Windows-Kerberos-Key-Distribution-Center
Olay Kimliği	35
Olay Metni	Anahtar Dağıtım Merkezi (KDC), PAC öznitelikleri alanı içermeyen başka bir KDC'den ("<KDC Adı>") bilet verme anahtarı (TGT) ile karşılaştı.

PAC olmadan bilet

KDC, PAC olmadan bir TGT veya başka bir kanıt biletiyle karşılaşır. Bu, KDC'nin bilet üzerinde güvenlik denetimlerini zorunlu tutmasını önler.

Olay Günlüğü	Sistem
Olay Türü	Dağıtım Aşamasında Uyarı Zorlama Aşamasında Hata
Olay Kaynağı	Microsoft-Windows-Kerberos-Key-Distribution-Center
Olay Kimliği	36
Olay Metni	Anahtar Dağıtım Merkezi (KDC), başka bir anahtar için istek işlenirken PAC içermeyen bir anahtarla karşılaştı. Bu, güvenlik denetimlerinin çalışmasını engelledi ve güvenlik açıklarını açabilir. İstemci: Etki Alanı Adı>\<Kullanıcı Adı> < Bilet: <Hizmet Adı>

İstek Sahibi Olmayan Bilet

KDC, PAC İstek Sahibi arabelleği olmadan bir TGT veya başka bir kanıt biletiyle karşılaşır. PAC'yi oluşturan KDC'nin güncelleştirmeyi içermemesi veya Devre Dışı modunda olması olasıdır.

Not Olay 37 hakkında önemli bilgiler için Bilinen sorunlar bölümüne bakın.

Olay Günlüğü	Sistem
Olay Türü	Dağıtım Aşamasında Uyarı Zorlama Aşamasında Hata
Olay Kaynağı	Microsoft-Windows-Kerberos-Key-Distribution-Center
Olay Kimliği	37
Olay Metni	Anahtar Dağıtım Merkezi (KDC), başka bir bilet için istek işlenirken bilet isteyen hesap hakkında bilgi içermeyen bir biletle karşılaştı. Bu, güvenlik denetimlerinin çalışmasını engelledi ve güvenlik açıklarını açabilir. Tarafından oluşturulan bilet PAC'si: <KDC Adı> İstemci: <Etki Alanı Adı>\<İstemci Adı> Bilet: <Hizmet Adı>

İstek Sahibi Uyuşmazlığı

KDC bir TGT veya başka bir kanıt biletiyle karşılaşır ve TGT veya kanıt biletini talep eden hesap, hizmet biletinin oluşturulduğu hesapla eşleşmiyor.

Olay Günlüğü	Sistem
Olay Türü	Hata
Olay Kaynağı	Microsoft-Windows-Kerberos-Key-Distribution-Center
Olay Kimliği	38
Olay Metni	Anahtar Dağıtım Merkezi (KDC), bilet isteğinde bulunan hesap hakkında tutarsız bilgiler içeren bir biletle karşılaştı. Bu, bilet verildiğinden bu yana hesabın yeniden adlandırıldığı anlamına gelebilir ve bu da açıklardan yararlanma girişiminin bir parçası olabilir. Tarafından oluşturulan bilet PAC'si: <Kdc Adı> İstemci: Etki Alanı Adı>\<Kullanıcı Adı> < Bilet: <Hizmet Adı> Active Directory'den Hesap SID'sini isteme: SID> < Anahtardan Hesap SID'sini isteme: <SID>

