Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Ændringslog

Ændring 1: 19. juni 2023:

  • Tydeliggjort sætningen, der begynder "For at hjælpe med at sikre..." i afsnittet "Oversigt".

  • Der er føjet flere oplysninger til noten i registreringsdatabasenøgleindstillingen DefaultDomainSupportedEncTypes.

I denne artikel

Sammendrag

De Windows-opdateringer, der blev udgivet den 8. november 2022 eller derefter, løser sikkerhedstilsidesættelse og udvidelse af rettighedssårbarhed med godkendelsesforhandling ved hjælp af svag RC4-HMAC-forhandling.

Denne opdatering indstiller AES som standardkrypteringstypen for sessionsnøgler på konti, der ikke allerede er markeret med en standardkrypteringstype. 

For at beskytte dit miljø skal du installere Windows-opdateringer, der er udgivet den 8. november 2022 eller derefter, på alle enheder, herunder domænecontrollere. Se Ændring 1.

Du kan finde flere oplysninger om disse sårbarheder under CVE-2022-37966.

Opdage eksplicit angive krypteringstyper for sessionsnøgler

Du kan have eksplicit definerede krypteringstyper på dine brugerkonti, der er sårbare over for CVE-2022-37966. Se efter konti, hvor DES/RC4 udtrykkeligt er aktiveret, men ikke AES, ved hjælp af følgende Active Directory-forespørgsel:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Indstillinger for registreringsdatabasenøgle

Når du har installeret de Windows-opdateringer, der er dateret den 8. november 2022 eller derefter, er følgende registreringsdatabasenøgle tilgængelig for Kerberos-protokollen:

DefaultDomainSupportedEncTypes

Registreringsdatabasenøgle

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Værdi

DefaultDomainSupportedEncTypes

Datatype

REG_DWORD

Dataværdi

0x27 (standard)

Skal du genstarte?

Nej

Bemærk! Hvis du skal ændre standardtypen Understøttet kryptering for en Active Directory-bruger eller -computer, skal du tilføje og konfigurere registreringsdatabasenøglen manuelt for at angive den nye Understøttede krypteringstype.  Denne opdatering tilføjer ikke automatisk registreringsdatabasenøglen.

Windows-domænecontrollere bruger denne værdi til at bestemme de understøttede krypteringstyper på konti i Active Directory, hvis msds-SupportedEncryptionType-værdi enten er tom eller ikke angivet. En computer, der kører en understøttet version af Windows-operativsystemet, angiver automatisk msds-SupportedEncryptionTypes for den pågældende computerkonto i Active Directory. Dette er baseret på den konfigurerede værdi af krypteringstyper, som Kerberos-protokollen må bruge. Du kan få mere at vide under Netværkssikkerhed: Konfigurer krypteringstyper, der er tilladt for Kerberos.

Brugerkonti, gruppeadministrerede tjenestekonti og andre konti i Active Directory har ikke værdien msds-SupportedEncryptionTypes angivet automatisk. 

Hvis du vil finde Understøttede krypteringstyper, du kan angive manuelt, skal du se Understøttede krypteringstyper Bitflag. Du kan finde flere oplysninger i , hvad du skal gøre først for at forberede miljøet og forhindre problemer med Kerberos-godkendelse.

Standardværdien 0x27 (DES, RC4, AES-sessionsnøgler) blev valgt som den mindste ændring, der er nødvendig for denne sikkerhedsopdatering. Vi anbefaler, at kunder indstiller værdien til 0x3C for øget sikkerhed, da denne værdi tillader både AES-krypterede billetter og AES-sessionsnøgler. Hvis kunder har fulgt vores vejledning for at flytte til et AES-only-miljø, hvor RC4 ikke bruges til Kerberos-protokollen, anbefaler vi, at kunder indstiller værdien til at 0x38. Se Ændring 1.

