Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Journal des modifications

Modification 1 : 19 juin 2023 :

  • Clarification de la phrase commençant par « Pour aider à sécuriser... » dans la section « Résumé ».

  • Ajout d’informations supplémentaires à la note dans le paramètre de clé de Registre DefaultDomainSupportedEncTypes.

Dans cet article

Résumé

Les mises à jour Windows du 8 novembre 2022 et celles ultérieures traitent de la vulnérabilité de contournement de sécurité et d’élévation de privilèges avec la négociation d’authentification à l’aide de la négociation RC4-HMAC faible.

Cette mise à jour définit Advanced Encryption Standard (AES) comme type de chiffrement par défaut pour les clés de session sur les comptes qui ne sont pas déjà marqués par un type de chiffrement par défaut. 

Pour sécuriser votre environnement, installez les mises à jour Windows publiées à partir du 8 novembre 2022 sur tous les appareils, y compris les contrôleurs de domaine. Voir Modification 1.

Pour en savoir plus sur ces vulnérabilités, consultez CVE-2022-37966.

Exploration des types de chiffrement à clé de session définis de manière explicite

Vous avez peut-être défini explicitement des types de chiffrement sur vos comptes d’utilisateur qui sont vulnérables à CVE-2022-37966. Recherchez les comptes pour lesquels DES / RC4 est explicitement activé, mais pas AES à l’aide de la requête Active Directory suivante :

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Paramètres de la clé de Registre

Une fois les mises à jour Windows du 8 novembre 2022 ou ultérieures installées, les clés de Registre suivantes sont disponibles pour le protocole Kerberos :

DefaultDomainSupportedEncTypes

Clé de Registre

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Valeur

DefaultDomainSupportedEncTypes

Type de données

REG_DWORD

Valeur de données

0x27 (par défaut)

Le redémarrage est-il nécessaire ?

Non

Remarque Si vous devez modifier le type de chiffrement pris en charge par défaut pour un utilisateur ou un ordinateur Active Directory, ajoutez et configurez manuellement la clé de Registre pour définir le nouveau type de chiffrement pris en charge.  Cette mise à jour n’ajoute pas automatiquement la clé de Registre.

Les contrôleurs de domaine Windows utilisent cette valeur pour déterminer les types de chiffrement pris en charge sur les comptes Active Directory dont la valeur msds-SupportedEncryptionType est vide ou non définie. Un ordinateur qui exécute une version prise en charge du système d’exploitation Windows définit automatiquement le msds-SupportedEncryptionTypes pour ce compte de machines dans Active Directory. Cela est basé sur la valeur configurée des types de chiffrement que le protocole Kerberos est autorisé à utiliser. Pour plus d’informations, consultez Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos.

Les comptes d’utilisateurs, les comptes de service géré de groupe et les autres comptes dans Active Directory n’ont pas la valeur msds-SupportedEncryptionTypes définie automatiquement. 

Pour trouver les types de chiffrement pris en charge que vous pouvez définir manuellement, consultez Bits indicateurs des types de chiffrement pris en charge. Pour plus d’informations, consultez ce que vous devez faire en premier pour préparer l’environnement et éviter les problèmes d’authentification Kerberos.

La valeur par défaut 0x27 (DES, RC4, clés de session AES) a été choisie comme modification minimale nécessaire pour cette mise à jour de sécurité. Nous recommandons aux clients de définir la valeur sur 0x3C pour une sécurité accrue, car cette valeur autorise à la fois les tickets chiffrés par AES et les clés de session AES. Si les clients ont suivi nos instructions pour passer à un environnement AES uniquement où RC4 n’est pas utilisé pour le protocole Kerberos, nous recommandons aux clients de définir la valeur sur 0x38. Voir Modification 1.

Événements Windows liés à CVE-2022-37966

Des clés fortes manquent au Centre de distribution de clés Kerberos pour le compte

Journal des événements

Système

Type d’événement

Error

Source de l’événement

Kdcsvc

ID d’événement

42

Texte de l’événement

Des clés fortes manquent au Centre de distribution de clés Kerberos pour le compte : accountname. Vous devez mettre à jour le mot de passe de ce compte pour empêcher l’utilisation du chiffrement non sécurisé. Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2210019.

