Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Atnaujinta

2023 m. balandžio 10 d.: atnaujintas "Trečiasis diegimo etapas" nuo 2023 m. balandžio 11 d. iki 2023 m. birželio 13 d. dalyje "Naujinimų, adreso CVE-2022-37967, laikas".

Šiame straipsnyje

Suvestinė

2022 m. lapkričio 8 d. "Windows" naujinimai išsprendžia saugos apėjimo ir didesnių teisių pažeidžiamumų su Privilege Attribute Certificate (PAC) parašais problemą. Šis saugos naujinimas išsprendžia "Kerberos" pažeidžiamumus, kai programišius gali skaitmeniniu būdu keisti PAC parašus ir padidinti savo teises.

Norėdami apsaugoti aplinką, įdiekite šį "Windows" naujinimą visuose įrenginiuose, įskaitant "Windows" domeno valdiklius. Prieš perjungiant naujinimą į įgalintą režimą, visi domeno valdikliai jūsų domene turi būti atnaujinti.

Norėdami sužinoti daugiau apie šį pažeidžiamumą, žr. CVE-2022-37967.

Imtis veiksmų

Kad apsaugotumėte savo aplinką ir išvengtumėte trikčių, rekomenduojame atlikti šiuos veiksmus:

  1. Atnaujinkite "Windows" domeno valdiklius naudodami "Windows" naujinimą, išleistą 2022 m. lapkričio 8 d. arba vėliau.

  2. PERKELKITE "Windows" domeno valdiklius į tikrinimo režimą naudodami sekciją Registro rakto parametras .

  3. Stebėkite įvykius, padaiškintus audito režimu, kad apsaugotumėte savo aplinką.

  4. ĮGALINTIVykdymo režimas, skirtas cve-2022-37967 jūsų aplinkoje.

Pastaba 2022 m. lapkričio 8 d. arba vėliau išleistų naujinimų diegimo 1 veiksmas NEIŠspręs saugos problemų CVE-2022-37967, skirtose "Windows" įrenginiams pagal numatytuosius parametrus. Norėdami visiškai sumažinti visų įrenginių saugos problemą, turite kuo greičiau pereiti prie audito režimo (aprašyta 2 veiksme) ir priverstinio režimo (aprašyta 4 veiksme) visuose "Windows" domenų valdikliuose.

Svarbu Nuo 2023 m. liepos mėn. vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius su reikalavimų neatitinkančiais įrenginiais.  Tuo metu negalėsite išjungti naujinimo, bet galėsite grįžti į audito režimo parametrą. Audito režimas bus pašalintas 2023 m. spalio mėn., kaip nurodyta skyriuje "Kerberos" pažeidžiamumo CVE-2022-37967 naujinimų laikas .

Naujinimų laikas adresas CVE-2022-37967

Naujinimai bus išleistos etapais: pradinis naujinimų, išleistų 2022 m. lapkričio 8 d. arba vėliau, etapas ir 2023 m. birželio 13 d. arba vėliau išleistų naujinimų vykdymo etapas.

Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2022 m. lapkričio 8 d., ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. Šis naujinimas įtraukia parašus į Kerberos PAC buferio, bet nėra patikrinti parašų autentifikavimo metu. Taigi, saugusis režimas yra išjungtas pagal numatytuosius nustatymus.

Šis naujinimas:

  • Įtraukia PAC parašus į Kerberos PAC buferį.

  • Įtraukia priemones, susijusias su "Kerberos" protokolo saugos apėjimo pažeidžiamumu.

Antrasis diegimo etapas pradedamas nuo 2022 m. gruodžio 13 d. išleistų naujinimų. Šie ir vėlesni naujinimai pakeičia "Kerberos" protokolą, kad būtų galima patikrinti "Windows" įrenginius perkeliant "Windows" domeno valdiklius į audito režimą.

Naudojant šį naujinimą, pagal numatytuosius parametrus visi įrenginiai veiks tikrinimo režimu:

  • Jei parašo nėra arba jis negalioja, autentifikavimas leidžiamas. Be to, bus sukurtas audito žurnalas. 

  • Jei trūksta parašo, pakelkite įvykį ir leiskite autentifikavimą.

  • Jei parašas yra, patvirtinkite jį. Jei parašas neteisingas, pakelkite įvykį ir leiskite autentifikavimą.

2023 m. birželio 13 d. arba vėliau išleisti "Windows" naujinimai atliks šiuos veiksmus: 

  • Pašalinkite galimybę išjungti PAC parašo įtraukimą nustatydami dalinį raktą KrbtgtFullPacSignature kaip reikšmę 0.

