Journal des modifications
Modification 1 : 5 avril 2023 : Déplacement de la phase « Application par défaut » de la clé de Registre du 11 avril 2023 au 13 juin 2023 dans la section « Timing of updates to address CVE-2022-38023 ». Modification 2 : 20 avril 2023 : Suppression de la référence inexacte à l’objet de stratégie de groupe (GPO) « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » dans la section « Paramètres de clé de Registre ». Modification 3 : 19 juin 2023 :
|
Dans cet article
Résumé
Les mises à jour Windows du 8 novembre 2022 et ultérieures résolvent les faiblesses du protocole Netlogon lorsque la signature des appels de procédure distante (RPC) est utilisée au lieu du scellement RPC. Pour plus d’informations, consultez CVE-2022-38023.
L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relations entre les contrôleurs de domaine et les domaines.
Cette mise à jour protège les appareils Windows contre CVE-2022-38023 par défaut. Pour les clients tiers et les contrôleurs de domaine tiers, la mise à jour est en mode de compatibilité par défaut et autorise les connexions vulnérables à partir de ces clients. Reportez-vous à la section Paramètres de clé de Registre pour connaître les étapes à suivre pour passer au mode de mise en conformité.
Pour sécuriser votre environnement, installez la mise à jour Windows datée du 8 novembre 2022 ou une mise à jour Windows ultérieure sur tous les appareils, y compris les contrôleurs de domaine.
Important À partir de juin 2023, le mode application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables à partir d’appareils non conformes. À ce stade, vous ne pourrez pas désactiver la mise à jour, mais vous pouvez revenir au paramètre Mode de compatibilité. Le mode de compatibilité sera supprimé en juillet 2023, comme indiqué dans la section Calendrier des mises à jour visant à corriger la vulnérabilité Netlogon CVE-2022-38023.
Minutage des mises à jour pour traiter CVE-2022-38023
Les mises à jour seront publiées par différentes phases : la phase initiale des mises à jour publiées le 8 novembre 2022 ou après et la phase de mise en œuvre pour les mises à jour publiées le ou après le 11 avril 2023.
La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2022 et se poursuit par des mises à jour Windows ultérieure pour la phase de mise en conformité. Les mises à jour Windows à partir du 8 novembre 2022 résolvent la vulnérabilité de contournement de sécurité CVE-2022-38023 en appliquant le scellement RPC à tous les clients Windows.
Par défaut, les appareils sont définis en mode de compatibilité. Les contrôleurs de domaine Windows nécessitent que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou en tant que comptes d’approbation.
Les mises à jour Windows publiées le ou après le 11 avril 2023 suppriment la possibilité de désactiver le scellement RPC en définissant la valeur 0 sur la sous-clé de registre RequireSeal.
La sous-clé de registre RequireSeal est déplacée en mode Appliqué, sauf si les administrateurs la configurent explicitement pour qu’elle soit en mode de compatibilité. Les connexions vulnérables de tous les clients, y compris les tiers, se verront refuser l’authentification. Voir la Modification 1.
Les mises à jour Windows publiées le 11 juillet 2023 suppriment la possibilité de définir la valeur 1 sur la sous-clé de registre RequireSeal. Cela active la phase de mise en œuvre de CVE-2022-38023.
Paramètres de la clé de Registre
Après l’installation des mises à jour Windows datées du 8 novembre 2022 ou après, la sous-clé de registre suivante est disponible pour le protocole Netlogon sur les contrôleurs de domaine Windows.
IMPORTANT Cette mise à jour, ainsi que les futures modifications de mise en conformité, n’ajoutent ni ne suppriment automatiquement la sous-clé de Registre « RequireSeal ». Cette sous-clé de Registre doit être ajoutée manuellement pour pouvoir être lue. Voir la Modification 3.
Sous-clé RequireSeal
Clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Valeur |
RequireSeal |
Type de données |
REG_DWORD |
Données |
0 – Désactivé 1 – Mode de compatibilité. Les contrôleurs de domaine Windows exigeront que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou comptes de confiance. 2 – Mode de mise en conformité. Tous les clients doivent utiliser le sceau de l’appel de procédure distante (RPC). Voir la Modification 2. |
Redémarrage requis ? |
Non |
Événements Windows liés à CVE-2022-38023
REMARQUE Les événements suivants ont une mémoire tampon d’une heure pendant laquelle les événements en double qui contiennent les mêmes informations sont ignorés.
Journal des événements |
Système |
Type d’événement |
Error |
Source de l’événement |
NETLOGON |
ID d’événement |
5838 |
Texte de l’événement |
Le service Netlogon a rencontré un client utilisant la signature RPC au lieu du scellement RPC. |
Si vous trouvez ce message d’erreur dans vos journaux d’événements, vous devez prendre les mesures suivantes pour résoudre l’erreur système :
-
Vérifiez que l’appareil exécute une version prise en charge de Windows.
-
Vérifiez que tous les appareils sont à jour.
-
Vérifiez que Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) est défini sur Activé.
