Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

تغيير السجل 

التغيير 1: 5 أبريل 2023: نقل مرحلة "الإنفاذ افتراضيا" لمفتاح التسجيل من 11 أبريل 2023 إلى 13 يونيو 2023 في قسم "توقيت التحديثات لمعالجة CVE-2022-38023".

التغيير 2: 20 أبريل 2023: تمت إزالة مرجع غير دقيق إلى "وحدة تحكم المجال: السماح باتصالات قناة Netlogon الآمنة الضعيفة" كائن نهج المجموعة (GPO) في قسم "إعدادات مفتاح التسجيل".

التغيير 3: 19 يونيو 2023:

  • تمت إضافة ملاحظة "هامة" إلى قسم "إعدادات مفتاح التسجيل".

  • تمت إضافة "ملاحظة" إلى قسم "أحداث Windows المتعلقة ب CVE-2022-38023".

  • تمت إضافة سؤالين جديدين وإجابات على قسم "الأسئلة المتداولة (FAQ)".

في هذه المقالة

الملخص

تعالج تحديثات Windows في 8 نوفمبر 2022 والإصدارات الأحدث نقاط الضعف في بروتوكول Netlogon عند استخدام توقيع RPC بدلا من ختم RPC. يمكن العثور على مزيد من المعلومات في CVE-2022-38023 .

يتم استخدام واجهة استدعاء الإجراء عن بعد ل Netlogon Remote Protocol (RPC) بشكل أساسي للحفاظ على العلاقة بين الجهاز ومجاله والعلاقات بين وحدات التحكم بالمجال (DCs) والمجالات.

يحمي هذا التحديث أجهزة Windows من CVE-2022-38023 بشكل افتراضي.  بالنسبة لعملاء الجهات الخارجية ووحدات التحكم بالمجال التابعة لجهة خارجية، يكون التحديث في وضع التوافق بشكل افتراضي ويسمح بالاتصالات الضعيفة من هؤلاء العملاء. راجع قسم إعدادات مفتاح التسجيل للحصول على خطوات للانتقال إلى وضع الإنفاذ.

للمساعدة في تأمين بيئتك، قم بتثبيت تحديث Windows بتاريخ 8 نوفمبر 2022 أو تحديث Windows أحدث لجميع الأجهزة، بما في ذلك وحدات التحكم بالمجال.

الهامه اعتبارا من يونيو 2023، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.  في ذلك الوقت، لن تتمكن من تعطيل التحديث، ولكن قد تعود إلى إعداد وضع التوافق. ستتم إزالة وضع التوافق في يوليو 2023، كما هو موضح في قسم توقيت التحديثات لمعالجة ثغرة Netlogon الأمنية CVE-2022-38023 .

توقيت التحديثات لمعالجة CVE-2022-38023

سيتم إصدار التحديثات على مراحل متعددة: المرحلة الأولية للتحديثات التي تم إصدارها في 8 نوفمبر 2022 أو بعده ومرحلة الإنفاذ للتحديثات التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك.

تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 8 نوفمبر 2022 وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ. تحديثات Windows في 8 نوفمبر 2022 أو بعد ذلك، تجاوز ثغرة أمان العنوان CVE-2022-38023 عن طريق فرض ختم RPC على جميع عملاء Windows.

بشكل افتراضي، سيتم تعيين الأجهزة في وضع التوافق. تتطلب وحدات تحكم مجال Windows أن يستخدم عملاء Netlogon ختم RPC إذا كانوا يقومون بتشغيل Windows، أو إذا كانوا يعملون إما كوحدات تحكم بالمجال أو كحسابات ثقة.

ستؤدي تحديثات Windows التي تم إصدارها في 11 أبريل 2023 أو بعد ذلك إلى إزالة القدرة على تعطيل ختم RPC عن طريق تعيين القيمة 0 إلى المفتاح الفرعي للسجل RequireSeal .