2023 m. liepos 11 d. arba vėliau išleisti "Windows" naujinimai atliks šiuos veiksmus: 

  • Pašalina galimybę nustatyti krbtgtFullPacSignature dalinio rakto reikšmę 1.

  • Perkelia naujinimą į vykdymo režimą (numatytasis parametras) (KrbtgtFullPacSignature = 3), kurį administratorius gali perrašyti naudodamas aiškų audito parametrą.

2023 m. spalio 10 d. arba vėliau išleisti "Windows" naujinimai atliks šiuos veiksmus: 

  • Pašalina registro dalinio rakto KrbtgtFullPacSignature palaikymą.

  • Pašalina audito režimo palaikymą.

  • Visi paslaugų bilietai be naujų PAC parašų bus atmestas autentifikavimas.

Diegimo gairės

Norėdami įdiegti "Windows" naujinimus, išleistus 2022 m. lapkričio 8 d. arba naujesnius "Windows" naujinimus, atlikite šiuos veiksmus:

  1. Atnaujinkite savo "Windows" domeno valdiklius naudodami naujinimą, išleistą 2022 m. lapkričio 8 d. arba vėliau.

  2. Perkelkite domeno valdiklius į audito režimą naudodami sekciją Registro rakto parametras.

  3. Stebėkite įvykius, padaiškintus audito režimu, kad apsaugotumėte savo aplinką.

  4. ĮGALINTI Vykdymo režimas, skirtas cve-2022-37967 jūsų aplinkoje.

1 VEIKSMAS: NAUJINIMAS 

Įdiekite 2022 m. lapkričio 8 d. arba naujesnius naujinimus visiems taikomiems "Windows" domeno valdikliams (DC). Įdiegus naujinimą, atnaujinti "Windows" domeno valdikliai turės parašus, įtrauktus į "Kerberos PAC Buffer" ir bus nesaugūs pagal numatytuosius parametrus (PAC parašas nepatvirtintas).

  • Naujindami įsitikinkite, kad registro reikšmė KrbtgtFullPacSignature yra numatytosios būsenos, kol bus atnaujinti visi "Windows" domeno valdikliai.

2 VEIKSMAS: PERKĖLIMAS 

Atnaujinus "Windows" domeno valdiklius, įjunkite audito režimą pakeisdami Reikšmę KrbtgtFullPacSignature į 2.  

3 VEIKSMAS: RADIMAS / MONITORIUS 

Nustatykite sritis, kuriose trūksta PAC parašų arba PAC parašų, kurių tikrinimas nepavyksta naudojant įvykių žurnalus, paleistus audito režimu.   

  • Prieš pereidami į vykdymo režimą įsitikinkite, kad nustatytas bent 2008 arba aukštesnis domeno funkcinis lygis . Pereidami prie vykdymo režimo su domenais 2003 m. domeno funkciniame lygyje, gali kilti autentifikavimo klaidų.

  • Audito įvykiai bus rodomi, jei jūsų domenas nėra visiškai atnaujintas arba jei jūsų domene vis dar yra neapmokėtų anksčiau išduotų paslaugų bilietų.

  • Toliau stebėkite, ar yra papildomų įvykių žurnalų, nurodančių trūkstamus PAC parašus arba esamų PAC parašų tikrinimo klaidas.

  • Atnaujinus visą domeną ir pasibaigus visų neapmokėtų kvitų galiojimui, audito įvykiai nebeturėtų būti rodomi. Tada turėtumėte galėti pereiti į vykdymo režimą be trikčių.

4 VEIKSMAS: ĮGALINKITE 

Įgalinkite vykdymo režimą, kad galėtumėte išspręsti CVE-2022-37967 savo aplinkoje.

  • Kai visi audito įvykiai bus išspręsti ir nebebus rodomi, perkelkite savo domenus į vykdymo režimą atnaujindami KrbtgtFullPacSignature registro reikšmę, kaip aprašyta skyriuje Registro rakto parametrai.

  • Jei tarnybos kvite yra negaliojantis PAC parašas arba nėra PAC parašų, tikrinimas nepavyks ir bus užregistruotas klaidos įvykis.

Registro rakto parametrai

"Kerberos" protokolas

Įdiegus 2022 m. lapkričio 8 d. arba vėliau išleistus "Windows" naujinimus, galimas šis "Kerberos" protokolo registro raktas:

  • KrbtgtFullPacSignature Šis registro raktas naudojamas kerberos pakeitimams diegti. Šis registro raktas yra laikinas ir nebebus nuskaitomas po visiško vykdymo datos 2023 m. spalio 10 d. 