Journal des événements |
Système |
Type d’événement |
Error |
Source de l’événement |
NETLOGON |
ID d’événement |
5839 |
Texte de l’événement |
Le service Netlogon a rencontré une confiance utilisant la signature RPC au lieu du scellement RPC. |
Journal des événements |
Système |
Type d’événement |
Avertissement |
Source de l’événement |
NETLOGON |
ID d’événement |
5840 |
Texte de l’événement |
Le service Netlogon a créé un canal sécurisé avec un client avec RC4. |
Si vous trouvez l’événement 5840, c’est un signe qu’un client de votre domaine utilise une cryptographie faible.
Journal des événements |
Système |
Type d’événement |
Error |
Source de l’événement |
NETLOGON |
ID d’événement |
5841 |
Texte de l’événement |
Le service Netlogon a refusé un client utilisant RC4 en raison du paramètre ’RejectMd5Clients’. |
Si vous trouvez l’événement 5841, cela indique que la valeur RejectMD5Clients est définie sur TRUE.
rejectMD5Clients du modèle de données abstrait.
La clé RejectMD5Clients est une clé préexistante dans le service Netlogon. Pour plus d’informations, consultez la descriptionForum aux questions (FAQ)
Tous les comptes machine liés à un domaine sont concernés par cette CVE. Les événements montreront qui est le plus touché par ce problème après l’installation des mises à jour Windows du 8 novembre 2022 ou d’une version ultérieure. Veuillez consulter la section des erreurs du journal des événements pour résoudre les problèmes.
Pour aider à détecter les clients plus anciens qui n’utilisent pas la cryptographie la plus puissante disponible, cette mise à jour introduit des journaux d’événements pour les clients qui utilisent RC4.
On parle de signature RPC lorsque le protocole Netlogon utilise RPC pour signer les messages qu’il envoie par câble. On parle de scellement RPC lorsque le protocole Netlogon signe et crypte les messages qu’il envoie par câble.
Le contrôleur de domaine Windows détermine si un client Netlogon exécute Windows en interrogeant l’attribut « OperatingSystem » dans Active Directory pour le client Netlogon et en recherchant les chaînes suivantes :
-
« Windows », « Hyper-V Server » et « Azure Stack HCI »
Nous ne recommandons ni ne prenons en charge la modification de cet attribut par les clients Netlogon ou les administrateurs de domaine en une valeur qui n’est pas représentative du système d’exploitation que le client Netlogon exécute. Vous devez savoir que nous pouvons modifier les critères de recherche à tout moment. Voir la Modification 3.
La phase de mise en conformité ne rejette pas les clients Netlogon en fonction du type de chiffrement utilisé par les clients. Elle rejette uniquement les clients Netlogon s’ils effectuent une signature RPC au lieu d’un scellement RPC. Le rejet des clients Netlogon RC4 est basé sur la clé de registre « RejectMd5Clients » disponible pour les contrôleurs de domaine Windows Server 2008 R2 et versions ultérieures. La phase de mise en conformité de cette mise à jour ne modifie pas la valeur « RejectMd5Clients ». Nous recommandons aux clients d’activer la valeur « RejectMd5Clients » pour élever la sécurité dans leurs domaines. Voir la Modification 3.
Glossaire
Advanced Encryption Standard (AES) est un chiffrement par blocs qui remplace data encryption Standard (DES). AES peut être utilisé pour protéger les données électroniques. L’algorithme AES peut être utilisé pour chiffrer (déchiffrer) et déchiffrer (déchiffrer) des informations. Le chiffrement convertit les données en une forme inintelligible appelée texte chiffré ; le déchiffrement du texte chiffré reconvertit les données dans leur forme originale, appelée texte en clair. AES est utilisé en chiffrement par clé symétrique, ce qui signifie que la même clé est utilisée pour les opérations de cryptage et de décryptage. Il s’agit également d’un chiffrement par blocs, ce qui signifie qu’il fonctionne sur des blocs de texte en clair et de texte chiffré de taille fixe, et que la taille du texte en clair et du texte chiffré doit être un multiple exact de la taille de ces blocs. AES est également connu sous le nom d’algorithme de chiffrement symétrique Rijndael [FIPS197] .
Dans un environnement de sécurité réseau compatible avec le système d’exploitation Windows NT, le composant responsable de la synchronisation et de la maintenance fonctionne entre un contrôleur de domaine principal (PDC) et des contrôleurs de domaine de sauvegarde (BDC). Netlogon est un précurseur du protocole de serveur de duplication d’annuaire (DRS). L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relationsentre les contrôleurs de domaine (DC) et les domaines. Pour plus d’informations, consultez Protocole distant Netlogon.
RC4-HMAC (RC4) est un algorithme de chiffrement symétrique de longueur de clé variable. Pour plus d’informations, consultez [SCHNEIER] section 17.1.
Une connexion d’appel de procédure distante (RPC) authentifiée entre deux machines d’un domaine avec un contexte de sécurité établi utilisé pour la signature et le chiffrement des paquets RPC.