Регистрационен файл на промените
Промяна 1: 5 април 2023 г.: От 11 април 2023 г. до 13 юни 2023 г. е преместена фазата "Прилагане по подразбиране" на ключа на системния регистър в раздела "Времена на актуализациите за адрес cve-2022-38023". Промяна 2: 20 април 2023 г.: Премахната е неточна препратка към "Домейнов контролер: Позволяване на уязвими защитени връзки с канали на Netlogon" обект с групови правила (GPO) в секцията "Настройки на ключ от системния регистър". Промяна 3: 19 юни 2023 г.:
|
В тази статия
Резюме
8 ноември 2022 г. и по-новите актуализации на Windows адресират слабости в протокола Netlogon, когато се използва RPC подписване вместо запечатване на RPC. Повече информация можете да намерите в CVE-2022-38023 .
Интерфейсът за извикване на отдалечен протокол Netlogon за отдалечен протокол (RPC) се използва предимно за поддържане на връзката между устройството и неговия домейн и връзките между домейновите контролери (DCs) и домейните.
Тази актуализация защитава устройства с Windows от CVE-2022-38023 по подразбиране. За клиенти трети лица и домейнови контролери на други разработчици актуализацията е в режим на съвместимост по подразбиране и позволява уязвими връзки от такива клиенти. Вижте раздела Настройки на ключ от системния регистър за стъпките за преминаване към режим на изпълнение.
За да помогнете за защитата на вашата среда, инсталирайте актуализацията на Windows от 8 ноември 2022 г. или по-нова актуализация на Windows на всички устройства, включително домейнови контролери.
Важно От юни 2023 г. режимът на прилагане ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства. В този момент няма да можете да забраните актуализацията, но може да се върнете обратно към настройката режим на съвместимост. Режимът на съвместимост ще бъде премахнат през юли 2023 г., както е описано в раздела Време на актуализациите за справяне с уязвимостта в Netlogon CVE-2022-38023 .
Време на актуализациите за адрес CVE-2022-38023
Актуализации ще бъде издаден на няколко етапа: началната фаза за актуализациите, издадени на или след 8 ноември 2022 г., и фазата на прилагане за актуализации, издадени на или след 11 юли 2023 г.
Началната фаза на разполагане започва с актуализациите, издадени на 8 ноември 2022 г. и продължава с по-късните актуализации на Windows до фазата на прилагане. Актуализации на Windows на или след 8 ноември 2022 г. адресират уязвимостта за заобикаляне на защитата на CVE-2022-38023 чрез прилагане на RPC запечатване на всички клиенти на Windows.
По подразбиране устройствата ще бъдат зададени в режим на съвместимост. Домейновите контролери на Windows ще изискват клиентите на Netlogon да използват RPC печат, ако работят с Windows, или ако действат като домейнови контролери или като акаунти за сигурност.
Актуализациите на Windows, издадени на или след 11 април 2023 г., ще премахнат възможността за забраняване на запечатването на RPC, като зададете стойност 0 на подключа requireSeal на системния регистър.
Подключът requireSeal на системния регистър ще бъде преместен в наложен режим, освен ако администраторите изрично не конфигурират да бъдат в режим на съвместимост. Удостоверяването на уязвимите връзки от всички клиенти, включително от трети лица, ще бъде отказано. Вижте Промяна 1.
Актуализациите на Windows, издадени на 11 юли 2023 г., ще премахнат възможността за задаване на стойност 1 на подключа requireSeal от системния регистър. Това позволява фазата на прилагане на CVE-2022-38023.
Настройки на ключ от системния регистър
След инсталирането на актуализациите на Windows, които са с дата на или след 8 ноември 2022 г., следният подключ от системния регистър е наличен за протокола Netlogon на домейнови контролери на Windows.
ВАЖНО Тази актуализация, както и бъдещи промени в прилагането, не добавяйте автоматично или премахвайте подключа от системния регистър "RequireSeal". Този подключ от системния регистър трябва да бъде добавен ръчно, за да бъде прочетен. Вижте Промяна 3.
Подключ RequireSeal
Ключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Стойност |
Изискване на търсене |
Тип данни |
REG_DWORD |
Данни |
0 – Забранено 1 – Режим на съвместимост. Домейновите контролери на Windows ще изискват клиентите на Netlogon да използват RPC Seal, ако работят с Windows, или ако действат като домейнови контролери или като акаунти за сигурност. 2 – Режим на прилагане. Всички клиенти са длъжни да използват RPC Seal. Вижте Промяна 2. |
Изисква ли се рестартиране? |
Не |
Събития на Windows, свързани с CVE-2022-38023
ЗАБЕЛЕЖКА Следните събития имат 1-часов буфер, в който дублиращи се събития, съдържащи една и съща информация, се отхвърлят по време на този буфер.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
NETLOGON |
ИД на събитие |
5838 |
Текст на събитие |
Услугата Netlogon се натъкна на клиент, който използва RPC подписване вместо RPC запечатване. |
Ако намерите това съобщение за грешка в регистрите на събитията, трябва да предприемете следните действия, за да отстраните системната грешка:
-
Уверете се, че на устройството се изпълнява поддържана версия на Windows.