    Registro raktas

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Reikšmė

    KrbtgtFullPacSignature

    Duomenų tipas

    REG_DWORD

    Duomenys

    0 – išjungta  

    1 – įtraukiami nauji parašai, bet nepatikrinti. (Numatytasis parametras)

    2 – Audito režimas. Nauji parašai įtraukiami ir tikrinami, jei yra. Jei parašo nėra arba jis negalioja, autentifikavimas leidžiamas ir sukuriami audito žurnalai.

    3 – Vykdymo režimas. Nauji parašai įtraukiami ir tikrinami, jei yra. Jei parašo nėra arba jis negalioja, autentifikavimas atmetamas ir sukuriami audito žurnalai.

    Reikia paleisti iš naujo?

    Ne

    Pastaba Jei norite pakeisti Registro reikšmę KrbtgtFullPacSignature, įtraukite rankiniu būdu ir sukonfigūruokite registro raktą, kad jis nepaisytų numatytosios reikšmės.

"Windows" įvykiai, susiję su CVE-2022-37967

Testavimo režimu galite rasti vieną iš šių klaidų, jei nėra PAC parašų arba jie yra neleistini. Jei ši problema išlieka vykdymo režimu, šie įvykiai bus užregistruoti kaip klaidos.

Jei įrenginyje pastebėsite bet kurią klaidą, tikėtina, kad visi jūsų domeno "Windows" domenų valdikliai nėra atnaujinti 2022 m. lapkričio 8 d. arba naujesniu "Windows" naujinimu. Norėdami išspręsti šias problemas, turėsite ištirti domeną toliau, kad rastumėte neatnaujintus "Windows" domeno valdiklius.  

Pastaba Jei matote klaidą su įvykio ID 42, žr. KB5021131: Kaip valdyti "Kerberos" protokolo pakeitimus, susijusius su CVE-2022-37966.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

"Microsoft-Windows-Kerberos-Key-Distribution-Center"

Įvykio ID

43

Įvykio tekstas

Rakto paskirstymo centre (KDC) įvyko kvitas, kurio nepavyko patikrinti visas PAC parašas. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2210019. Klientas : <karalystė>/<name>

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

"Microsoft-Windows-Kerberos-Key-Distribution-Center"

Įvykio ID

44

Įvykio tekstas

Rakto paskirstymo centras (KDC) susidūrė su kvitu, kuriame nebuvo visas PAC parašas. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2210019. Klientas : <karalystė>/<name>

Trečiųjų šalių įrenginiai, įgyvendinantys "Kerberos" protokolą

Domenuose, kuriuose yra trečiųjų šalių domeno valdiklių, vykdymo režimu gali būti rodomos klaidos.

Įdiegus 2022 m. lapkričio 8 d. arba naujesnį "Windows" naujinimą, domenai su trečiųjų šalių klientais gali užtrukti ilgiau.

Kreipkitės į įrenginio gamintoją (OĮG) arba programinės įrangos tiekėją, kad sužinotumėte, ar jų programinė įranga suderinama su naujausiu protokolo pakeitimu.

Informacijos apie protokolo naujinimus ieškokite "Windows" protokolo temoje "Microsoft" svetainėje.

Žodynėlis

"Kerberos" yra kompiuterių tinklo autentifikavimo protokolas, kuris veikia pagal "kvitus", leidžiančius mazgams palaikyti ryšį per tinklą, kad būtų galima saugiai vienas kitam įrodyti savo tapatybę.

"Kerberos" tarnyba, kuri vykdo autentifikavimo ir bilietų teikimo tarnybas, nurodytas Kerberos protokole. Tarnyba veikia srities ar domeno administratoriaus pasirinktuose kompiuteriuose; jos nėra kiekviename tinklo kompiuteryje. Ji privalo turėti prieigą prie paskyros duomenų bazės, kad galėtų ją naudoti. KDCs yra integruoti į domeno valdiklio vaidmenį. Tai tinklo paslauga, teikianti bilietus klientams naudoti autentifikuojant paslaugas.

Teisių atributo sertifikatas (PAC) yra struktūra, perteikianti su autoravimu susijusią informaciją, kurią teikia domeno valdikliai (DC). Daugiau informacijos žr. Privilege Attribute Certificate Data Structure.

Specialus bilieto tipas, kurį galima naudoti norint gauti kitus kvitus. Kvito išdavimo kvitas (TGT) gaunamas po pradinio autentifikavimo autentifikavimo tarnyboje (AS); po to vartotojams nereikia pateikti savo kredencialų, tačiau jie gali naudoti TGT, kad gautų paskesnius kvitus.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.