更改日志
|
更改 1:2023 年 4 月 5 日: 在“解决 CVE-2022-38023 的更新时间”部分,已将注册表项的“默认强制执行”阶段从 2023 年 4 月 11 日移至 2023 年 6 月 13 日。 更改 2:2023 年 4 月 20 日: 在“注册表项设置”部分中删除了对“域控制器:允许易受攻击的 Netlogon 安全通道连接”组策略对象(GPO)的不准确引用。 更改 3:2023 年 6 月 19 日:
|
本任务的内容
摘要
2022 年 11 月 8 日及更高版本的 Windows 更新解决了使用 RPC 签名而不是 RPC 密封时 Netlogon 协议中存在的漏洞。 有关详细信息,请参阅 CVE-2022-38023。
Netlogon 远程协议远程过程调用 (RPC) 接口主要用于维护设备与其域之间的关系,以及域控制器 (DC) 之间和域之间的关系。
默认情况下,此更新会保护 Windows 设备免受 CVE-2022-38023 的影响。 对于第三方客户端和第三方域控制器,更新默认处于兼容性模式,并允许来自此类客户端的易受攻击的连接。 有关迁移至强制模式的步骤,请参阅注册表项设置部分。
为了保护您的环境,请将日期为 2022 年 11 月 8 日或更高版本的 Windows 更新安装到所有设备(包括域控制器)。
重要说明 从 2023 年 6 月开始,将在所有 Windows 域控制器上启用强制模式,并将阻止来自不合规设备的易受攻击的连接。 届时,你将无法禁用更新,但可以迁移回兼容性模式设置。 兼容性模式将在 2023 年 7 月删除,如解决 Netlogon 漏洞 CVE-2022-38023 的更新时间部分所述。
解决 CVE-2022-38023 的更新时间
更新将分多个阶段发布:初始阶段和强制执行阶段,前者将包括 2022 年 11 月 8 日或之后发布的更新,后者则包括 2023 年 7 月 11 日或之后发布的更新。
初始部署阶段始于 2022 年 11 月 8 日发布的更新,然后继续进行后续 Windows 更新,直到强制执行阶段。 2022 年 11 月 8 日或之后的 Windows 更新将通过在所有 Windows 客户端上强制执行 RPC 密封来解决 CVE-2022-38023 安全绕过漏洞。
默认情况下,设备将设置为兼容性模式。 如果 Netlogon 客户端运行的是 Windows,或者充当域控制器或信任帐户,Windows 域控制器将要求其使用 RPC 密封。
2023 年 4 月 11 日或之后发布的 Windows 更新将通过将值 0 设置为 RequireSeal 注册表子项来删除禁用 RPC 密封的功能。
RequireSeal 注册表子项将迁移至强制模式,除非管理员明确将其配置为兼容性模式。 来自所有客户端(包括第三方)的易受攻击连接将被拒绝身份验证。 请参阅 更改 1。
2023 年 7 月 11 日发布的 Windows 更新将删除将值 1 设置为 RequireSeal 注册表子项的功能。 这将启用 CVE-2022-38023 的强制执行阶段。
注册表项设置
安装 2022 年 11 月 8 日或之后的 Windows 更新后,以下注册表子项将可用于 Windows 域控制器上的 Netlogon 协议。
重要说明 此更新以及将来的强制更改不会自动添加或删除“RequireSeal”注册表子项。 必须手动添加此注册表子项才能读取它。 请参阅 更改 3。
RequireSeal 子项
|
注册表项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
值 |
RequireSeal |
|
数据类型 |
REG_DWORD |
|
数据 |
0 - 已禁用 1 – 兼容性模式。 如果 Netlogon 客户端运行的是 Windows,或者充当域控制器或信任帐户,Windows 域控制器将要求其使用 RPC 密封。 2 - 强制模式。 所有客户端都需要使用 RPC Seal。 请参阅 更改 2。 |
|
是否需要重启? |
否 |
与 CVE-2022-38023 相关的 Windows 事件
注意 以下事件具有一个 1 小时的缓冲区,其中包含相同信息的重复事件在该缓冲区期间丢弃。
|
事件日志 |
系统警报 |
|
事件类型 |
错误 |
|
事件源 |
NETLOGON |
|
事件 ID |
5838 |
|
事件文本 |
Netlogon 服务遇到使用 RPC 签名而不是 RPC 密封的客户端。 |
