Päivitetty
10. huhtikuuta 2023: "Kolmannen käyttöönoton vaihe" päivitettiin 11.4.2023–13.6.2023 CVE-2022-37967 -osoitteiden päivitysten ajoitus -osiossa.
Tässä artikkelissa
Yhteenveto
8. marraskuuta 2022 julkaistut Windows-päivitykset korjaavat suojauksen ohituksen ja käyttöoikeuksien korotuksen PAC (Privilege Attribute Certificate) -allekirjoituksilla. Tämä suojauspäivitys korjaa Kerberosin haavoittuvuudet, joissa hyökkääjä voi digitaalisesti muuttaa PAC-allekirjoituksia nostaen heidän oikeuksiaan.
Voit suojata ympäristösi asentamalla tämän Windows-päivityksen kaikkiin laitteisiin, myös Windowsin toimialueen ohjauskoneisiin. Kaikki toimialueen ohjauskoneet on ensin päivitettävä ennen päivityksen vaihtamista pakotettuun tilaan.
Lisätietoja tästä haavoittuvuudesta on artikkelissa CVE-2022-37967.
Toimi
Ympäristön suojaamiseksi ja käyttökatkojen estämiseksi suosittelemme, että toimit seuraavasti:
-
PÄIVITÄ Windowsin toimialueen ohjauskoneet 8. marraskuuta 2022 tai sen jälkeen julkaistulla Windows-päivityksellä.
-
Siirrä Windows-toimialueen ohjauskoneet valvontatilaan Rekisteriavain-asetusosion avulla.
-
Valvontatilan aikana tallennetut MONITOR-tapahtumat ympäristön suojaamiseksi.
-
OTA KÄYTTÖÖNPakotustila, jonka avulla voit korjata CVE-2022-37967 ympäristössäsi.
Huomautus Vaihe 1, jossa asennetaan päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen, EI oletusarvoisesti korjaa Windows-laitteiden CVE-2022-37967 suojausongelmia. Kaikkien laitteiden suojausongelman lieventämiseksi sinun on siirryttävä valvontatilaan (kuvattu vaiheessa 2) ja sen jälkeen pakotettuun tilaan (kuvattu vaiheessa 4) mahdollisimman pian kaikissa Windowsin toimialueen ohjauskoneissa.
Tärkeää Heinäkuusta 2023 alkaen pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista. Tällöin et voi poistaa päivitystä käytöstä, mutta voit siirtyä takaisin Valvontatila-asetukseen. Valvontatila poistetaan lokakuussa 2023, kuten kerberos-haavoittuvuuden CVE-2022-37967 päivitysten ajoitus -osiossa on kuvattu.
CVE-2022-37967 -päivitysten ajoitus
Päivitykset julkaistaan vaiheittain: 8. marraskuuta 2022 tai sen jälkeen julkaistujen päivitysten ensimmäinen vaihe ja 13. kesäkuuta 2023 tai sen jälkeen julkaistujen päivitysten täytäntöönpanovaihe.
Ensimmäinen käyttöönottovaihe alkaa 8.11.2022 julkaistuilla päivityksillä, ja se jatkuu myöhemmissa Windows-päivityksissä pakotusvaiheeseen asti. Tämä päivitys lisää allekirjoitukset Kerberos PAC -puskuriin, mutta ei tarkista allekirjoituksia todennuksen aikana. Siksi suojattu tila on oletusarvoisesti poissa käytöstä.
Tämä päivitys:
-
Lisää PAC-allekirjoitukset Kerberos PAC -puskuriin.
-
Lisää toimenpiteitä Kerberos-protokollan suojauksen ohitushaavoittuvuuden korjaamiseksi.
Toinen käyttöönottovaihe alkaa 13. joulukuuta 2022 julkaistuilla päivityksillä. Nämä ja uudemmat päivitykset tekevät muutoksia Kerberos-protokollaan Windows-laitteiden valvomiseksi siirtämällä Windowsin toimialueen ohjauskoneet valvontatilaan.
Tämän päivityksen myötä kaikki laitteet ovat oletusarvoisesti valvontatilassa:
-
Jos allekirjoitus puuttuu tai se ei kelpaa, todennus on sallittu. Lisäksi luodaan valvontaloki.
-
Jos allekirjoitus puuttuu, nosta tapahtuma ylös ja salli todennus.
-
Jos allekirjoitus on olemassa, vahvista se. Jos allekirjoitus on virheellinen, nosta tapahtuma ylös ja salli todennus.
Windows-päivitykset, jotka on julkaistu 13. kesäkuuta 2023 tai sen jälkeen, toimivat seuraavasti:
-
Poista MAHDOLLISUUS poistaa PAC-allekirjoituksen lisääminen käytöstä määrittämällä KrbtgtFullPacSignature-aliavaimen arvoksi 0.
