Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Journal des modifications 

Modification 1 : 5 avril 2023 : Déplacement de la phase « Application par défaut » de la clé de Registre du 11 avril 2023 au 13 juin 2023 dans la section « Timing of updates to address CVE-2022-38023 ».

Modification 2 : 20 avril 2023 : Suppression de la référence inexacte à l’objet de stratégie de groupe (GPO) « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » dans la section « Paramètres de clé de Registre ».

Modification 3 : 19 juin 2023 :

  • Ajout d’une note « Important » à la section « Paramètres de clé de Registre ».

  • Ajout d’une « Note » à la section « Événements Windows liés à CVE-2022-38023 ».

  • Ajout de deux nouvelles questions et réponses à la section « Forum aux questions (FAQ) ».

Dans cet article

Résumé

Les mises à jour Windows du 8 novembre 2022 et ultérieures résolvent les faiblesses du protocole Netlogon lorsque la signature des appels de procédure distante (RPC) est utilisée au lieu du scellement RPC. Pour plus d’informations, consultez CVE-2022-38023.

L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relations entre les contrôleurs de domaine et les domaines.

Cette mise à jour protège les appareils Windows contre CVE-2022-38023 par défaut.  Pour les clients tiers et les contrôleurs de domaine tiers, la mise à jour est en mode de compatibilité par défaut et autorise les connexions vulnérables à partir de ces clients. Reportez-vous à la section Paramètres de clé de Registre pour connaître les étapes à suivre pour passer au mode de mise en conformité.

Pour sécuriser votre environnement, installez la mise à jour Windows datée du 8 novembre 2022 ou une mise à jour Windows ultérieure sur tous les appareils, y compris les contrôleurs de domaine.

Important À partir de juin 2023, le mode application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables à partir d’appareils non conformes.  À ce stade, vous ne pourrez pas désactiver la mise à jour, mais vous pouvez revenir au paramètre Mode de compatibilité. Le mode de compatibilité sera supprimé en juillet 2023, comme indiqué dans la section Calendrier des mises à jour visant à corriger la vulnérabilité Netlogon CVE-2022-38023.

Minutage des mises à jour pour traiter CVE-2022-38023

Les mises à jour seront publiées par différentes phases : la phase initiale des mises à jour publiées le 8 novembre 2022 ou après et la phase de mise en œuvre pour les mises à jour publiées le ou après le 11 avril 2023.

La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2022 et se poursuit par des mises à jour Windows ultérieure pour la phase de mise en conformité. Les mises à jour Windows à partir du 8 novembre 2022 résolvent la vulnérabilité de contournement de sécurité CVE-2022-38023 en appliquant le scellement RPC à tous les clients Windows.

Par défaut, les appareils sont définis en mode de compatibilité. Les contrôleurs de domaine Windows nécessitent que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou en tant que comptes d’approbation.

Les mises à jour Windows publiées le ou après le 11 avril 2023 suppriment la possibilité de désactiver le scellement RPC en définissant la valeur 0 sur la sous-clé de registre RequireSeal.

La sous-clé de registre RequireSeal est déplacée en mode Appliqué, sauf si les administrateurs la configurent explicitement pour qu’elle soit en mode de compatibilité. Les connexions vulnérables de tous les clients, y compris les tiers, se verront refuser l’authentification. Voir la Modification 1.

Les mises à jour Windows publiées le 11 juillet 2023 suppriment la possibilité de définir la valeur 1 sur la sous-clé de registre RequireSeal. Cela active la phase de mise en œuvre de CVE-2022-38023.

Paramètres de la clé de Registre

Après l’installation des mises à jour Windows datées du 8 novembre 2022 ou après, la sous-clé de registre suivante est disponible pour le protocole Netlogon sur les contrôleurs de domaine Windows.

IMPORTANT Cette mise à jour, ainsi que les futures modifications de mise en conformité, n’ajoutent ni ne suppriment automatiquement la sous-clé de Registre « RequireSeal ». Cette sous-clé de Registre doit être ajoutée manuellement pour pouvoir être lue. Voir la Modification 3.

Sous-clé RequireSeal

Clé de Registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valeur

RequireSeal

Type de données

REG_DWORD

Données

0 – Désactivé

1 – Mode de compatibilité. Les contrôleurs de domaine Windows exigeront que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou comptes de confiance.

2 – Mode de mise en conformité. Tous les clients doivent utiliser le sceau de l’appel de procédure distante (RPC). Voir la Modification 2.

Redémarrage requis ?

Non

Événements Windows liés à CVE-2022-38023

REMARQUE  Les événements suivants ont une mémoire tampon d’une heure pendant laquelle les événements en double qui contiennent les mêmes informations sont ignorés.

Journal des événements

Système

Type d’événement

Error

Source de l’événement

NETLOGON

ID d’événement

5838

Texte de l’événement

Le service Netlogon a rencontré un client utilisant la signature RPC au lieu du scellement RPC.

