تغيير السجل
التغيير 1: 5 أبريل 2023: نقل مرحلة "الإنفاذ افتراضيا" لمفتاح التسجيل من 11 أبريل 2023 إلى 13 يونيو 2023 في قسم "توقيت التحديثات لمعالجة CVE-2022-38023". التغيير 2: 20 أبريل 2023: تمت إزالة مرجع غير دقيق إلى "وحدة تحكم المجال: السماح باتصالات قناة Netlogon الآمنة الضعيفة" كائن نهج المجموعة (GPO) في قسم "إعدادات مفتاح التسجيل". التغيير 3: 19 يونيو 2023:
|
في هذه المقالة
الملخص
تعالج تحديثات Windows في 8 نوفمبر 2022 والإصدارات الأحدث نقاط الضعف في بروتوكول Netlogon عند استخدام توقيع RPC بدلا من ختم RPC. يمكن العثور على مزيد من المعلومات في CVE-2022-38023 .
يتم استخدام واجهة استدعاء الإجراء عن بعد ل Netlogon Remote Protocol (RPC) بشكل أساسي للحفاظ على العلاقة بين الجهاز ومجاله والعلاقات بين وحدات التحكم بالمجال (DCs) والمجالات.
يحمي هذا التحديث أجهزة Windows من CVE-2022-38023 بشكل افتراضي. بالنسبة لعملاء الجهات الخارجية ووحدات التحكم بالمجال التابعة لجهة خارجية، يكون التحديث في وضع التوافق بشكل افتراضي ويسمح بالاتصالات الضعيفة من هؤلاء العملاء. راجع قسم إعدادات مفتاح التسجيل للحصول على خطوات للانتقال إلى وضع الإنفاذ.
للمساعدة في تأمين بيئتك، قم بتثبيت تحديث Windows بتاريخ 8 نوفمبر 2022 أو تحديث Windows أحدث لجميع الأجهزة، بما في ذلك وحدات التحكم بالمجال.
الهامه اعتبارا من يونيو 2023، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة. في ذلك الوقت، لن تتمكن من تعطيل التحديث، ولكن قد تعود إلى إعداد وضع التوافق. ستتم إزالة وضع التوافق في يوليو 2023، كما هو موضح في قسم توقيت التحديثات لمعالجة ثغرة Netlogon الأمنية CVE-2022-38023 .
توقيت التحديثات لمعالجة CVE-2022-38023
سيتم إصدار التحديثات على مراحل متعددة: المرحلة الأولية للتحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده ومرحلة الإنفاذ للتحديثات التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك.
تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 8 نوفمبر 2022 وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ. تحديثات Windows في 8 نوفمبر 2022 أو بعد ذلك، تجاوز ثغرة أمان العنوان CVE-2022-38023 عن طريق فرض ختم RPC على جميع عملاء Windows.
بشكل افتراضي، سيتم تعيين الأجهزة في وضع التوافق. تتطلب وحدات تحكم مجال Windows أن يستخدم عملاء Netlogon ختم RPC إذا كانوا يقومون بتشغيل Windows، أو إذا كانوا يعملون إما كوحدات تحكم بالمجال أو كحسابات ثقة.
ستؤدي تحديثات Windows التي تم إصدارها في 11 أبريل 2023 أو بعد ذلك إلى إزالة القدرة على تعطيل ختم RPC عن طريق تعيين القيمة 0 إلى المفتاح الفرعي للسجل RequireSeal .
سيتم نقل المفتاح الفرعي RequireSeal registry إلى الوضع المفروض ما لم يتم تكوين المسؤولين بشكل صريح ليكون ضمن وضع التوافق. سيتم رفض المصادقة على الاتصالات الضعيفة من جميع العملاء بما في ذلك الجهات الخارجية. راجع تغيير 1.
ستؤدي تحديثات Windows التي تم إصدارها في 11 يوليو 2023 إلى إزالة القدرة على تعيين القيمة 1 إلى المفتاح الفرعي لسجل RequireSeal . وهذا يمكن مرحلة الإنفاذ من CVE-2022-38023.
