Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Päivitetty

10. huhtikuuta 2023: "Kolmannen käyttöönoton vaihe" päivitettiin 11.4.2023–13.6.2023 CVE-2022-37967 -osoitteiden päivitysten ajoitus -osiossa.

Tässä artikkelissa

Yhteenveto

8. marraskuuta 2022 julkaistut Windows-päivitykset korjaavat suojauksen ohituksen ja käyttöoikeuksien korotuksen PAC (Privilege Attribute Certificate) -allekirjoituksilla. Tämä suojauspäivitys korjaa Kerberosin haavoittuvuudet, joissa hyökkääjä voi digitaalisesti muuttaa PAC-allekirjoituksia nostaen heidän oikeuksiaan.

Voit suojata ympäristösi asentamalla tämän Windows-päivityksen kaikkiin laitteisiin, myös Windowsin toimialueen ohjauskoneisiin. Kaikki toimialueen ohjauskoneet on ensin päivitettävä ennen päivityksen vaihtamista pakotettuun tilaan.

Lisätietoja tästä haavoittuvuudesta on artikkelissa CVE-2022-37967.

Toimi

Ympäristön suojaamiseksi ja käyttökatkojen estämiseksi suosittelemme, että toimit seuraavasti:

  1. PÄIVITÄ Windowsin toimialueen ohjauskoneet 8. marraskuuta 2022 tai sen jälkeen julkaistulla Windows-päivityksellä.

  2. Siirrä Windows-toimialueen ohjauskoneet valvontatilaan Rekisteriavain-asetusosion avulla.

  3. Valvontatilan aikana tallennetut MONITOR-tapahtumat ympäristön suojaamiseksi.

  4. OTA KÄYTTÖÖNPakotustila, jonka avulla voit korjata CVE-2022-37967 ympäristössäsi.

Huomautus Vaihe 1, jossa asennetaan päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen, EI oletusarvoisesti korjaa Windows-laitteiden CVE-2022-37967 suojausongelmia. Kaikkien laitteiden suojausongelman lieventämiseksi sinun on siirryttävä valvontatilaan (kuvattu vaiheessa 2) ja sen jälkeen pakotettuun tilaan (kuvattu vaiheessa 4) mahdollisimman pian kaikissa Windowsin toimialueen ohjauskoneissa.

Tärkeää Heinäkuusta 2023 alkaen pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista.  Tällöin et voi poistaa päivitystä käytöstä, mutta voit siirtyä takaisin Valvontatila-asetukseen. Valvontatila poistetaan lokakuussa 2023, kuten kerberos-haavoittuvuuden CVE-2022-37967 päivitysten ajoitus -osiossa on kuvattu.

CVE-2022-37967 -päivitysten ajoitus

Päivitykset julkaistaan vaiheittain: 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten ensimmäinen vaihe ja 13. kesäkuuta 2023 tai sen jälkeen julkaistujen päivitysten täytäntöönpanovaihe.

Ensimmäinen käyttöönottovaihe alkaa 8.11.2022 julkaistuilla päivityksillä, ja se jatkuu myöhemmissa Windows-päivityksissä pakotusvaiheeseen asti. Tämä päivitys lisää allekirjoitukset Kerberos PAC -puskuriin, mutta ei tarkista allekirjoituksia todennuksen aikana. Siksi suojattu tila on oletusarvoisesti poissa käytöstä.

Tämä päivitys:

  • Lisää PAC-allekirjoitukset Kerberos PAC -puskuriin.

  • Lisää toimenpiteitä Kerberos-protokollan suojauksen ohitushaavoittuvuuden korjaamiseksi.

Toinen käyttöönottovaihe alkaa 13. joulukuuta 2022 julkaistuilla päivityksillä. Nämä ja uudemmat päivitykset tekevät muutoksia Kerberos-protokollaan Windows-laitteiden valvomiseksi siirtämällä Windowsin toimialueen ohjauskoneet valvontatilaan.

Tämän päivityksen myötä kaikki laitteet ovat oletusarvoisesti valvontatilassa:

  • Jos allekirjoitus puuttuu tai se ei kelpaa, todennus on sallittu. Lisäksi luodaan valvontaloki. 

  • Jos allekirjoitus puuttuu, nosta tapahtuma ylös ja salli todennus.

  • Jos allekirjoitus on olemassa, vahvista se. Jos allekirjoitus on virheellinen, nosta tapahtuma ylös ja salli todennus.

Windows-päivitykset, jotka on julkaistu 13. kesäkuuta 2023 tai sen jälkeen, toimivat seuraavasti: 

  • Poista MAHDOLLISUUS poistaa PAC-allekirjoituksen lisääminen käytöstä määrittämällä KrbtgtFullPacSignature-aliavaimen arvoksi 0.