Windows-hændelser, der er relateret til CVE-2022-37966

Kerberos Key Distribution Center mangler stærke nøgler til kontoen

Hændelseslog

System

Hændelsestype

Fejl

Hændelseskilde

Kdcsvc

Hændelses-id

42

Hændelsestekst

Kerberos Key Distribution Center mangler stærke nøgler til konto: accountname. Du skal opdatere adgangskoden til denne konto for at forhindre brug af usikker kryptografi. Se https://go.microsoft.com/fwlink/?linkid=2210019 for at få mere at vide.

Hvis du finder denne fejl, skal du sandsynligvis nulstille din krbtgt-adgangskode, før du angiver KrbtgtFullPacSingature = 3 eller installerer Windows Opdateringer udgivet den 11. juli 2023 eller derefter. Den opdatering, der automatisk aktiverer gennemtvingelsestilstand for CVE-2022-37967, er beskrevet i følgende artikel i Microsoft Knowledge Base:

KB5020805: Sådan administrerer du Kerberos-protokolændringer relateret til CVE-2022-37967

Du kan få mere at vide om, hvordan du gør dette, i New-KrbtgtKeys.ps1 emne på GitHub-webstedet.

Ofte stillede spørgsmål (ofte stillede spørgsmål) og kendte problemer

Konti, der er markeret med flag til eksplicit RC4-brug, er sårbare. Desuden kan miljøer, der ikke har AES-sessionsnøgler i krbgt-kontoen, være sårbare. Hvis du vil afhjælpe dette problem, skal du følge vejledningen i, hvordan du identificerer sårbarheder og bruger afsnittet om indstilling af registreringsdatabasenøgle til at opdatere eksplicit angive krypteringsstandardindstillinger.

Du skal kontrollere, at alle dine enheder har en fælles Kerberos-krypteringstype.  Du kan få mere at vide om Kerberos-krypteringstyper under Dekryptere markeringen af understøttede Kerberos-krypteringstyper.

Miljøer uden en fælles Kerberos-krypteringstype kan tidligere have fungeret på grund af automatisk tilføjelse af RC4 eller ved tilføjelse af AES, hvis RC4 blev deaktiveret via gruppepolitik af domænecontrollere. Denne funktionsmåde er ændret med de opdateringer, der er udgivet den 8. november 2022 eller derefter, og den følger nu nøje det, der er angivet i registreringsdatabasenøglerne msds-SupportedEncryptionTypes og DefaultDomainSupportedEncTypes

Hvis kontoen ikke har msds-SupportedEncryptionTypes angivet, eller den er indstillet til 0, antager domænecontrollere en standardværdi på 0x27 (39), eller domænecontrolleren bruger indstillingen i registreringsdatabasenøglen DefaultDomainSupportedEncTypes.

Hvis kontoen har msds-SupportedEncryptionTypes angivet, er denne indstilling imødekommet og kan udsætte en manglende konfiguration af en fælles Kerberos-krypteringstype maskeret af den tidligere funktionsmåde for automatisk tilføjelse af RC4 eller AES, hvilket ikke længere fungerer efter installation af opdateringer, der er udgivet den 8. november 2022 eller derefter.

Du kan finde oplysninger om, hvordan du bekræfter, at du har en fælles Kerberos-krypteringstype, under spørgsmål Hvordan kan jeg bekræfte, at alle mine enheder har en fælles Kerberos-krypteringstype?

Se det forrige spørgsmål for at få flere oplysninger om, hvorfor dine enheder muligvis ikke har en fælles Kerberos-krypteringstype efter installation af opdateringer, der er udgivet den 8. november 2022 eller derefter.

Hvis du allerede har installeret opdateringer, der er udgivet den 8. november 2022 eller derefter, kan du registrere enheder, som ikke har en fælles Kerberos-krypteringstype, ved at kigge i hændelsesloggen for Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, som identificerer de forskellige krypteringstyper mellem Kerberos-klienter og fjernservere eller -tjenester.

Installation af opdateringer, der er udgivet den 8. november 2022 eller derefter på klienter eller ikke-domænecontrollerrolleservere, bør ikke påvirke Kerberos-godkendelse i dit miljø.