11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset toimivat seuraavasti:
-
Poistaa KrbtgtFullPacSignature-aliavaimen arvon 1.
-
Siirtää päivityksen pakotustilaan (oletus) (KrbtgtFullPacSignature = 3), jonka järjestelmänvalvoja voi ohittaa eksplisiittisellä valvonta-asetuksella.
Windows-päivitykset, jotka on julkaistu 10. lokakuuta 2023 tai sen jälkeen, toimivat seuraavasti:
-
Poistaa rekisterin aliavaimen KrbtgtFullPacSignature tuen.
-
Poistaa valvontatilan tuen.
-
Kaikki palveluliput, joilla ei ole uusia PAC-allekirjoituksia, evätään todennus.
Käyttöönotto-ohjeet
Jos haluat ottaa käyttöön Windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai uudemmissa Windows-päivityksissä, toimi seuraavasti:
-
PÄIVITÄ Windowsin toimialueen ohjauskoneet 8. marraskuuta 2022 tai sen jälkeen julkaistulla päivityksellä.
-
Siirrä toimialueen ohjauskoneet valvontatilaan Käyttämällä Rekisteriavain-asetusosaa.
-
Valvontatilan aikana tallennetut MONITOR-tapahtumat ympäristön suojaamiseksi.
-
OTA KÄYTTÖÖN Pakotustila, jonka avulla voit korjata CVE-2022-37967 ympäristössäsi.
VAIHE 1: PÄIVITTÄMINEN
Ota käyttöön 8. marraskuuta 2022 tai sitä uudemmat päivitykset kaikkiin sovellettaviin Windowsin toimialueen ohjauskoneisiin. Päivityksen käyttöönoton jälkeen päivitettyihin Windows-toimialueen ohjauskoneisiin lisätään allekirjoitukset Kerberos PAC Bufferiin, ja ne ovat oletusarvoisesti epävarmoja (PAC-allekirjoitusta ei ole vahvistettu).
-
Pidä päivityksen aikana KrbtgtFullPacSignature-rekisteriarvo oletustilassa, kunnes kaikki Windowsin toimialueen ohjauskoneet on päivitetty.
VAIHE 2: SIIRRÄ
Kun Windowsin toimialueen ohjauskoneet on päivitetty, siirry valvontatilaan muuttamalla KrbtgtFullPacSignature-arvoksi2.
VAIHE 3: ETSI/VALVO
Tunnista alueet, joilta puuttuu PAC-allekirjoituksia tai joilla on PAC-allekirjoituksia, jotka epäonnistuvat tarkistustilassa käynnistettyjen tapahtumalokien kautta.
-
Varmista, että toimialueen toiminnallinen taso on vähintään 2008, ennen kuin siirryt pakotustilaan. Siirtyminen pakotustilaan toimialueiden kanssa toimialueen toiminnallisella tasolla 2003 voi aiheuttaa todennusvirheitä.
-
Valvontatapahtumat tulevat näkyviin, jos toimialuettasi ei ole päivitetty kokonaan tai jos toimialueessasi on vielä avoimet aiemmin myönnetyt palveluliput.
-
Jatka niiden uusien tapahtumalokien seurantaa, jotka ilmaisevat joko puuttuvia PAC-allekirjoituksia tai olemassa olevien PAC-allekirjoitusten kelpoisuusvirheitä.
-
Kun koko toimialue on päivitetty ja kaikki avoimet liput ovat vanhentuneet, valvontatapahtumien ei pitäisi enää näkyä. Sen jälkeen sinun pitäisi pystyä siirtymään pakotustilaan ilman virheitä.
VAIHE 4: OTA KÄYTTÖÖN
Ota käyttöön pakotustila, jos haluat käyttää CVE-2022-37967 -osoitetta ympäristössäsi.
-
Kun kaikki valvontatapahtumat on ratkaistu eikä ne enää näy, siirrä toimialueet pakotustilaan päivittämällä KrbtgtFullPacSignature-rekisteriarvoRekisteriavaimen asetukset -osassa kuvatulla tavalla.
-
Jos palvelulipussa on virheellinen PAC-allekirjoitus tai pac-allekirjoituksia puuttuu, vahvistus epäonnistuu ja virhetapahtuma kirjataan lokiin.
Rekisteriavaimen asetukset
Kerberos-protokolla
Kun olet asentanut Windows-päivitykset, jotka on päivätty 8. marraskuuta 2022 tai sen jälkeen, Kerberos-protokollalle on saatavilla seuraava rekisteriavain:
-
KrbtgtFullPacSignature
Tätä rekisteriavainta käytetään Kerberos-muutosten käyttöönoton portissa. Tämä rekisteriavain on tilapäinen, eikä sitä enää lueta 10. lokakuuta 2023 alkaen.Rekisteriavaimen
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Arvo
KrbtgtFullPacSignature
Tietotyyppi
REG_DWORD
Tiedot
0 – Ei käytössä
1 – Uusia allekirjoituksia lisätään, mutta niitä ei varmenneta. (Oletusasetus)
2 – Tarkistustila. Uusia allekirjoituksia lisätään ja vahvistetaan, jos niitä on. Jos allekirjoitus puuttuu tai se ei kelpaa, todennus on sallittu ja valvontalokit luodaan.