11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset toimivat seuraavasti: 

  • Poistaa KrbtgtFullPacSignature-aliavaimen arvon 1.

  • Siirtää päivityksen pakotustilaan (oletus) (KrbtgtFullPacSignature = 3), jonka järjestelmänvalvoja voi ohittaa eksplisiittisellä valvonta-asetuksella.

Windows-päivitykset, jotka on julkaistu 10. lokakuuta 2023 tai sen jälkeen, toimivat seuraavasti: 

  • Poistaa rekisterin aliavaimen KrbtgtFullPacSignature tuen.

  • Poistaa valvontatilan tuen.

  • Kaikki palveluliput, joilla ei ole uusia PAC-allekirjoituksia, evätään todennus.

Käyttöönotto-ohjeet

Jos haluat ottaa käyttöön Windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai uudemmissa Windows-päivityksissä, toimi seuraavasti:

  1. PÄIVITÄ Windowsin toimialueen ohjauskoneet 8. marraskuuta 2022 tai sen jälkeen julkaistulla päivityksellä.

  2. Siirrä toimialueen ohjauskoneet valvontatilaan Käyttämällä Rekisteriavain-asetusosaa.

  3. Valvontatilan aikana tallennetut MONITOR-tapahtumat ympäristön suojaamiseksi.

  4. OTA KÄYTTÖÖN Pakotustila, jonka avulla voit korjata CVE-2022-37967 ympäristössäsi.

VAIHE 1: PÄIVITTÄMINEN 

Ota käyttöön 8. marraskuuta 2022 tai sitä uudemmat päivitykset kaikkiin sovellettaviin Windowsin toimialueen ohjauskoneisiin. Päivityksen käyttöönoton jälkeen päivitettyihin Windows-toimialueen ohjauskoneisiin lisätään allekirjoitukset Kerberos PAC Bufferiin, ja ne ovat oletusarvoisesti epävarmoja (PAC-allekirjoitusta ei ole vahvistettu).

  • Pidä päivityksen aikana KrbtgtFullPacSignature-rekisteriarvo oletustilassa, kunnes kaikki Windowsin toimialueen ohjauskoneet on päivitetty.

VAIHE 2: SIIRRÄ 

Kun Windowsin toimialueen ohjauskoneet on päivitetty, siirry valvontatilaan muuttamalla KrbtgtFullPacSignature-arvoksi2.  

VAIHE 3: ETSI/VALVO 

Tunnista alueet, joilta puuttuu PAC-allekirjoituksia tai joilla on PAC-allekirjoituksia, jotka epäonnistuvat tarkistustilassa käynnistettyjen tapahtumalokien kautta.   

  • Varmista, että toimialueen toiminnallinen taso on vähintään 2008, ennen kuin siirryt pakotustilaan. Siirtyminen pakotustilaan toimialueiden kanssa toimialueen toiminnallisella tasolla 2003 voi aiheuttaa todennusvirheitä.

  • Valvontatapahtumat tulevat näkyviin, jos toimialuettasi ei ole päivitetty kokonaan tai jos toimialueessasi on vielä avoimet aiemmin myönnetyt palveluliput.

  • Jatka niiden uusien tapahtumalokien seurantaa, jotka ilmaisevat joko puuttuvia PAC-allekirjoituksia tai olemassa olevien PAC-allekirjoitusten kelpoisuusvirheitä.

  • Kun koko toimialue on päivitetty ja kaikki avoimet liput ovat vanhentuneet, valvontatapahtumien ei pitäisi enää näkyä. Sen jälkeen sinun pitäisi pystyä siirtymään pakotustilaan ilman virheitä.

VAIHE 4: OTA KÄYTTÖÖN 

Ota käyttöön pakotustila, jos haluat käyttää CVE-2022-37967 -osoitetta ympäristössäsi.

  • Kun kaikki valvontatapahtumat on ratkaistu eikä ne enää näy, siirrä toimialueet pakotustilaan päivittämällä KrbtgtFullPacSignature-rekisteriarvoRekisteriavaimen asetukset -osassa kuvatulla tavalla.

  • Jos palvelulipussa on virheellinen PAC-allekirjoitus tai pac-allekirjoituksia puuttuu, vahvistus epäonnistuu ja virhetapahtuma kirjataan lokiin.

Rekisteriavaimen asetukset

Kerberos-protokolla

Kun olet asentanut Windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai sen jälkeen, Kerberos-protokollalle on saatavilla seuraava rekisteriavain:

  • KrbtgtFullPacSignature Tätä rekisteriavainta käytetään Kerberos-muutosten käyttöönoton portissa. Tämä rekisteriavain on tilapäinen, eikä sitä enää lueta 10. lokakuuta 2023 alkaen. 