إعدادات مفتاح التسجيل
بعد تثبيت تحديثات Windows التي تم تحديثها في 8 نوفمبر 2022 أو بعد ذلك، يتوفر مفتاح التسجيل الفرعي التالي لبروتوكول Netlogon على وحدات تحكم مجال Windows.
الهامه لا يضيف هذا التحديث، بالإضافة إلى تغييرات الإنفاذ المستقبلية، مفتاح التسجيل الفرعي "RequireSeal" أو يزيله تلقائيا. يجب إضافة مفتاح التسجيل الفرعي هذا يدويا حتى تتم قراءته. راجع تغيير 3.
مفتاح فرعي RequireSeal
مفتاح التسجيل |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
القيمة |
RequireSeal |
نوع البيانات |
Reg_dword |
بيانات |
0 – معطل 1 - وضع التوافق. تتطلب وحدات تحكم مجال Windows أن يستخدم عملاء Netlogon RPC Seal إذا كانوا يقومون بتشغيل Windows، أو إذا كانوا يعملون إما كوحدات تحكم بالمجال أو حسابات الثقة. 2 - وضع الإنفاذ. يطلب من جميع العملاء استخدام RPC Seal. راجع تغيير 2. |
هل إعادة التشغيل مطلوبة؟ |
لا |
أحداث Windows المتعلقة ب CVE-2022-38023
ملاحظه تحتوي الأحداث التالية على مخزن مؤقت لمدة ساعة واحدة يتم فيه تجاهل الأحداث المكررة التي تحتوي على نفس المعلومات أثناء هذا المخزن المؤقت.
سجل الأحداث |
النظام |
نوع الحدث |
الخطأ |
مصدر الحدث |
Netlogon |
معرف الحدث |
5838 |
نص الحدث |
واجهت خدمة Netlogon عميلا يستخدم توقيع RPC بدلا من ختم RPC. |
إذا وجدت رسالة الخطأ هذه في سجلات الأحداث، فيجب عليك اتخاذ الإجراءات التالية لحل خطأ النظام:
-
تأكد من تشغيل الجهاز لإصدار مدعوم من Windows.
-
تحقق للتأكد من تحديث جميع الأجهزة.
-
تحقق للتأكد من تعيين عضو المجال: يقوم عضو المجال بتشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) على ممكن .
سجل الأحداث |
النظام |
نوع الحدث |
الخطأ |
مصدر الحدث |
Netlogon |
معرف الحدث |
5839 |
نص الحدث |
واجهت خدمة Netlogon ثقة باستخدام توقيع RPC بدلا من ختم RPC. |
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
Netlogon |
معرف الحدث |
5840 |
نص الحدث |
أنشأت خدمة Netlogon قناة آمنة مع عميل مع RC4. |
إذا وجدت الحدث 5840، فهذه علامة على أن العميل في مجالك يستخدم تشفيرا ضعيفا.
سجل الأحداث |
النظام |
نوع الحدث |
الخطأ |
مصدر الحدث |
Netlogon |
معرف الحدث |
5841 |
نص الحدث |
رفضت خدمة Netlogon عميلا يستخدم RC4 بسبب إعداد "RejectMd5Clients". |
إذا وجدت الحدث 5841، فهذه علامة على تعيين قيمة RejectMD5Clients إلى TRUE .
RejectMD5Clients لنموذج البيانات المجردة.
مفتاح RejectMD5Clients هو مفتاح موجود مسبقا في خدمة Netlogon. لمزيد من المعلومات، راجع وصفالأسئلة المتداولة (FAQ)
تتأثر جميع حسابات الجهاز المرتبطة بالمجال ب CVE هذا. ستظهر الأحداث الأشخاص الأكثر تأثرا بهذه المشكلة بعد تثبيت تحديثات Windows في 8 نوفمبر 2022 أو أحدث، يرجى مراجعة قسم أخطاء سجل الأحداث لمعالجة المشكلات.