Si vous trouvez cette erreur, vous devrez probablement réinitialiser votre mot de passe krbtgt avant de définir KrbtgtFullPacSingature = 3, ou d’installer les mises à jour Windows publiées à partir du 11 juillet 2023. La mise à jour qui active par programmation le mode d’application pour CVE-2022-37967 est documentée dans l’article suivant de la Base de connaissances Microsoft :

KB5020805 : comment gérer les changements de protocole Kerberos liés à CVE-2022-37967

Pour plus d’informations sur la procédure à suivre, consultez la rubrique New-KrbtgtKeys.ps1 sur le site web GitHub.

Questions fréquentes (FAQ) et problèmes connus

Les comptes marqués d’un indicateur d’utilisation RC4 explicite peuvent être vulnérables. En outre, les environnements qui n’ont pas de clés de session AES dans krbgt peuvent aussi être vulnérables. Pour atténuer les problèmes, suivez les instructions sur la façon d’identifier les vulnérabilités et d’utiliser la section Paramètre de clé de Registre pour mettre à jour les valeurs de chiffrement par défaut explicitement définies.

Vous devez vérifier que tous vos appareils ont un type de chiffrement Kerberos commun.  Pour plus d’informations sur les types de chiffrement Kerberos, consultez Déchiffrement de la sélection des types de chiffrement Kerberos pris en charge.

Les environnements sans type de chiffrement Kerberos commun ont peut-être été précédemment fonctionnels en raison de l’ajout automatique de RC4 ou de l’ajout d’AES, si RC4 a été désactivé par le biais de la stratégie de groupe par les contrôleurs de domaine. Ce comportement a changé avec les mises à jour publiées le ou après le 8 novembre 2022 et suivra désormais strictement ce qui est défini dans les clés de Registre, msds-SupportedEncryptionTypes et DefaultDomainSupportedEncTypes

Si msds-SupportedEncryptionTypes n’est pas défini sur le compte ou s’il a la valeur 0, les contrôleurs de domaine supposent que la valeur par défaut est 0x27 (39) ou que le contrôleur de domaine utilise le paramètre dans la clé de Registre DefaultDomainSupportedEncTypes.

Si msds-SupportedEncryptionTypes est défini sur le compte, ce paramètre est respecté et peut exposer un échec de configuration d’un type de chiffrement Kerberos commun masqué par le comportement précédent d’ajout automatique de RC4 ou AES, qui n’est plus le comportement après l’installation des mises à jour publiées le 8 novembre 2022 ou après.

Pour plus d’informations sur la façon de vérifier que vous disposez d’un type de chiffrement Kerberos commun, consultez la question Comment puis-je vérifier que tous mes appareils ont un type de chiffrement Kerberos commun ?

Consultez la question précédente pour plus d’informations sur la raison pour laquelle vos appareils n’ont peut-être pas un type de chiffrement Kerberos commun après l’installation des mises à jour publiées le 8 novembre 2022 ou après.

Si vous avez déjà installé les mises à jour publiées le 8 novembre 2022 ou après, vous pouvez détecter les appareils qui n’ont pas de type de chiffrement Kerberos commun en recherchant dans le journal des événements Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27, qui identifie les types de chiffrement disjoints entre les clients Kerberos et les serveurs ou services distants.

L’installation des mises à jour publiées à partir du 8 novembre 2022 sur les clients ou les serveurs de rôle non contrôleur de domaine ne doit pas affecter l’authentification Kerberos dans votre environnement.

Pour atténuer ce problème connu, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur et utilisez temporairement la commande suivante pour définir la clé de Registre KrbtgtFullPacSignature sur 0 :

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Remarque Une fois ce problème connu résolu, vous devez définir KrbtgtFullPacSignature sur un paramètre supérieur en fonction de ce que votre environnement autorise. Nous vous recommandons d’activer le mode d’application dès que votre environnement est prêt.

