Izmaiņu žurnāls
1. izmaiņa: 2023. gada 5. aprīlis Pārvietota reģistra atslēgas fāze "Ieviešana pēc noklusējuma" no 2023. gada 11. aprīļa uz 2023. gada 13. jūnijs sadaļā "Atjauninājumu hronometrāža, lai novērstu CVE-2022-38023". 2. izmaiņa: 2023. gada 20. aprīlis Noņemta neprecīza atsauce uz "Domēna kontrolleris: atļaut neaizsargātu Netlogon drošu kanālu savienojumu" grupas politikas objektu (GPO) sadaļā "Reģistra atslēgas iestatījumi". Mainiet 3: 2023. gada 19. jūnijs:
|
Šajā rakstā
Kopsavilkums
2022. gada 8. novembrī un jaunākās versijās Windows atjaunināšanas adrese ir īpaši līdzīga Netlogon protokola adresei, ja tiek izmantota RPC parakstīšana, nevis RPC apzīmogošana. Papildinformāciju skatiet CVE-2022-38023 .
Netlogon attālā protokola attālās procedūras zvana (RPC) interfeiss tiek galvenokārt izmantots, lai uzturētu relāciju starp ierīci un tās domēnu, kā arī domēnu kontrolleru (DC) un domēnu relācijas.
Šis atjauninājums pēc noklusējuma aizsargā Windows ierīces no CVE-2022-38023 . Trešo pušu klientiem un trešo pušu domēnu kontrolleriem atjauninājums pēc noklusējuma ir saderības režīmā, un nodrošina neaizsargātus savienojumus no šādiem klientiem. Skatiet sadaļu Reģistra atslēgu iestatījumi, lai uzzinātu, kā pāriet uz ieviešanas režīmu.
Lai palīdzētu aizsargāt vidi, instalējiet Windows atjauninājumu, kas ir novecojis ar 2022. gada 8. novembri, vai jaunāku Windows atjauninājumu uz visām ierīcēm, ieskaitot domēna kontrollerus.
Svarīgi! Sākot ar 2023. gada jūniju, ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm. Tad atjauninājumu nevarēsit atspējot, bet iespējams, tiks atjaunots saderības režīma iestatījums. Saderības režīms tiks noņemts 2023. gada jūlijā, kā norādīts sadaļā Atjauninājumu hronometrāža, lai novērstu Netlogon ievainojamību CVE-2022-38023 .
Atjauninājumu hronometrāža adresēm CVE-2022-38023
Atjauninājumi tiks izlaists vairākos posmos: sākotnējā posmā atjauninājumiem, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un ieviešanas posmā atjauninājumiem, kas izlaisti 2023. gada 11. jūlijā vai pēc tam.
Sākotnējais izvietošanas posms sākas ar 2022. gada 8. novembrī izlaistajiem atjauninājumiem un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei. Windows atjauninājumi 2022. gada 8. novembrī vai pēc tam tiek atjaunināti, lai apietu CVE-2022-38023 drošības apiešanas ievainojamību, visiem Windows klientiem uzspiešot RPC apslēpšanu.
Pēc noklusējuma ierīces tiks iestatītas saderības režīmā. Windows domēnu kontrolleriem būs nepieciešams, lai Netlogon klienti izmantotu RPC apzīmogošanu, ja tie izmanto Windows vai vai nu domēna kontrollerus, vai kā drošības kontroles kontus.
Windows atjauninājumi, kas izlaisti 2023. gada 11. aprīlī vai pēc tam, noņems iespēju atspējot RPC apzīmogošanu, iestatot vērtību 0 uz reģistra apakšatslēgu RequireSeal .
Apakšatslēga RequireSeal tiks pārvietota uz ieviesto režīmu, ja vien administratori nav tieši konfigurējuši to saderības režīmā. Neaizsargāti savienojumi no visiem klientiem, tostarp trešo pušu, tiks liegta autentifikācija. Skatiet sadaļu 1. maiņa.
