Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Log de mudanças 

Alteração 1: 5 de abril de 2023: Moveu a fase "Imposição por padrão" da chave de Registro de 11 de abril de 2023 para 13 de junho de 2023 na seção "Intervalo de atualizações para abordar a CVE-2022-38023".

Alteração 2: 20 de abril de 2023: Referência imprecisa removida ao objeto de política de grupo (GPO) "Controlador de Domínio: permitir conexões de canal seguro de logon de rede vulneráveis" na seção "Configurações de Chave do registro".

Alteração 3: 19 de junho de 2023:

  • Adicionada uma observação "Importante" à seção "Configurações da Chave do Registro".

  • Adicionada uma "Observação" à seção "Eventos do Windows relacionados à CVE-2022-38023".

  • Adicionadas duas novas perguntas e respostas à seção "Perguntas Frequentes (FAQ)".

Neste artigo

Resumo

As atualizações do Windows de 08 de novembro de 2022 e posteriores abordam fraquezas no protocolo Netlogon quando a assinatura do RPC é usada em vez da vedação RPC. Mais informações podem ser encontradas no CVE-2022-38023 .

A interface do Protocolo Remoto Netlogon chamada de procedimento remoto (RPC) é usada principalmente para manter a relação entre um dispositivo e seu domínio , e relações entre controladores de domínio (DCs) e domínios.

Essa atualização protege os dispositivos Windows do CVE-2022-38023 por padrão.  Para clientes de terceiros e controladores de domínio de terceiros, a atualização está no modo de compatibilidade por padrão e permite conexões vulneráveis desses clientes. Consulte a seção Configurações da Chave do Registro para verificar as etapas a serem movidas para o Modo de imposição.

Para ajudar a proteger seu ambiente, instale a atualização do Windows com a data de 08 de novembro de 2022 ou uma atualização posterior do Windows para todos os dispositivos, incluindo controladores de domínio.

Importante A partir de julho de 2023, o modo de imposição será habilitado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não em não conformidade.  Nesse momento, você não poderá desabilitar a atualização, mas poderá voltar para a configuração do Modo de compatibilidade. O Modo de compatibilidade será removido em julho de 2023, conforme descrito na seção Tempo de atualizações para resolver a vulnerabilidade do Netlogon CVE-2022-38023.

Tempo das atualizações para resolver o CVE-2022-38023

As atualizações serão lançadas em várias fases: a fase inicial para atualizações lançadas em ou após 08 de novembro de 2022 e a fase de imposição para atualizações lançadas em ou após 11 de julho de 2023.

A fase de implantação inicial começa com as atualizações lançadas em 08 de novembro de 2022 e continua com as atualizações posteriores do Windows até a fase de imposição. As atualizações do Windows em ou após 08 de novembro de 2022 resolvem a vulnerabilidade do bypass de segurança da CVE-2022-38023 impondo a vedação RPC em todos os clientes Windows.

Por padrão, os dispositivos serão definidos no Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon usem o selo RPC se estiverem executando o Windows ou se estiverem atuando como controladores de domínio ou como contas de confiança.

As atualizações do Windows lançadas em ou após 11 de abril de 2023 removerão a capacidade de desabilitar a vedação RPC definindo o valor 0 para subchave do registro RequireSeal.

A subchave do registro RequireSeal será movida para o modo Imposto, a menos que os administradores configurem explicitamente para estarem no Modo de compatibilidade. As conexões vulneráveis de todos os clientes, incluindo terceiros, terão a autenticação negada. Consulte Alteração 1.

As atualizações do Windows lançadas em 11 de julho de 2023 removerão a capacidade de definir o valor 1 como a subchave do registro RequireSeal. Isso habilita a Fase de imposição do CVE-2022-38023.

Configurações da Chave do Registro

Depois que as atualizações do Windows datadas de 08 de novembro de 2022 ou posteriores forem instaladas, a seguinte chave do registro estará disponível para o protocolo Netlogon nos controladores de domínio do Windows.

IMPORTANTE Essa atualização, bem como futuras alterações de imposição, não adicionam nem removem automaticamente a subchave do Registro “RequireSeal”. Essa subchave do registro deve ser adicionada manualmente para que seja lida. Consulte Alteração 3.

Subchave RequireSeal

Chave do Registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

Valor

RequireSeal

Tipo de dados

REG_DWORD

Dados

0 – Desabilitado

1 – Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon usem o selo RPC se estiverem executando o Windows ou se estiverem atuando como controladores de domínio ou como contas de confiança.

2 – Modo de imposição. Todos os clientes são necessários para usar o Selo RPC. Consulte Alteração 2.

Reinicialização necessária?

Não

Eventos do Windows relacionados ao CVE-2022-38023

OBSERVAÇÃO Os eventos a seguir têm um buffer de 1 hora no qual eventos duplicados que contêm as mesmas informações são descartados durante esse buffer.

Log de eventos

Sistema

Tipo de Evento

Erro

Origem do evento

NETLOGON

ID do Evento

5838

Texto do Evento

O serviço Netlogon encontrou um cliente usando a assinatura RPC em vez da vedação RPC.