Prochaines étapesMicrosoft essaie de trouver une solution à ce problème et fournira ultérieurement une mise à jour.

Après avoir installé les mises à jour publiées le ou après le 8 novembre 2022 sur vos contrôleurs de domaine, tous les appareils doivent prendre en charge la signature de ticket AES comme requis pour être conformes au renforcement de la sécurité requis pour CVE-2022-37967.

Étapes suivantes Si vous exécutez déjà les logiciels et microprogrammes les plus récents pour vos appareils non Windows et que vous avez vérifié qu’un type de chiffrement commun est disponible entre vos contrôleurs de domaine Windows et vos appareils non Windows, vous devez contacter le fabricant de votre appareil (OEM) pour obtenir de l’aide ou remplacer les appareils par des appareils conformes. 

IMPORTANT Nous vous déconseillons d’utiliser une solution de contournement pour autoriser l’authentification des appareils non conformes, car cela peut rendre votre environnement vulnérable.

Les versions non prises en charge de Windows incluent Windows XP, Windows Server 2003, Windows Server 2008 SP2 et Windows Server 2008 R2 SP1 ne sont pas accessibles par les appareils Windows mis à jour, sauf si vous disposez d’une licence ESU. Si vous disposez d’une licence ESU, vous devez installer les mises à jour publiées à partir du 8 novembre 2022 et vérifier que votre configuration dispose d’un type de chiffrement commun disponible entre tous les appareils.

Étapes suivantes Installez les mises à jour, si elles sont disponibles pour votre version de Windows et que vous disposez de la licence ESU applicable. Si les mises à jour ne sont pas disponibles, vous devez effectuer une mise à niveau vers une version prise en charge de Windows ou déplacer une application ou un service vers un appareil conforme.

IMPORTANT Nous vous déconseillons d’utiliser une solution de contournement pour autoriser l’authentification des appareils non conformes, car cela peut rendre votre environnement vulnérable.

Ce problème connu a été résolu dans des mises à jour hors bande publiées le 17 novembre 2022 et le 18 novembre 2022 à installer sur tous les contrôleurs de domaine de votre environnement. Vous n’avez pas besoin d’installer de mise à jour ou d’apporter des modifications à d’autres serveurs ou appareils clients dans votre environnement pour résoudre ce problème. Si vous avez utilisé des solutions de contournement ou d’atténuation pour ce problème, elles ne sont plus nécessaires et nous vous recommandons de les supprimer.

Pour obtenir le package autonome pour ces mises à jour hors bande, recherchez le numéro de base de connaissances dans le Catalogue Microsoft Update. Vous pouvez importer manuellement ces mises à jour dans Windows Server Update Services (WSUS) et le gestionnaire de configuration Microsoft Endpoint. Pour obtenir des instructions sur WSUS, consultez WSUS et le site de catalogue. Pour obtenir des instructions sur le gestionnaire de configuration, consultez Importer des mises à jour à partir du catalogue Microsoft Update

Remarque Les mises à jour ci-dessous ne sont pas disponibles à partir de Windows Update et ne s’installent pas automatiquement.

Mises à jour cumulatives :

Remarque Vous n’avez pas besoin d’appliquer une mise à jour précédente avant d’installer ces mises à jour cumulatives. Si vous avez déjà installé les mises à jour publiées le 8 novembre 2022, vous n’avez pas besoin de désinstaller les mises à jour affectées avant d’installer les mises à jour ultérieures, y compris les mises à jour répertoriées ci-dessus.

Mises à jour autonomes :

Remarques 

  • Si vous utilisez des mises à jour Sécurité uniquement pour ces versions de serveur Windows, vous devez uniquement installer ces mises à jour autonomes pour le mois de novembre 2022. Les mises à jour Sécurité uniquement ne sont pas cumulatives, et vous devez également installer toutes les mises à jour Sécurité uniquement précédentes pour être entièrement à jour. Les mises à jour cumulatives mensuelles incluent la sécurité et toutes les mises à jour de qualité.