Si vous trouvez ce message d’erreur dans vos journaux d’événements, vous devez prendre les mesures suivantes pour résoudre l’erreur système :

Journal des événements

Système

Type d’événement

Error

Source de l’événement

NETLOGON

ID d’événement

5839

Texte de l’événement

Le service Netlogon a rencontré une confiance utilisant la signature RPC au lieu du scellement RPC.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NETLOGON

ID d’événement

5840

Texte de l’événement

Le service Netlogon a créé un canal sécurisé avec un client avec RC4.

Si vous trouvez l’événement 5840, c’est un signe qu’un client de votre domaine utilise une cryptographie faible.

Journal des événements

Système

Type d’événement

Error

Source de l’événement

NETLOGON

ID d’événement

5841

Texte de l’événement

Le service Netlogon a refusé un client utilisant RC4 en raison du paramètre ’RejectMd5Clients’.

Si vous trouvez l’événement 5841, cela indique que la valeur RejectMD5Clients est définie sur TRUE.

La clé RejectMD5Clients est une clé préexistante dans le service Netlogon. Pour plus d’informations, consultez la description rejectMD5Clients du modèle de données abstrait.

Forum aux questions (FAQ)

Tous les comptes machine liés à un domaine sont concernés par cette CVE. Les événements montreront qui est le plus touché par ce problème après l’installation des mises à jour Windows du 8 novembre 2022 ou d’une version ultérieure. Veuillez consulter la section des erreurs du journal des événements pour résoudre les problèmes.

Pour aider à détecter les clients plus anciens qui n’utilisent pas la cryptographie la plus puissante disponible, cette mise à jour introduit des journaux d’événements pour les clients qui utilisent RC4.

On parle de signature RPC lorsque le protocole Netlogon utilise RPC pour signer les messages qu’il envoie par câble. On parle de scellement RPC lorsque le protocole Netlogon signe et crypte les messages qu’il envoie par câble.

Le contrôleur de domaine Windows détermine si un client Netlogon exécute Windows en interrogeant l’attribut « OperatingSystem » dans Active Directory pour le client Netlogon et en recherchant les chaînes suivantes :

  • « Windows », « Hyper-V Server » et « Azure Stack HCI »

Nous ne recommandons ni ne prenons en charge la modification de cet attribut par les clients Netlogon ou les administrateurs de domaine en une valeur qui n’est pas représentative du système d’exploitation que le client Netlogon exécute. Vous devez savoir que nous pouvons modifier les critères de recherche à tout moment. Voir la Modification 3.

La phase de mise en conformité ne rejette pas les clients Netlogon en fonction du type de chiffrement utilisé par les clients. Elle rejette uniquement les clients Netlogon s’ils effectuent une signature RPC au lieu d’un scellement RPC. Le rejet des clients Netlogon RC4 est basé sur la clé de registre « RejectMd5Clients » disponible pour les contrôleurs de domaine Windows Server 2008 R2 et versions ultérieures. La phase de mise en conformité de cette mise à jour ne modifie pas la valeur « RejectMd5Clients ». Nous recommandons aux clients d’activer la valeur « RejectMd5Clients » pour élever la sécurité dans leurs domaines. Voir la Modification 3.

Glossaire

Advanced Encryption Standard (AES) est un chiffrement par blocs qui remplace data encryption Standard (DES). AES peut être utilisé pour protéger les données électroniques. L’algorithme AES peut être utilisé pour chiffrer (déchiffrer) et déchiffrer (déchiffrer) des informations. Le chiffrement convertit les données en une forme inintelligible appelée texte chiffré ; le déchiffrement du texte chiffré reconvertit les données dans leur forme originale, appelée texte en clair. AES est utilisé en chiffrement par clé symétrique, ce qui signifie que la même clé est utilisée pour les opérations de cryptage et de décryptage. Il s’agit également d’un chiffrement par blocs, ce qui signifie qu’il fonctionne sur des blocs de texte en clair et de texte chiffré de taille fixe, et que la taille du texte en clair et du texte chiffré doit être un multiple exact de la taille de ces blocs. AES est également connu sous le nom d’algorithme de chiffrement symétrique Rijndael [FIPS197] .

Dans un environnement de sécurité réseau compatible avec le système d’exploitation Windows NT, le composant responsable de la synchronisation et de la maintenance fonctionne entre un contrôleur de domaine principal (PDC) et des contrôleurs de domaine de sauvegarde (BDC). Netlogon est un précurseur du protocole de serveur de duplication d’annuaire (DRS). L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relationsentre les contrôleurs de domaine (DC) et les domaines. Pour plus d’informations, consultez Protocole distant Netlogon.

RC4-HMAC (RC4) est un algorithme de chiffrement symétrique de longueur de clé variable. Pour plus d’informations, consultez [SCHNEIER] section 17.1.

Une connexion d’appel de procédure distante (RPC) authentifiée entre deux machines d’un domaine avec un contexte de sécurité établi utilisé pour la signature et le chiffrement des paquets RPC.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.