使用 Microsoft 登入
登入或建立帳戶。
您好:
選取其他帳戶。
您有多個帳戶
選擇您要用來登入的帳戶。

已更新

2023 年 4 月 10 日: 在 [解決 CVE-2022-37967 的更新時間] 一節中,將 [第三部署階段] 的時間從 2023 年 4 月11 日更新到 2023 年 6 月 13 日。

本文內容

摘要

2022 年 11 月 8 日 Windows 更新會使用特殊許可權屬性憑證 (PAC) 簽章解決安全性旁路和權限提高弱點。 此安全性更新可解決 Kerberos 弱點,攻擊者可能會以數位方式變更 PAC 簽章,提高其許可權。

為了協助保護您的環境,請安裝這個 Windows 更新到所有裝置,包括 Windows 網域控制站。 您網域中的所有網域控制站必須先更新,才能將更新切換到 [強制] 模式。

要深入了解此弱點,請參閱 CVE-2022-37967

採取行動

為協助保護您的環境並防止中斷,建議您執行下列步驟:

  1. 更新在 2022 年 11 月 8 日或之後發行 Windows 更新的 Windows 網域控制站。

  2. 使用 登陸機碼設定 區段,將 Windows 網域控制站 移至 [稽核] 模式。

  3. 監視 [稽核] 模式期間歸檔的事件,以保護您的環境。

  4. 啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

附註 安裝 2022 年 11 月 8 日或之後發行之更新的步驟 1 無法解決 Windows 裝置中預設的 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 中的安全性問題。 若要完全緩解所有裝置的安全性問題,您必須儘快在所有 Windows 網域控制站上移至 [稽核] 模式 (如步驟 2 所述),後面接著 [強制] 執行模式 (步驟 4 所述)。

重要: 自 2023 年 7 月開始,所有 Windows 網域控制站都會啟用 [強制] 模式,並且會封鎖來自不相容裝置的易受攻擊連線。  屆時,您將無法停用更新,但可以回到 [稽核] 模式設定。 [稽核] 模式將會在 2023 年 7 月移除,如解決 Kerberos 弱點 CVE-2022-37967 的更新時間一節所述。

解決 CVE-2022-37967 的更新時間

更新會分階段發行: 更新的初始階段在 2022 年 11 月 8 日或之後發行,更新的「強制」階段在 2023 年 6 月 13 日或之後發行。

初始部署階段從 2022 年 11 月 8 日發行的更新開始,一直持續到之後的 Windows 更新直到 [強制] 階段。 此更新會將簽章新增到 Kerberos PAC 緩衝區,但在驗證期間不會檢查簽章。 因此,安全模式預設為停用。

此更新:

  • 將 PAC 簽章新增到 Kerberos PAC 緩衝區。

  • 新增措施以解決 Kerberos 通訊協定中的安全性旁路弱點。

第二部署階段從 2022 年 12 月 13 日發行的更新開始。 這些和更新的更新會變更 Kerberos 通訊協定,以將 Windows 網域控制站移動到 [稽核] 模式,以稽核 Windows 裝置

此更新預設會以 [稽核] 模式顯示所有 裝置

  • 如果簽章遺失或無效,則允許驗證。 此外,也會建立稽核記錄。 

  • 如果簽章遺失,請引發事件並 允許 驗證。

  • 如果簽章存在,請驗證簽章。 如果簽章錯誤,請引發事件並 允許 驗證。

2023 年 6 月 13 日或之後發佈的 Windows 更新將會執行下列操作: 

  • KrbtgtFullPacSignature 子金鑰的值設定為 0,以移除停用 PAC 簽章新增的能力。

2023 年 7 月 11 日或之後發佈的 Windows 更新將會執行下列操作: 

  • 移除為 將 KrbtgtFullPacSignature 子金鑰設定值為 1 的能力。

  • 將更新移至 [強制] 模式 (預設) (KrbtgtFullPacSignature = 3) ,系統管理員可以明確的 [稽核] 設定覆寫更新。

2023 年 10 月 10 日或之後發佈的 Windows 更新將會執行下列操作: 

  • 移除登陸子機碼 KrbtgtFullPacSignature 的支援。

  • 移除 [稽核] 模式的支援。

  • 所有沒有新 PAC 簽章的服務票證都會被拒絕驗證。

部署指導方針

若要部署 2022 年 11 月 8 日或更新的 Windows 更新,請遵循下列步驟:

  1. 更新在 2022 年 11 月 8 日或之後發行更新的 Windows 網域控制站。

  2. 使用 登陸機碼設定 區段,將網域控制站 移至 [稽核] 模式。

  3. 監視 [稽核]模式期間歸檔的事件,以協助保護您的環境。

  4. 啟用 解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

步驟 1:更新 

將 2022 年 11 月 8 日或更新版本更新部署到所有適用的 Windows 網域控制站 (網域控制站)。 部署更新之後,已更新的 Windows 網域控制站會新增簽章至 Kerberos PAC 緩衝區,且預設為不安全 (不會驗證 PAC 簽章)。