Du kan afhjælpe dette kendte problem ved at åbne et kommandopromptvindue som administrator og midlertidigt bruge følgende kommando til at indstille registreringsdatabasenøglen KrbtgtFullPacSignature til 0:

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Bemærk! Når dette kendte problem er løst, skal du angive KrbtgtFullPacSignature til en højere indstilling, afhængigt af hvad dit miljø tillader. Vi anbefaler, at gennemtvingelsestilstand aktiveres, så snart dit miljø er klar.

Næste trinVi arbejder på en løsning og vil levere en opdatering i en kommende version.

Når du har installeret opdateringer, der er udgivet den 8. november 2022 eller derefter på dine domænecontrollere, skal alle enheder understøtte AES-billetsignering som påkrævet for at overholde den sikkerhedshærdning, der kræves til CVE-2022-37967.

Næste trin Hvis du allerede kører den mest opdaterede software og firmware til dine ikke-Windows-enheder og har bekræftet, at der findes en fælles krypteringstype mellem dine Windows-domænecontrollere og dine ikke-Windows-enheder, skal du kontakte producenten af enheden (OEM) for at få hjælp eller erstatte enhederne med dem, der er kompatible. 

VIGTIGT Vi anbefaler ikke, at du bruger en løsning til at tillade godkendelse af ikke-kompatible enheder, da dette kan gøre dit miljø sårbart.

Ikke-understøttede versioner af Windows omfatter Windows XP, Windows Server 2003, Windows Server 2008 SP2 og Windows Server 2008 R2 SP1, der ikke kan åbnes af opdaterede Windows-enheder, medmindre du har en ESU-licens. Hvis du har en ESU-licens, skal du installere opdateringer, der er udgivet den 8. november 2022 eller derefter, og kontrollere, at din konfiguration har en fælles krypteringstype, der er tilgængelig mellem alle enheder.

Næste trin Installer opdateringer, hvis de er tilgængelige for din version af Windows, og du har den relevante ESU-licens. Hvis der ikke er tilgængelige opdateringer, skal du opgradere til en understøttet version af Windows eller flytte et program eller en tjeneste til en kompatibel enhed.

VIGTIGT Vi anbefaler ikke, at du bruger en løsning til at tillade godkendelse af ikke-kompatible enheder, da dette kan gøre dit miljø sårbart.

Dette kendte problem blev løst i out of band-opdateringer, der blev udgivet d. 17. november 2022 og 18. november 2022 til installation på alle domænecontrollere i dit miljø. Du behøver ikke at installere nogen opdatering eller foretage ændringer på andre servere eller klientenheder i dit miljø for at løse dette problem. Hvis du har brugt en løsning eller afhjælpning til dette problem, er der ikke længere brug for dem, og vi anbefaler, at du fjerner dem.

Du kan få den separate pakke til disse automatiske opdateringer ved at søge efter KB-nummeret i Microsoft Update-kataloget. Du kan manuelt importere disse opdateringer til Windows Server Update Services (WSUS) og Microsoft Endpoint-Configuration Manager. Du kan finde WSUS-instruktioner under WSUS og katalogwebstedet. Du kan finde konfigurationsstyringsinstruktioner under Importér opdateringer fra Microsoft Update-kataloget

Bemærk! Følgende opdateringer er ikke tilgængelige fra Windows Update og installeres ikke automatisk.

Kumulative opdateringer:

Bemærk! Du behøver ikke at anvende en tidligere opdatering, før du installerer disse kumulative opdateringer. Hvis du allerede har installeret opdateringer, der er udgivet d. 8. november 2022, behøver du ikke at fjerne de berørte opdateringer, før du installerer senere opdateringer, herunder de opdateringer, der er angivet ovenfor.