Windows atjauninājumi, kas izlaisti 2023. gada 11 . jūlijā, noņems iespēju iestatīt 1. vērtību uz reģistra apakšatslēgu RequireSeal . Tas iespējo CVE-2022-38023 ieviešanas posmu.
Reģistra atslēgas iestatījumi
Pēc 2022. gada 8. novembra Windows atjauninājumu instalēšanas Windows apakšatslēgai ir pieejama šāda reģistra apakšatslēga Windows domēna kontrolleros: Netlogon.
SVARĪGI! Šis atjauninājums, kā arī turpmākās ieviešanas izmaiņas, ne automātiski ne pievienot un noņemt reģistra apakšatslēgu "RequireSeal". Šī reģistra apakšatslēga ir jāpievieno manuāli, lai tā tiktu nolasīta. Skatiet sadaļu 3. maiņa.
Apakšatslēga RequireSeal
Reģistra atslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Vērtība |
RequireSeal |
Datu tips |
REG_DWORD |
Dati |
0 – atspējots 1 – Saderības režīms. Windows domēnu kontrolleriem būs nepieciešams, lai Netlogon klienti izmantotu RPC zīmogu, ja tie izmanto Windows vai vai nu domēna kontrollerus, vai uzticamības kontus. 2 . Ieviešanas režīms. Visi klienti ir nepieciešami, lai izmantotu RPC zīmogu. Skatiet sadaļu 2. maiņa. |
Vai nepieciešama restartēšana? |
Nē |
Windows notikumi, kas saistīti ar CVE-2022-38023
NOTE Tālāk minētajiem notikumiem ir 1 stundas buferis, kurā bufera laikā tiek atmesti notikumi, kas satur to pašu informāciju.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
NETLOGON |
Notikuma ID |
5838 |
Notikuma teksts |
Netlogon pakalpojums radās klients, kas izmanto RPC pierakstīšanos, nevis RPC apzīmogošanu. |
Ja jūsu notikumu žurnālos atrodat šo kļūdas ziņojumu, lai novērstu sistēmas kļūdu, ir jāveic šādas darbības:
-
Pārliecinieties, vai ierīcē darbojas atbalstīta Windows versija.
-
Pārbaudiet, vai visas ierīces ir atjauninātas.
-
Pārbaudiet, vai domēna dalībnieks: domēna dalībnieks: digitāli šifrē vai parakstiet drošu kanāla datus (vienmēr) ir iestatīts uz Iespējots .
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
NETLOGON |
Notikuma ID |
5839 |
Notikuma teksts |
Netlogon pakalpojums radās uzticamības, izmantojot RPC pierakstīšanos, nevis RPC apzīmogošanu. |
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
NETLOGON |
Notikuma ID |
5840 |
Notikuma teksts |
Netlogon pakalpojums izveidoja drošu kanālu ar klientu ar RC4. |
Ja atrodat Notikumu 5840, tā ir zīme, ka klients jūsu domēnā izmanto vāju šifrēšanas funkciju.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
NETLOGON |
Notikuma ID |
5841 |
Notikuma teksts |
Netlogon pakalpojums liedza klientu, kas izmantoja RC4, jo ir iestatīts iestatījums RejectMd5Clients. |
Ja atrodat Notikumu 5841, tā ir zīme, ka vērtība RejectMD5Clients ir iestatīta kā TRUE .
RejectMD5Clients abstraktā datu modeļa apraksts.
Atslēga RejectMD5Clients ir iepriekš esoša atslēga pakalpojumā Netlogon. Papildinformāciju skatiet rakstāBieži uzdotie jautājumi (bieži uzdotie jautājumi)
Šo CVE ietekmē visus domēnam pievienotos datora kontus. Pēc 2022. gada 8. novembra vai jaunākas Windows atjaunināšanas instalēšanas notikumi parādīs, kam šī problēma visvairāk ietekmē, lūdzu, pārskatiet sadaļu Notikumu žurnāla kļūdas, lai novērstu problēmas.
Lai palīdzētu noteikt vecākus klientus, kuri nelieto visspēcīgāko pieejamo šifrēšanas funkciju, šis atjauninājums iepazīstina ar notikumu žurnāliem klientiem, kuri izmanto RC4.