Se você encontrar essa mensagem de erro nos seus logs de eventos, deverá executar as seguintes ações para resolver o erro do sistema:

Log de eventos

Sistema

Tipo de Evento

Erro

Origem do evento

NETLOGON

ID do Evento

5839

Texto do Evento

O serviço Netlogon encontrou uma confiança usando a assinatura do RPC em vez da vedação RPC.

Log de eventos

Sistema

Tipo de Evento

Aviso

Origem do evento

NETLOGON

ID do Evento

5840

Texto do Evento

O serviço Netlogon criou um canal seguro com um cliente com RC4.

Se você encontrar o Evento 5840, é um sinal de que um cliente no seu domínio está usando criptografia fraca.

Log de eventos

Sistema

Tipo de Evento

Erro

Origem do evento

NETLOGON

ID do Evento

5841

Texto do Evento

O serviço Netlogon negou um cliente usando o RC4 por causa da configuração 'RejectMd5Clients'.

Se você encontrar o Evento 5841, é um sinal de que o valor RejectMD5Clients será definido como VERDADEIRO .

A RejectMD5Clients é uma chave pré-existente no serviço Netlogon. Para obter mais informações, consulte a descrição RejectMD5Clients do Modelo de Dados Abstrato.

Perguntas frequentes

Todas as contas de computador ingressadas no domínio são afetadas por essa CVE. Os eventos mostrarão quem é mais afetado por esse problema depois que as atualizações do Windows de 08 de novembro de 2022 ou posteriores forem instaladas, examine a seção Erros do Log de Eventos para resolver os problemas.

Para ajudar a detectar clientes mais antigos que não estejam usando a criptografia mais forte disponível, esta atualização apresenta logs de eventos para clientes que estão usando o RC4.

A assinatura do RPC é quando o protocolo Netlogon usa o RPC para assinar as mensagens enviadas por fio. A vedação RPC é quando o protocolo Netlogon assina e criptografa as mensagens enviadas por fio.

O Controlador de Domínio do Windows determina se um cliente Netlogon está executando o Windows consultando o atributo “OperatingSystem” no Active Directory para o cliente Netlogon e verificando as seguintes cadeias de caracteres:

  • “Windows”, “Hyper-V Server”, e “Azure Stack HCI”

Não recomendamos nem oferecemos suporte para que esse atributo seja alterado por clientes Netlogon ou administradores de domínio para um valor que não seja representativo do sistema operacional (SO) que o cliente Netlogon está executando. Você deve estar ciente de que podemos alterar os critérios de pesquisa a qualquer momento. Consulte Alteração 3.

A fase de imposição não rejeita clientes Netlogon com base no tipo de criptografia que os clientes usam. Ele rejeitará somente clientes Netlogon se eles fizerem assinatura RPC em vez de Vedação RPC. A rejeição de clientes de logon de rede RC4 baseia-se na chave do Registro “RejectMd5Clients” disponível para o Windows Server 2008 R2 e Controladores de Domínio do Windows posteriores. A fase de imposição desta atualização não altera o valor "RejectMd5Clients". Recomendamos que os clientes habilitem o valor "RejectMd5Clients" para maior segurança em seus domínios. Consulte Alteração 3.

Glossário

O Padrão Avançado de Criptografia (AES) é uma cifra de bloco que substitui o Padrão de Criptografia de Dados (DES). O AES pode ser usado para proteger dados eletrônicos. O algoritmo do AES pode ser usado para criptografar (cercar) e descriptografar informações (decifrar). A criptografia converte dados em uma forma não qualificada chamada de texto cifrado; descriptografar o texto cifrado converte os dados de volta à sua forma original, chamada de texto não criptografado. O AES é usado na criptografia de chave simétrica, o que significa que a mesma chave é usada para as operações de criptografia e descriptografia. Também é uma criptografia de bloco, o que significa que opera em blocos de tamanho fixo de texto não criptografado e texto cifrado e exige que o tamanho do texto não criptografado, assim como o texto cifrado, seja um múltiplo exato desse tamanho de bloco. O AES também é conhecido como o algoritmo de criptografia simétrica Rijndael [FIPS197] .

Em um ambiente de segurança de rede compatível com o sistema operacional do Windows NT, o componente responsável pelas funções de sincronização e manutenção entre um controlador de domínio primário (PDC)e os controladores de domínio de backup (BDC). Netlogon é um precursor do protocolo servidor de replicação de diretório (DRS). A interface Protocolo Remoto Netlogon chamada de procedimento remoto (RPC) é usada principalmente para manter a relação entre um dispositivo e seu domínio , e relações entre controladores de domínio (DCs) e domínios. Para obter mais informações, consulte Protocolo Remoto Netlogon.

RC4-HMAC (RC4) é um algoritmo de criptografia simétrica de comprimento de chave variável. Para obter mais informações, consulte [SCHNEIER] seção 17.1.

Uma conexão autenticada chamada de procedimento remoto (RPC) entre dois computadores em um domínio com um contexto de segurança estabelecido usado para assinar e criptografar pacotes RPC.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.