  • Si vous utilisez des mises à jour cumulatives mensuelles, vous devez installer les mises à jour autonomes répertoriées ci-dessus pour résoudre ce problème et installer les correctifs cumulatifs mensuels publiés le 8 novembre 2022 pour recevoir les mises à jour qualité de novembre 2022. Si vous avez déjà installé les mises à jour publiées le 8 novembre 2022, vous n’avez pas besoin de désinstaller les mises à jour affectées avant d’installer les mises à jour ultérieures, y compris les mises à jour répertoriées ci-dessus.

Si vous avez vérifié la configuration de votre environnement et que vous rencontrez toujours des problèmes avec une implémentation non Microsoft de Kerberos, vous aurez besoin de mises à jour ou de support de la part du développeur ou du fabricant de l’application ou de l’appareil.

Ce problème connu peut être atténué en procédant de l’une des manières suivantes :

  • Définissez msds-SupportedEncryptionTypes avec le bit ou définissez-le sur le 0x27 par défaut actuel pour conserver sa valeur actuelle. Par exemple :

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Définissez msds-SupportEncryptionTypes sur 0 pour permettre aux contrôleurs de domaine d’utiliser la valeur par défaut de 0x27.

Prochaines étapesMicrosoft essaie de trouver une solution à ce problème et fournira ultérieurement une mise à jour.

Glossaire

Advanced Encryption Standard (AES) est un chiffrement par blocs qui remplace Data Encryption Standard (DES). AES peut être utilisé pour protéger les données électroniques. L’algorithme AES peut être utilisé pour chiffrer (déchiffrer) et déchiffrer (déchiffrer) des informations. Le chiffrement convertit les données en une forme inintelligible appelée texte chiffré ; le déchiffrement du texte chiffré reconvertit les données dans leur forme originale, appelée texte en clair. AES est utilisé en chiffrement par clé symétrique, ce qui signifie que la même clé est utilisée pour les opérations de cryptage et de décryptage. Il s’agit également d’un chiffrement par blocs, ce qui signifie qu’il fonctionne sur des blocs de texte en clair et de texte chiffré de taille fixe, et que la taille du texte en clair et du texte chiffré doit être un multiple exact de la taille de ces blocs. AES est également connu sous le nom d’algorithme de chiffrement symétrique Rijndael [FIPS197] .

Kerberos est un protocole d’authentification réseau informatique qui fonctionne sur la base de « tickets » pour permettre aux nœuds qui communiquent sur un réseau de prouver leur identité entre eux de manière sécurisée.

Il s’agit du service Kerberos qui implémente les services d’authentification et d’octroi de tickets spécifiés dans le protocole Kerberos. Le service s’exécute sur les ordinateurs sélectionnés par l’administrateur du domaine. Il n’est pas présent sur tous les ordinateurs du réseau. Il doit avoir accès à une base de données de compte du domaine qu’il sert. Les KDC sont intégrés au rôle de contrôleur de domaine. Il s’agit d’un service réseau qui fournit des tickets aux clients pour les utiliser pour l’authentification auprès des services.

RC4-HMAC (RC4) est un algorithme de chiffrement symétrique de longueur de clé variable. Pour plus d’informations, consultez la section 17.1 de [SCHNEIER].

Il s’agit d’une clé symétrique à durée de vie relativement courte (clé de chiffrement négociée par le client et le serveur sur la base d’un secret partagé). La durée de vie des clés de session est limitée par la session à laquelle elle est associée. Une clé de session doit être suffisamment forte pour résister à la cryptanalyse pendant toute la durée de vie de la session.

Il s’agit d’un type spécial de ticket qui peut être utilisé pour obtenir d’autres tickets. Le ticket d’octroi de tickets (TGT) est obtenu après l’authentification initiale dans l’échange du service d’authentification (AS). Par la suite, les utilisateurs n’ont pas besoin de présenter leurs informations d’identification, mais peuvent utiliser le TGT pour obtenir les tickets ultérieurs.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.