سيتم نقل المفتاح الفرعي RequireSeal registry إلى الوضع المفروض ما لم يتم تكوين المسؤولين بشكل صريح ليكون ضمن وضع التوافق. سيتم رفض المصادقة على الاتصالات الضعيفة من جميع العملاء بما في ذلك الجهات الخارجية. راجع تغيير 1.

ستؤدي تحديثات Windows التي تم إصدارها في 11 يوليو 2023 إلى إزالة القدرة على تعيين القيمة 1 إلى المفتاح الفرعي لسجل RequireSeal . وهذا يمكن مرحلة الإنفاذ من CVE-2022-38023.

إعدادات مفتاح التسجيل

بعد تثبيت تحديثات Windows التي تم تحديثها في 8 نوفمبر 2022 أو بعد ذلك، يتوفر مفتاح التسجيل الفرعي التالي لبروتوكول Netlogon على وحدات تحكم مجال Windows.

الهامه لا يضيف هذا التحديث، بالإضافة إلى تغييرات الإنفاذ المستقبلية، مفتاح التسجيل الفرعي "RequireSeal" أو يزيله تلقائيا. يجب إضافة مفتاح التسجيل الفرعي هذا يدويا حتى تتم قراءته. راجع تغيير 3.

مفتاح فرعي RequireSeal

مفتاح التسجيل

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

‏‏القيمة

RequireSeal

نوع البيانات

Reg_dword

بيانات

0 – معطل

1 - وضع التوافق. تتطلب وحدات تحكم مجال Windows أن يستخدم عملاء Netlogon RPC Seal إذا كانوا يقومون بتشغيل Windows، أو إذا كانوا يعملون إما كوحدات تحكم بالمجال أو حسابات الثقة.

2 - وضع الإنفاذ. يطلب من جميع العملاء استخدام RPC Seal. راجع تغيير 2.

هل إعادة التشغيل مطلوبة؟

لا

أحداث Windows المتعلقة ب CVE-2022-38023

ملاحظه تحتوي الأحداث التالية على مخزن مؤقت لمدة ساعة واحدة يتم فيه تجاهل الأحداث المكررة التي تحتوي على نفس المعلومات أثناء هذا المخزن المؤقت.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Netlogon

معرف الحدث

5838

نص الحدث

واجهت خدمة Netlogon عميلا يستخدم توقيع RPC بدلا من ختم RPC.

إذا وجدت رسالة الخطأ هذه في سجلات الأحداث، فيجب عليك اتخاذ الإجراءات التالية لحل خطأ النظام:

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Netlogon

معرف الحدث

5839

نص الحدث

واجهت خدمة Netlogon ثقة باستخدام توقيع RPC بدلا من ختم RPC.

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Netlogon

معرف الحدث

5840

نص الحدث

أنشأت خدمة Netlogon قناة آمنة مع عميل مع RC4.

إذا وجدت الحدث 5840، فهذه علامة على أن العميل في مجالك يستخدم تشفيرا ضعيفا.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Netlogon

معرف الحدث

5841

نص الحدث

رفضت خدمة Netlogon عميلا يستخدم RC4 بسبب إعداد "RejectMd5Clients".

إذا وجدت الحدث 5841، فهذه علامة على تعيين قيمة RejectMD5Clients إلى TRUE .

مفتاح RejectMD5Clients هو مفتاح موجود مسبقا في خدمة Netlogon. لمزيد من المعلومات، راجع وصف RejectMD5Clients لنموذج البيانات المجردة.

الأسئلة المتداولة (FAQ)

تتأثر جميع حسابات الجهاز المرتبطة بالمجال ب CVE هذا. ستظهر الأحداث الأشخاص الأكثر تأثرا بهذه المشكلة بعد تثبيت تحديثات Windows في 8 نوفمبر 2022 أو أحدث، يرجى مراجعة قسم أخطاء سجل الأحداث لمعالجة المشكلات.

للمساعدة في اكتشاف العملاء الأقدم الذين لا يستخدمون أقوى تشفير متوفر، يقدم هذا التحديث سجلات الأحداث للعملاء الذين يستخدمون RC4.