如果在事件日志中发现此错误消息,则必须执行以下操作来解决系统错误:
-
确认设备运行的是受支持的 Windows 版本。
-
检查以确保所有设备都已更新至最新版本。
-
检查以确保域成员:域成员对安全通道数据进行数字加密或数字签名(始终)”设置为“已启用”。
|
事件日志 |
系统警报 |
|
事件类型 |
错误 |
|
事件源 |
NETLOGON |
|
事件 ID |
5839 |
|
事件文本 |
Netlogon 服务遇到使用 RPC 签名而不是 RPC 密封的信任。 |
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
NETLOGON |
|
事件 ID |
5840 |
|
事件文本 |
Netlogon 服务借助使用 RC4 的客户端创建了一个安全通道。 |
如果找到事件 5840,则表示域中的客户端正在使用弱加密。
|
事件日志 |
系统警报 |
|
事件类型 |
错误 |
|
事件源 |
NETLOGON |
|
事件 ID |
5841 |
|
事件文本 |
由于“RejectMd5Clients”设置,Netlogon 服务拒绝了使用 RC4 的客户端。 |
如果找到事件 5841,则表示已将 RejectMD5Clients 值设置为 TRUE。
The RejectMD5Clients 密钥是 Netlogon 服务中预先存在的密钥。 有关详细信息,请参阅 RejectMD5Clients 抽象数据模型说明。
常见问题解答 (FAQ)
所有已加入域的计算机帐户都受此 CVE 影响。 安装 2022 年 11 月 8 日或更高版本的 Windows 更新后,事件将显示受此问题影响最大的人员,请查看事件日志错误部分以解决相应问题。
为了帮助检测尚未使用最强可用加密的旧客户端,此更新为使用 RC4 的客户端引入了事件日志。
RPC 签名是指 Netlogon 协议使用 RPC 对其通过网络发送的消息进行签名。 RPC 密封是指 Netlogon 协议对其通过网络发送的消息同时进行签名和加密。
Windows 域控制器通过查询 Netlogon 客户端的 Active Directory 中的“OperatingSystem”属性并检查以下字符串来确定 Netlogon 客户端是否正在运行 Windows:
-
“Windows”、“Hyper-V 服务器”和“Azure Stack HCI”
不建议也不支持 Netlogon 客户端或域管理员将此属性更改为不代表 Netlogon 客户端正在运行的操作系统 (OS) 的值。 你应该知道,我们随时可能会更改搜索条件。 请参阅 更改 3。
强制阶段不会根据客户端使用的加密类型拒绝 Netlogon 客户端。 仅当 Netlogon 客户端执行 RPC 签名而不是 RPC 密封时,才会拒绝这些客户端。 拒绝 RC4 Netlogon 客户端基于 Windows Server 2008 R2 及更高版本的 Windows 域控制器可用的“RejectMd5Clients”注册表项。 此更新的强制阶段不会更改“RejectMd5Clients”值。 我们建议客户启用“RejectMd5Clients”值,以提高其域中的安全性。 请参阅 更改 3。
术语表
高级加密标准 (AES) 是一种取代数据加密标准 (DES) 的块密码。 AES 可用于保护电子数据。 AES 算法可用于加密和解密信息。 加密过程是将数据转换为令人无法理解的形式(称为密文);解密密文的过程则是将数据转换回其原始形式(称为明文)。 AES 用于对称密钥加密,这意味着加密和解密操作将使用同一密钥。 它也是一种块密码,这意味着它会对固定大小的明文和密文块进行操作,并且要求明文和密文的大小是该块大小的精确倍数。 AES 也称为 Rijndael 对称加密算法 [FIPS197]。
在与 Windows NT 操作系统兼容的网络安全环境中,负责主域控制器 (PDC) 和备份域控制器 (BDC) 之间的同步和维护功能的组件。 Netlogon 是目录复制服务器 (DRS) 协议的前导。Netlogon 远程协议远程过程调用 (RPC) 接口主要用于维护设备与其域之间的关系,以及域控制器 (DC) 之间和域之间的关系。 有关详细信息,请参阅 Netlogon 远程协议。
RC4-HMAC (RC4) 是一种可变密钥长度对称加密算法。 有关详细信息,请参阅 [SCHNEIER] 部分 17.1。
一个域中两台计算机之间经过身份验证的远程过程调用 (RPC) 连接,该连接具有用于对 RPC 数据包进行签名和加密的成熟安全性上下文。