3 - Pakotustila. Uusia allekirjoituksia lisätään ja vahvistetaan, jos niitä on. Jos allekirjoitus puuttuu tai ei kelpaa, todennus hylätään ja valvontalokit luodaan.
Tarvitaanko uudelleenkäynnistystä?
Ei
Huomautus Jos haluat muuttaa KrbtgtFullPacSignature-rekisteriarvoa, lisää rekisteriavain manuaalisesti ja määritä se korvaamaan oletusarvo.
CVE-2022-37967 -päivitykseen liittyvät Windows-tapahtumat
Valvontatilassa voi ilmetä jompikumpi seuraavista virheistä, jos PAC-allekirjoitukset puuttuvat tai eivät kelpaa. Jos tämä ongelma jatkuu pakotustilassa, nämä tapahtumat kirjataan lokiin virheinä.
Jos havaitset kumman tahansa virheen laitteessasi, on todennäköistä, että kaikki toimialueesi Windows-toimialueen ohjauskoneet eivät ole ajan tasalla 8. marraskuuta 2022 tai uudemman Windows-päivityksen kanssa. Ongelmien lieventämiseksi sinun on tutkittava toimialueesi edelleen löytääksesi Windowsin toimialueen ohjauskoneet, jotka eivät ole ajan tasalla.
Huomautus Jos huomaat virheen tapahtumatunnuksella 42, katso KB5021131: CVE-2022-37966 -protokollaan liittyvien Kerberos-protokollamuutosten hallinta.
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Tapahtumatunnus |
43 |
Tapahtuman teksti |
Avainten jakelukeskus (KDC) kohtasi lipun, jota se ei voinut vahvistaa täydet PAC-allekirjoitukset. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2210019. Asiakas : <alue>/<nimi> |
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Tapahtumatunnus |
44 |
Tapahtuman teksti |
Key Distribution Center (KDC) kohtasi lipun, joka ei sisältänyt koko PAC-allekirjoitusta. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2210019. Asiakas : <alue>/<nimi> |
Kerberos-protokollaa käyttävät kolmannen osapuolen laitteet
Toimialueet, joissa on kolmannen osapuolen toimialueen ohjauskoneet, saattavat nähdä virheitä pakotustilassa.
Toimialueet, joissa on kolmannen osapuolen asiakkaita, voivat kestää kauemmin, ennen kuin valvontatapahtumat poistetaan kokonaan 8. marraskuuta 2022 tai uudemman Windows-päivityksen asentamisen jälkeen.
Ota yhteyttä laitteen valmistajaan (OEM) tai ohjelmistotoimittajaan ja selvitä, onko ohjelmisto yhteensopiva uusimman protokollamuutoksen kanssa.
Lisätietoja protokollapäivityksistä on Microsoftin verkkosivuston Windows-protokollaa käsittelevässä ohjeaiheessa.
Sanasto
Kerberos on tietokoneverkon todennusprotokolla, joka toimii lippujen perusteella, jotta verkon kautta kommunikoivat solmut voivat todistaa henkilöllisyytensä toisiaan vastaan turvallisesti.
Kerberos-palvelu, joka toteuttaa Kerberos-protokollassa määritetyt todennus- ja lipun myöntämispalvelut. Palvelu suoritetaan tietokoneissa, jotka alueen tai toimialueen järjestelmänvalvoja on valinnut. sitä ei ole kaikissa verkon koneissa. Sen on voitava käyttää palvelemaansa tilitietokantaa. KDC:t on integroitu toimialueen ohjauskoneen rooliin. Se on verkkopalvelu, joka tarjoaa asiakkaille liput palvelujen todentamiseen.
Pac (Privilege Attribute Certificate) on rakenne, joka välittää toimialueen ohjauskoneiden toimialueen ohjauskoneiden toimialueeseen liittyviä tietoja. Lisätietoja on artikkelissa Käyttöoikeusmääritteen varmenteen tietorakenne.
Erityinen lipputyyppi, jota voidaan käyttää muiden lippujen hankkimiseen. Lipun myöntävä lippu (TGT) saadaan todennuspalvelun (AS) vaihdon ensimmäisen todennuksen jälkeen; sen jälkeen käyttäjien ei tarvitse esittää tunnistetietojaan, mutta he voivat käyttää TGT:ta seuraavien lippujen hankkimiseen.