Enkeltstående Opdateringer:

Noter 

  • Hvis du bruger sikkerhedsopdateringer til disse versioner af Windows Server, skal du kun installere disse separate opdateringer for november 2022. Kun sikkerhedsopdateringer er ikke kumulative, og du skal også installere alle tidligere opdateringer, der kun gælder sikkerhed, for at være helt opdaterede. Månedlige opdateringspakker er kumulative og omfatter sikkerheds- og alle kvalitetsopdateringer.

  • Hvis du bruger månedlige opdateringspakker, skal du installere både de enkeltstående opdateringer, der er angivet ovenfor, for at løse dette problem og installere de månedlige opdateringspakker, der er udgivet d. 8. november 2022, for at modtage kvalitetsopdateringer for november 2022. Hvis du allerede har installeret opdateringer, der er udgivet d. 8. november 2022, behøver du ikke at fjerne de berørte opdateringer, før du installerer senere opdateringer, herunder de opdateringer, der er angivet ovenfor.

Hvis du har bekræftet konfigurationen af dit miljø, og du stadig støder på problemer med en ikke-Microsoft-implementering af Kerberos, skal du have opdateringer eller support fra udvikleren eller producenten af appen eller enheden.

Dette kendte problem kan afhjælpes ved at gøre et af følgende:

  • Angiv msds-SupportedEncryptionTypes med bitbaseret, eller indstil den til den aktuelle standard 0x27 for at bevare den aktuelle værdi. For eksempel:

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Indstil msds-SupportEncryptionTypes til 0 for at lade domænecontrollere bruge standardværdien for 0x27.

Næste trinVi arbejder på en løsning og vil levere en opdatering i en kommende version.

Ordliste

Advanced Encryption Standard (AES) er en blokkryptering, der tilsidesætter DATA Encryption Standard (DES). AES kan bruges til at beskytte elektroniske data. AES-algoritmen kan bruges til at kryptere (kryptere) og dekryptere (dekryptere) oplysninger. Kryptering konverterer data til en ikke-tilgængelig form, der kaldes kryptering. dekryptering af krypteringen konverterer dataene tilbage til den oprindelige form, kaldet almindelig tekst. AES bruges i symmetrisk nøglekryptografi, hvilket betyder, at den samme nøgle bruges til krypterings- og dekrypteringshandlinger. Det er også en blokkryptering, hvilket betyder, at den fungerer på blokke af fast størrelse af almindelig tekst og kryptering, og kræver, at størrelsen af almindelig tekst samt krypteringsteksten er et nøjagtigt multiplum af denne blokstørrelse. AES er også kendt som Den Rijndael symmetriske krypteringsalgoritme [FIPS197].

Kerberos er en computernetværksgodkendelsesprotokol, der fungerer baseret på "billetter" for at tillade, at noder, der kommunikerer via et netværk, kan bevise deres identitet over for hinanden på en sikker måde.

Kerberos-tjenesten, der implementerer de godkendelses- og billettildelingstjenester, der er angivet i Kerberos-protokollen. Tjenesten kører på computere, der er valgt af administratoren af ressourcen eller domænet. den findes ikke på alle computere på netværket. Den skal have adgang til en kontodatabase for den ressource, den tjener. KPI'er er integreret i rollen som domænecontroller. Det er en netværkstjeneste, der leverer billetter til kunder til brug ved godkendelse til tjenester.

RC4-HMAC (RC4) er en symmetrisk krypteringsalgoritme med variabel nøglelængde. Du kan få mere at vide under [SCHNEIER] afsnit 17.1.

En relativt kortvarig symmetrisk nøgle (en kryptografisk nøgle, der forhandles af klienten og serveren baseret på en delt hemmelighed). En sessionsnøgles levetid er afgrænset af den session, den er knyttet til. En sessionsnøgle skal være stærk nok til at modstå kryptoanalyse for sessionens levetid.

En særlig type billet, der kan bruges til at få andre billetter. Billetudgangsbilletten (TGT) opnås efter den indledende godkendelse i autentificeringstjenesten (AS) udveksling; derefter behøver brugerne ikke at præsentere deres legitimationsoplysninger, men kan bruge TGT til at få efterfølgende billetter.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.