للمساعدة في اكتشاف العملاء الأقدم الذين لا يستخدمون أقوى تشفير متوفر، يقدم هذا التحديث سجلات الأحداث للعملاء الذين يستخدمون RC4.
توقيع RPC هو عندما يستخدم بروتوكول Netlogon RPC لتوقيع الرسائل التي يرسلها عبر السلك. يتم ختم RPC عندما يقوم بروتوكول Netlogon بتوقيع وتشفير الرسائل التي يرسلها عبر السلك.
تحدد وحدة تحكم مجال Windows ما إذا كان عميل Netlogon يقوم بتشغيل Windows عن طريق الاستعلام عن سمة "OperatingSystem" في Active Directory لعميل Netlogon والتحقق من السلاسل التالية:
-
"Windows" و"Hyper-V Server" و"Azure Stack HCI"
لا نوصي ولا ندعم تغيير هذه السمة من قبل عملاء Netlogon أو مسؤولي المجال إلى قيمة غير ممثلة لنظام التشغيل (OS) الذي يقوم عميل Netlogon بتشغيله. يجب أن تدرك أننا قد نغير معايير البحث في أي وقت. راجع تغيير 3.
لا ترفض مرحلة الإنفاذ عملاء Netlogon استنادا إلى نوع التشفير الذي يستخدمه العملاء. سيرفض عملاء Netlogon فقط إذا قاموا بتوقيع RPC بدلا من ختم RPC. يستند رفض عملاء RC4 Netlogon إلى مفتاح التسجيل "RejectMd5Clients" المتوفر ل Windows Server 2008 R2 ووحدات تحكم مجال Windows الأحدث. لا تغير مرحلة الإنفاذ لهذا التحديث قيمة "RejectMd5Clients". نوصي العملاء بتمكين قيمة "RejectMd5Clients" للحصول على أمان أعلى في مجالاتهم. راجع تغيير 3.
مسرد
معيار التشفير المتقدم (AES) هو تشفير كتلة يحل محل معيار تشفير البيانات (DES). يمكن استخدام AES لحماية البيانات الإلكترونية. يمكن استخدام خوارزمية AES لتشفير (تشفير) وفك تشفير (فك التشفير) المعلومات. يقوم التشفير بتحويل البيانات إلى نموذج غير مفهوم يسمى النص المشفر؛ يؤدي فك تشفير النص المشفر إلى تحويل البيانات مرة أخرى إلى شكلها الأصلي، يسمى نص عادي. يتم استخدام AES في تشفير المفتاح المتماثل، ما يعني أن نفس المفتاح يستخدم لعمليات التشفير وفك التشفير. كما أنه تشفير كتلة، ما يعني أنه يعمل على كتل ثابتة الحجم من النص العادي والنص المشفر، ويتطلب حجم النص العادي بالإضافة إلى النص المشفر ليكون مضاعفا دقيقا لحجم الكتلة هذا. يعرف AES أيضا باسم خوارزمية التشفير المتماثل Rijndael [FIPS197] .
في بيئة أمان شبكة متوافقة مع نظام التشغيل Windows NT، المكون المسؤول عن وظائف المزامنة والصيانة بين وحدة تحكم المجال الأساسية (PDC) ووحدات تحكم مجال النسخ الاحتياطي (BDC). Netlogon هو مقدمة لبروتوكول خادم النسخ المتماثل للدليل (DRS). يتم استخدام واجهة استدعاء الإجراء عن بعد ل Netlogon Remote Protocol (RPC) بشكل أساسي للحفاظ على العلاقة بين الجهاز ومجاله والعلاقات بين وحدات التحكم بالمجال (DCs) والمجالات. لمزيد من المعلومات، راجع بروتوكول Netlogon البعيد.
RC4-HMAC (RC4) هي خوارزمية تشفير متماثلة متغيرة طول المفتاح. لمزيد من المعلومات، راجع القسم [SCHNEIER] 17.1.
اتصال استدعاء إجراء عن بعد مصادق عليه (RPC) بين جهازين في مجال مع سياق أمان ثابت يستخدم لتوقيع حزم RPC وتشفيرها.