توقيع RPC هو عندما يستخدم بروتوكول Netlogon RPC لتوقيع الرسائل التي يرسلها عبر السلك. يتم ختم RPC عندما يقوم بروتوكول Netlogon بتوقيع وتشفير الرسائل التي يرسلها عبر السلك.

تحدد وحدة تحكم مجال Windows ما إذا كان عميل Netlogon يقوم بتشغيل Windows عن طريق الاستعلام عن سمة "OperatingSystem" في Active Directory لعميل Netlogon والتحقق من السلاسل التالية:

  • "Windows" و"Hyper-V Server" و"Azure Stack HCI"

لا نوصي ولا ندعم تغيير هذه السمة من قبل عملاء Netlogon أو مسؤولي المجال إلى قيمة غير ممثلة لنظام التشغيل (OS) الذي يقوم عميل Netlogon بتشغيله. يجب أن تدرك أننا قد نغير معايير البحث في أي وقت. راجع تغيير 3.

لا ترفض مرحلة الإنفاذ عملاء Netlogon استنادا إلى نوع التشفير الذي يستخدمه العملاء. سيرفض عملاء Netlogon فقط إذا قاموا بتوقيع RPC بدلا من ختم RPC. يستند رفض عملاء RC4 Netlogon إلى مفتاح التسجيل "RejectMd5Clients" المتوفر ل Windows Server 2008 R2 ووحدات تحكم مجال Windows الأحدث. لا تغير مرحلة الإنفاذ لهذا التحديث قيمة "RejectMd5Clients". نوصي العملاء بتمكين قيمة "RejectMd5Clients" للحصول على أمان أعلى في مجالاتهم. راجع تغيير 3.

مسرد

معيار التشفير المتقدم (AES) هو تشفير كتلة يحل محل معيار تشفير البيانات (DES). يمكن استخدام AES لحماية البيانات الإلكترونية. يمكن استخدام خوارزمية AES لتشفير (تشفير) وفك تشفير (فك التشفير) المعلومات. يقوم التشفير بتحويل البيانات إلى نموذج غير مفهوم يسمى النص المشفر؛ يؤدي فك تشفير النص المشفر إلى تحويل البيانات مرة أخرى إلى شكلها الأصلي، يسمى نص عادي. يتم استخدام AES في تشفير المفتاح المتماثل، ما يعني أن نفس المفتاح يستخدم لعمليات التشفير وفك التشفير. كما أنه تشفير كتلة، ما يعني أنه يعمل على كتل ثابتة الحجم من النص العادي والنص المشفر، ويتطلب حجم النص العادي بالإضافة إلى النص المشفر ليكون مضاعفا دقيقا لحجم الكتلة هذا. يعرف AES أيضا باسم خوارزمية التشفير المتماثل Rijndael [FIPS197] .

في بيئة أمان شبكة متوافقة مع نظام التشغيل Windows NT، المكون المسؤول عن وظائف المزامنة والصيانة بين وحدة تحكم المجال الأساسية (PDC) ووحدات تحكم مجال النسخ الاحتياطي (BDC). Netlogon هو مقدمة لبروتوكول خادم النسخ المتماثل للدليل (DRS). يتم استخدام واجهة استدعاء الإجراء عن بعد ل Netlogon Remote Protocol (RPC) بشكل أساسي للحفاظ على العلاقة بين الجهاز ومجاله والعلاقات بين وحدات التحكم بالمجال (DCs) والمجالات. لمزيد من المعلومات، راجع بروتوكول Netlogon البعيد.

RC4-HMAC (RC4) هي خوارزمية تشفير متماثلة متغيرة طول المفتاح. لمزيد من المعلومات، راجع القسم [SCHNEIER] 17.1.

اتصال استدعاء إجراء عن بعد مصادق عليه (RPC) بين جهازين في مجال مع سياق أمان ثابت يستخدم لتوقيع حزم RPC وتشفيرها.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.