    Rekisteriavaimen

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Arvo

    KrbtgtFullPacSignature

    Tietotyyppi

    REG_DWORD

    Tiedot

    0 – Ei käytössä  

    1 – Uusia allekirjoituksia lisätään, mutta niitä ei varmenneta. (Oletusasetus)

    2 – Tarkistustila. Uusia allekirjoituksia lisätään ja vahvistetaan, jos niitä on. Jos allekirjoitus puuttuu tai se ei kelpaa, todennus on sallittu ja valvontalokit luodaan.

    3 - Pakotustila. Uusia allekirjoituksia lisätään ja vahvistetaan, jos niitä on. Jos allekirjoitus puuttuu tai ei kelpaa, todennus hylätään ja valvontalokit luodaan.

    Tarvitaanko uudelleenkäynnistystä?

    Ei

    Huomautus Jos haluat muuttaa KrbtgtFullPacSignature-rekisteriarvoa, lisää rekisteriavain manuaalisesti ja määritä se korvaamaan oletusarvo.

CVE-2022-37967 -päivitykseen liittyvät Windows-tapahtumat

Valvontatilassa voi ilmetä jompikumpi seuraavista virheistä, jos PAC-allekirjoitukset puuttuvat tai eivät kelpaa. Jos tämä ongelma jatkuu pakotustilassa, nämä tapahtumat kirjataan lokiin virheinä.

Jos havaitset kumman tahansa virheen laitteessasi, on todennäköistä, että kaikki toimialueesi Windows-toimialueen ohjauskoneet eivät ole ajan tasalla 8. marraskuuta 2022 tai uudemman Windows-päivityksen kanssa. Ongelmien lieventämiseksi sinun on tutkittava toimialueesi edelleen löytääksesi Windowsin toimialueen ohjauskoneet, jotka eivät ole ajan tasalla.  

Huomautus Jos huomaat virheen tapahtumatunnuksella 42, katso KB5021131: CVE-2022-37966 -protokollaan liittyvien Kerberos-protokollamuutosten hallinta.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Tapahtumatunnus

43

Tapahtuman teksti

Avainten jakelukeskus (KDC) kohtasi lipun, jota se ei voinut vahvistaa täydet PAC-allekirjoitukset. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2210019. Asiakas : <alue>/<nimi>

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Microsoft-Windows-Kerberos-Key-Distribution-Center

Tapahtumatunnus

44

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt koko PAC-allekirjoitusta. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2210019. Asiakas : <alue>/<nimi>

Kerberos-protokollaa käyttävät kolmannen osapuolen laitteet

Toimialueet, joissa on kolmannen osapuolen toimialueen ohjauskoneet, saattavat nähdä virheitä pakotustilassa.

Toimialueet, joissa on kolmannen osapuolen asiakkaita, voivat kestää kauemmin, ennen kuin valvontatapahtumat poistetaan kokonaan 8. marraskuuta 2022 tai uudemman Windows-päivityksen asentamisen jälkeen.

Ota yhteyttä laitteen valmistajaan (OEM) tai ohjelmistotoimittajaan ja selvitä, onko ohjelmisto yhteensopiva uusimman protokollamuutoksen kanssa.

Lisätietoja protokollapäivityksistä on Microsoftin verkkosivuston Windows-protokollaa käsittelevässä ohjeaiheessa.

Sanasto

Kerberos on tietokoneverkon todennusprotokolla, joka toimii lippujen perusteella, jotta verkon kautta kommunikoivat solmut voivat todistaa henkilöllisyytensä toisiaan vastaan turvallisesti.

Kerberos-palvelu, joka toteuttaa Kerberos-protokollassa määritetyt todennus- ja lipun myöntämispalvelut. Palvelu suoritetaan tietokoneissa, jotka alueen tai toimialueen järjestelmänvalvoja on valinnut. sitä ei ole kaikissa verkon koneissa. Sen on voitava käyttää palvelemaansa tilitietokantaa. KDC:t on integroitu toimialueen ohjauskoneen rooliin. Se on verkkopalvelu, joka tarjoaa asiakkaille liput palvelujen todentamiseen.

Pac (Privilege Attribute Certificate) on rakenne, joka välittää toimialueen ohjauskoneiden toimialueen ohjauskoneiden toimialueeseen liittyviä tietoja. Lisätietoja on artikkelissa Käyttöoikeusmääritteen varmenteen tietorakenne.

Erityinen lipputyyppi, jota voidaan käyttää muiden lippujen hankkimiseen. Lipun myöntävä lippu (TGT) saadaan todennuspalvelun (AS) vaihdon ensimmäisen todennuksen jälkeen; sen jälkeen käyttäjien ei tarvitse esittää tunnistetietojaan, mutta he voivat käyttää TGT:ta seuraavien lippujen hankkimiseen.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.