Bilinen sorunlar

Belirti	Geçici Çözüm
Etki alanı denetleyicilerine (DC) 9 Kasım 2021 veya üzeri sürümlerde yayımlanan Windows güncelleştirmelerini yükledikten sonra, bazı müşteriler yeni denetim Olay Kimliği 37'nin belirli parola ayarından sonra günlüğe kaydedildiğini veya aşağıdaki gibi işlemleri değiştirdiğini görebilir: Yük devretme kümesinin CNO veya VCO'sını güncelleştirme veya onarma Active Directory Kullanıcıları ve Bilgisayarları (dsa.msc) konsolundan kullanıcının parolasını sıfırlama Active Directory Kullanıcıları ve Bilgisayarları (dsa.msc) konsolundan yeni kullanıcı oluşturma Üçüncü taraf, etki alanına katılmış cihazlar için parolayı değiştirme 9 Kasım 2021 veya üzeri sürümlerde bir hafta yayımlanan Windows güncelleştirmelerini yükledikten sonra Olay Kimliği 37'yi görmüyorsanız ve PacRequestorEnforcement '1' veya '2' ise ortamınız etkilenmez. PacRequestorEnforcement = 1'i ayarlarsanız, Olay Kimliği 37 uyarı olarak günlüğe kaydedilir, ancak parola değiştirme istekleri başarılı olur ve kullanıcıları etkilemez. PacRequestorEnforcement = 2'yi ayarlarsanız parola değiştirme istekleri başarısız olur ve yukarıda listelenen işlemlerin de başarısız olmasına neden olur.	Bu sorun aşağıdaki güncelleştirmelerde giderilmiştir: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, sürüm 20H2, Windows 10 sürüm 21H1 ve Windows 10, sürüm 21H2 - KB5011543 Windows 10, sürüm 1809 ve Windows Server 2019 - KB5011551 Windows 10, sürüm 1607 ve Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Belirti

Geçici Çözüm

Etki alanı denetleyicilerine (DC) 9 Kasım 2021 veya üzeri sürümlerde yayımlanan Windows güncelleştirmelerini yükledikten sonra, bazı müşteriler yeni denetim Olay Kimliği 37'nin belirli parola ayarından sonra günlüğe kaydedildiğini veya aşağıdaki gibi işlemleri değiştirdiğini görebilir:

Yük devretme kümesinin CNO veya VCO'sını güncelleştirme veya onarma
Active Directory Kullanıcıları ve Bilgisayarları (dsa.msc) konsolundan kullanıcının parolasını sıfırlama
Active Directory Kullanıcıları ve Bilgisayarları (dsa.msc) konsolundan yeni kullanıcı oluşturma
Üçüncü taraf, etki alanına katılmış cihazlar için parolayı değiştirme

9 Kasım 2021 veya üzeri sürümlerde bir hafta yayımlanan Windows güncelleştirmelerini yükledikten sonra Olay Kimliği 37'yi görmüyorsanız ve PacRequestorEnforcement '1' veya '2' ise ortamınız etkilenmez.

PacRequestorEnforcement = 1'i ayarlarsanız, Olay Kimliği 37 uyarı olarak günlüğe kaydedilir, ancak parola değiştirme istekleri başarılı olur ve kullanıcıları etkilemez.

PacRequestorEnforcement = 2'yi ayarlarsanız parola değiştirme istekleri başarısız olur ve yukarıda listelenen işlemlerin de başarısız olmasına neden olur.

Bu sorun aşağıdaki güncelleştirmelerde giderilmiştir:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, sürüm 20H2, Windows 10 sürüm 21H1 ve Windows 10, sürüm 21H2 - KB5011543
Windows 10, sürüm 1809 ve Windows Server 2019 - KB5011551
Windows 10, sürüm 1607 ve Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Sık sorulan sorular

S1 Güncelleştirilmiş ve güncelleştirilmemiş Active Directory etki alanı denetleyicilerinin bir karışımına sahipsem ne olur?

A1. Güncelleştirilmiş ve güncelleştirilmemiş ancak varsayılan PacRequestorEnforcement kayıt defteri anahtarı değeri 1 olan etki alanı denetleyicilerinin bir karışımı birbiriyle uyumludur. Ancak Microsoft, bir ortamda güncelleştirilmiş ve güncelleştirilmemiş etki alanı denetleyicilerine sahip olmayı kesinlikle önermemektedir.

S2 Çeşitli PacRequestorEnforcement değerlerine sahip Active Directory etki alanı denetleyicilerinin bir karışımına sahipsem ne olur?

A2. PacRequestorEnforcement değerleri 0 ve 1 olan etki alanı denetleyicilerinin bir karışımı birbiriyle uyumludur. PacRequestorEnforcement değerleri 1 ve 2 olan etki alanı denetleyicilerinin bir karışımı birbiriyle uyumludur. PacRequestorEnforcement değerleri 0 ve 2 olan etki alanı denetleyicilerinin bir karışımı birbiriyle uyumlu değildir ve aralıklı hatalara neden olabilir. Diğer ayrıntılar için lütfen Kayıt defteri anahtarı bilgileri bölümüne bakın.