-
Проверете, за да се уверите, че всички устройства са актуализирани.
-
Проверете, за да се уверите, че член на домейна: Членът на домейна Цифрово шифровай или подписвай защитените данни за канала (винаги) е настроен на Разрешен .
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
NETLOGON |
ИД на събитие |
5839 |
Текст на събитие |
Услугата Netlogon се натъкна на доверие при използване на RPC подписване вместо запечатване на RPC. |
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
NETLOGON |
ИД на събитие |
5840 |
Текст на събитие |
Услугата Netlogon създаде защитен канал с клиент с RC4. |
Ако откриете събитие 5840, това е знак, че клиент във вашия домейн използва слаба криптография.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
NETLOGON |
ИД на събитие |
5841 |
Текст на събитие |
Услугата Netlogon отказа клиент, който използва RC4 поради настройката "RejectMd5Clients". |
Ако намерите събитие 5841, това е знак, че стойността на RejectMD5Clients е зададена на TRUE .
rejectMD5Clients на абстрактния модел на данни.
Ключът RejectMD5Clients е вече съществуващ ключ в услугата Netlogon. За повече информация вижте описаниетоЧесто задавани въпроси (ЧЗВ)
Всички акаунти, присъединени към домейна, са засегнати от този CVE. Събитията ще покажат кой е най-засегнат от този проблем след инсталирането на актуализациите на Windows от 8 ноември 2022 г. или по-нова версия. Прегледайте раздела за грешки в регистъра на събитията , за да се справите с проблемите.
За да ни помогне да открием по-стари клиенти, които не използват най-силните налични crypto, тази актуализация въвежда регистрите на събитията за клиенти, които използват RC4.
Подписването на RPC е, когато протоколът Netlogon използва RPC за подписване на съобщенията, които изпраща по кабела. RPC запечатване е, когато протоколът Netlogon подписва и шифрова съобщенията, които изпраща по кабела.
Домейновият контролер на Windows определя дали клиент netlogon изпълнява Windows чрез заявка към атрибута "OperatingSystem" в Active Directory за клиента Netlogon и проверка за следните низове:
-
"Windows", "Hyper-V Server" и "Azure Stack HCI"
Не препоръчваме и не поддържаме този атрибут да бъде променен от клиенти на Netlogon или администратори на домейни на стойност, която не е представителна за операционната система (ОС), изпълнявана от клиента netlogon. Имайте предвид, че може да променим критериите за търсене по всяко време. Вижте Промяна 3.
Фазата на прилагане не отхвърля netlogon клиенти въз основа на типа шифроване, който клиентите използват. Това ще отхвърли Netlogon клиенти само ако те правят RPC подписване вместо RPC запечатване. Отхвърлянето на клиенти на RC4 Netlogon се базира на ключа от системния регистър RejectMd5Clients, достъпен за Windows Server 2008 R2 и по-нови домейнови контролери на Windows. Фазата на прилагане за тази актуализация не променя стойността "RejectMd5Clients". Препоръчваме на клиентите да разрешат стойността "RejectMd5Clients" за по-висока защита в своите домейни. Вижте Промяна 3.
Речник
Advanced Encryption Standard (AES) е блоков шифър, който замества стандарта за шифроване на данни (DES). AES може да се използва за защита на електронните данни. Алгоритъмът на AES може да се използва за шифроване (шифроване) и дешифриране на информация. Шифроването преобразува данните в неразбираем формуляр, наречен шифъртекст; дешифрирането на текста на шифъра преобразува данните обратно в първоначалния им вид, наречен обикновен текст. AES се използва в симетрична криптография, което означава, че същият ключ се използва за операциите за шифроване и дешифриране. Това е и блоков шифър, което означава, че той работи върху блокове с фиксиран размер на обикновен текст и шифъртекст и изисква размерът на обикновения текст, както и шифърът да бъдат точно кратно на този размер на блока. AES е известен също като алгоритъма за симетрично шифроване Rijndael [FIPS197].
В среда за мрежова защита, съвместима с операционната система Windows NT, компонентът, отговорен за функциите за синхронизиране и поддръжка между основен домейнов контролер (PDC) и архивни домейнови контролери (BDC). Netlogon е предшественик на протокола за репликация на справочен сървър (DRS). Интерфейсът за извикване на отдалечен протокол Netlogon за отдалечен протокол (RPC) се използва предимно за поддържане на връзката между устройството и неговия домейн и връзките между домейновите контролери (DCs) и домейните. За повече информация вижте Netlogon Remote Protocol.
RC4-HMAC (RC4) е алгоритъм за симетрично шифроване с променлива дължина на ключа. За повече информация вж. [SCHNEIER] точка 17.1.
Удостоверена връзка за извикване на отдалечена процедура (RPC) между два компютъра в домейн с установен контекст на защитата, използван за подписване и шифроване на RPC пакети.