  • 更新時,請務必將 KrbtgtFullPacSignature 登錄值維持在預設狀態,直到所有 Windows 網域控制站更新。

步驟 2:移動 

更新 Windows 網域控制站之後,將 KrbtgtFullPacSignature 值變更為 2,以切換到 [稽核] 模式。  

步驟 3:尋找/監視器 

識別遺漏 PAC 簽章或 PAC 簽章無法透過 [稽核] 模式觸發的事件記錄進行驗證的區域。   

  • 請確定 網域功能等級 至少設定為 2008 或以上,再進入 [強制] 模式。 若網域在 2003 網域功能等級中移動到 [強制] 模式,可能會導致驗證失敗。

  • 如果您的網域未完全更新,或先前發行的未處理服務票證仍存在於您的網域中,將會顯示稽核事件。

  • 繼續監視其他事件記錄,指出遺失 PAC 簽章或現有 PAC 簽章驗證失敗。

  • 更新整個網域且所有未處理票證都已過期之後,稽核事件應該就不會再出現。 然後,您應該能成功移至 [強制] 模式。

步驟 4:啟用 

啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

  • 一旦所有稽核事件都解決且不再出現,請更新 KrbtgtFullPacSignature 登錄值,以將網域移至 [強制] 模式,如 [登錄機碼設定] 一節所述。

  • 如果服務票證具有不正確 PAC 簽章或遺失 PAC 簽章,驗證將會失敗,並記錄錯誤事件。

登錄機碼設定

Kerberos 通訊協定

安裝日期為 2022 年 11 月 8 日或之後的 Windows 更新後,以下登錄機碼可用於 Kerberos 通訊協定:

  • KrbtgtFullPacSignature

    此登錄機碼是用來限制 Kerberos 變更的部署。 此登錄機碼是暫時性的,在 2023 年 10 月 10 日的完整 [強制] 日期之後將不再讀取。 

    登錄機碼

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    KrbtgtFullPacSignature

    資料類型

    REG_DWORD

    資料

    0 = 已停用  

    1 - 新簽章會新增,但不會驗證。 (預設設定)

    2 - 稽核模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則允許驗證並建立稽核紀錄。

    3 - 強制模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則禁止驗證並建立稽核紀錄。

    需要重新啟動?

    附註: 如果需要變更 KrbtgtFullPacSignature 登錄值,請手動新增並設定登錄機碼以覆寫預設值。

與 CVE-2022-37967 相關的 Windows 事件

在 [稽核] 模式中,如果 PAC 簽章遺失或無效,您可能會發現下列其中一個錯誤。 如果此問題在 [強制] 模式期間持續發生,這些事件會記錄為錯誤。

如果您在裝置上發現任一錯誤,可能是您網域中的所有 Windows 網域控制站在 2022 年 11 月 8 日或更新的 Windows 更新中不是最新的。 若要緩解問題,您必須進一步調查您的網域,以尋找不是最新的 Windows 網域控制站。  

附註: 如果您發現事件識別碼 42 有錯誤,請參閱KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 通訊協定變更

事件記錄檔

系統

事件類型

警告

事件來源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件識別碼

43

事件文字

金鑰發佈中心 (KDC) 遇到無法驗證 
完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱>

事件記錄檔

系統

事件類型

警告

事件來源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件識別碼

44

事件文字

金鑰發佈中心 (KDC) 發生未包含完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱>

執行 Kerberos 通訊協定的協力廠商裝置

具有協力廠商網域控制站的網域在 [強制] 模式中可能會看到錯誤。

安裝 2022 年 11 月 8 日或更新的 Windows 更新之後,具有協力廠商用戶端的網域可能需要較長的時間,才能完全清除稽核事件。

請連絡裝置製造商 (OEM) 或軟體廠商,以判斷其軟體是否與最新通訊協定變更相容。

如需通訊協定更新的相關資訊,請參閱 Microsoft 網站上的 Windows 通訊協定 主題。

詞彙

Kerberos 是一種電腦網路驗證通訊協定,其運作依據是「票證」,可讓節點透過網路通訊,以安全的方式證明彼此的身分識別。

Kerberos 服務會實施 Kerberos 通訊協定中指定的驗證和票證授與服務。 服務在領域或網域系統管理員選取的電腦上執行;它不存在於網路的每一部電腦上。 它必須可以存取其服務領域的帳戶資料庫。 KDC已整合到網域控制站角色中。 這是提供票證給用戶端以用於驗證服務的網路服務。

專用權屬性憑證 (PAC) 是一種結構,可傳達網域控制站 (DC) 所提供的授權相關資訊。 如需詳細資訊,請參閱 專屬權屬性憑證資料結構

一種特殊類型的票證,可用來取得其他票證。 在驗證服務 (AS) 交換中的初始驗證後,會取得授票票證 (TGT);之後,使用者就不需要展示認證,但可以使用 TGT 取得後續的票證。

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索 社群

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。

在 Microsoft 社群中提出問題

Microsoft 技術社群

Windows 測試人員

Microsoft 365 測試人員

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?
按下 [提交] 後,您的意見反應將用來改善 Microsoft 產品與服務。 您的 IT 管理員將能夠收集這些資料。 隱私權聲明。

感謝您的意見反應!

×