RPC parakstīšana ir tā, ka Netlogon protokols izmanto RPC, lai parakstītu ar vadu nosūtītos ziņojumus. RPC apzīmogošana ir tad, kad Netlogon protokols paraksta un šifrē ziņojumus, ko tas nosūta, izmantojot vadu.
Windows domēna kontrolleris nosaka, vai Netlogon klients darbojas Windows, vaicājot "OperatingSystem" atribūtu Active Directory Netlogon klientam un pārbaudot šādas virknes:
-
"Windows", "Hyper-V Server" un "Azure Stack HCI"
Mēs neiesakām un neatbalstām, ka Netlogon klienti vai domēna administratori šo atribūtu maina uz vērtību, kas neprezentē operētājsistēmas (OS), kura darbojas Netlogon klients. Ņemiet vērā, ka mēs varam mainīt meklēšanas kritērijus jebkurā laikā. Skatiet sadaļu 3. maiņa.
Ieviešanas posms nenoraida Netlogon klientus, ņemot vērā klientu lietoto šifrēšanas veidu. Tiek noraidīti tikai Netlogon klienti, ja viņi pierakstās RPC, nevis RPC apzīmogošana. RC4 Netlogon klientu noraidījums ir balstīts uz reģistra atslēgu "RejectMd5Clients", kas ir pieejama Windows Server 2008 R2 un jaunākām versijām Windows domēnu kontrolleriem. Šī atjauninājuma ieviešanas posms nemaina vērtību "RejectMd5Clients". Iesakām klientiem viņu domēnos iespējot vērtību "RejectMd5Clients", lai nodrošinātu augstāku drošību. Skatiet sadaļu 3. maiņa.
Glosārijs
Uzlabotais šifrēšanas standarts (Advanced Encryption Standard — AES) ir bloks, kas aizstāj datu šifrēšanas standartu (ADVANCED Encryption Standard — DES). AES var izmantot, lai aizsargātu elektroniskos datus. AES algoritmu var izmantot, lai šifrētu (encipher) un atšifrētu (salasāmu) informāciju. Šifrēšana konvertē datus nelasāmā formā, ko sauc par šifrēšanas tekstu; atšifrējot ciphertext, dati tiek konvertēti atpakaļ sākotnējā formā, kas tiek dēvēta par vienkāršu tekstu. AES tiek izmantots simetriskas atslēgas šifrēšanai, kas nozīmē, ka tā pati atslēga tiek izmantota šifrēšanas un atšifrēšanas operācijām. Tas ir arī bloka izdai, kas nozīmē, ka tas darbojas uz fiksēta lieluma vienkārša teksta un ciphertext blokiem, un tā lielumam ir nepieciešams gan vienkāršs teksts, gan arī šis bloka lielums, kas dalās bez noteikta lieluma. AES ir pazīstama arī kā Ndael simetriskā šifrēšanas algoritms [FIPS197].
Ar Windows NT saderīgā tīkla drošības vidē komponents, kas atbild par sinhronizācijas un uzturēšanas funkcijām starp primāro domēna kontrolleri (PDC) un dublējuma domēna kontrolleriem (BDC). Netlogon ir direktoriju replicēšanas servera (DRS) protokola priekštecis. Netlogon attālā protokola attālās procedūras zvana (RPC) interfeiss tiek galvenokārt izmantots, lai uzturētu relāciju starp ierīci un tās domēnu, kā arī domēnu kontrolleru (DC) un domēnu relācijas. Papildinformāciju skatiet rakstā Netlogon attālais protokols.
RC4-HMAC (RC4) ir mainīgs atslēgas garuma simetriskās šifrēšanas algoritms. Papildinformāciju skatiet [SCHNEIER] sadaļā 17.1.
Autentificēts attālās procedūras izsaukumu (RPC) savienojums starp diviem datoriem domēnā ar izveidotu drošības kontekstu, kas tiek izmantots RPC pakešu parakstīšanai un šifrēšanai.