Ändra logg
Ändring 1: 5 april 2023: Flyttade fasen "Tillämpning som standard" för registernyckeln från 11 april 2023 till 13 juni 2023 i avsnittet "Tidpunkt för uppdateringar för CVE-2022-38023". Ändring 2: 20 april 2023: Felaktig referens till "Domänkontrollant: Tillåt sårbara Netlogon-säkra kanalanslutningar"-grupprincipobjekt (GPO) har tagits bort i avsnittet "Registernyckelinställningar". Ändring 3: 19 juni 2023:
|
I denna artikel
Sammanfattning
Windows-uppdateringarna från 8 november 2022 och senare åtgärdar svagheter i Netlogon-protokollet när RPC-signering används i stället för RPC-försegling. Mer information finns i CVE-2022-38023 .
RPC-gränssnittet (Netlogon Remote Protocol Remote Procedure Call) används främst för att upprätthålla relationen mellan en enhet och dess domän och relationer mellan domänkontrollanter och domäner.
Den här uppdateringen skyddar Windows-enheter från CVE-2022-38023 som standard. För tredjepartsklienter och domänkontrollanter från tredje part är uppdateringen i kompatibilitetsläge som standard och tillåter sårbara anslutningar från sådana klienter. Mer information om hur du går till tvingande läge finns i avsnittet Registernyckelinställningar .
För att skydda din miljö installerar du Windows-uppdateringen från 8 november 2022 eller en senare Windows-uppdatering på alla enheter, inklusive domänkontrollanter.
Viktigt Från och med juni 2023 aktiveras tvingande läge på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter. Då kan du inte inaktivera uppdateringen, men du kan gå tillbaka till inställningen Kompatibilitetsläge. Kompatibilitetsläget tas bort i juli 2023, vilket beskrivs i avsnittet Timing of updates to address Netlogon vulnerability CVE-2022-38023 ( Timing of updates to address Netlogon vulnerability CVE-2022-38023 ).
Tidpunkt för uppdateringar för CVE-2022-38023
Uppdateringar kommer att släppas i flera faser: den första fasen för uppdateringar som släpptes den 8 november 2022 eller senare och fasen för tillämpning för uppdateringar som släpptes den 11 juli 2023 eller senare.
Den första distributionsfasen börjar med uppdateringarna som släpptes 8 november 2022 och fortsätter med senare Windows-uppdateringar fram till fasen för tillämpning. Windows-uppdateringar på eller efter 8 november 2022 åtgärdar säkerhetsbrister i CVE-2022-38023 genom att tillämpa RPC-sealing på alla Windows-klienter.
Som standard ställs enheter in i kompatibilitetsläge. Windows-domänkontrollanter kräver att Netlogon-klienter använder RPC-sigill om de kör Windows, eller om de fungerar som antingen domänkontrollanter eller som förtroendekonton.
Windows-uppdateringarna som släpptes den 11 april 2023 eller senare tar bort möjligheten att inaktivera RPC-sealing genom att ange värdet 0 i registerundernyckeln RequireSeal .
Registerundernyckeln RequireSeal flyttas till tvingande läge om inte administratörer uttryckligen konfigurerat att vara i kompatibilitetsläge. Sårbara anslutningar från alla klienter, inklusive tredje part, nekas autentisering. Se Ändra 1.
Windows-uppdateringarna som släpptes 11 juli 2023 tar bort möjligheten att ange värdet 1 till registerundernyckeln RequireSeal . Detta möjliggör tillämpningsfasen av CVE-2022-38023.
Registernyckelinställningar
Efter att Windows-uppdateringarna daterats den 8 november 2022 eller senare har installerats är följande registerundernyckel tillgänglig för Netlogon-protokollet på Windows-domänkontrollanter.
VIKTIGT Den här uppdateringen, liksom framtida tvingande ändringar, lägger inte automatiskt till eller tar bort registerundernyckeln "RequireSeal". Registerundernyckeln måste läggas till manuellt för att den ska läsas. Se Ändra 3.
KräverSeal-undernyckel
Registernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Värde |
RequireSeal |
Datatyp |
REG_DWORD |
Data |
0 – Inaktiverad 1 – Kompatibilitetsläge. Windows-domänkontrollanter kräver att Netlogon-klienter använder RPC Seal om de kör Windows, eller om de fungerar som antingen domänkontrollanter eller Förtroende-konton. 2 – Tillämpningsläge. Alla klienter måste använda RPC Seal. Se Ändra 2. |
Krävs en omstart? |
Nej |
Windows-händelser relaterade till CVE-2022-38023
OBSERVERA Följande händelser har en 1-timmarsbuffert där dubbletthändelser som innehåller samma information tas bort under bufferten.
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
NETLOGON |
Händelse-ID |
5838 |
Händelsetext |
Netlogon-tjänsten påträffade en klient med RPC-signering i stället för RPC-sealing. |
Om du hittar det här felmeddelandet i händelseloggarna måste du vidta följande åtgärder för att lösa systemfelet:
-
Kontrollera att enheten kör en version av Windows som stöds.
-
Kontrollera att alla enheter är uppdaterade.
-
Kontrollera att Domänmedlem: Domänmedlem Kryptera eller signera data om säker kanal (alltid) är inställt på Aktiverad .
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
NETLOGON |
Händelse-ID |
5839 |
Händelsetext |
Netlogon-tjänsten påträffade ett förtroende med RPC-signering i stället för RPC-sealing. |
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
NETLOGON |
Händelse-ID |
5840 |
Händelsetext |
Netlogon-tjänsten skapade en säker kanal med en klient med RC4. |
Om du hittar händelse 5840 är detta ett tecken på att en klient i din domän använder svag kryptografi.
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
NETLOGON |
Händelse-ID |
5841 |
Händelsetext |
Netlogon-tjänsten nekade en klient som använde RC4 på grund av inställningen RejectMd5Clients. |
Om du hittar händelse 5841 är det här ett tecken på att värdet RejectMD5Clients är inställt på SANT .
RejectMD5Clients för den abstrakta datamodellen.
Nyckeln RejectMD5Clients är en befintlig nyckel i Netlogon-tjänsten. Mer information finns i beskrivningenVanliga frågor och svar
Alla domänanslutna datorkonton påverkas av denna CVE. Händelser visar vem som påverkas mest av det här problemet efter att Windows-uppdateringarna från 8 november 2022 eller senare har installerats. Läs avsnittet Händelseloggfel för att åtgärda problemen.
I den här uppdateringen introduceras händelseloggar för klienter som använder RC4 för att identifiera äldre klienter som inte använder den starkaste tillgängliga krypton.
RPC-signering är när Netlogon-protokollet använder RPC för att signera de meddelanden som skickas över tråden. RPC-försegling är när Netlogon-protokollet både signerar och krypterar de meddelanden som skickas över tråden.
Windows Domänkontrollant avgör om en Netlogon-klient kör Windows genom att fråga attributet "OperatingSystem" i Active Directory för Netlogon-klienten och söka efter följande strängar:
-
"Windows", "Hyper-V Server" och "Azure Stack HCI"
Vi rekommenderar inte eller stöder inte att det här attributet ändras av Netlogon-klienter eller domänadministratörer till ett värde som inte är representativt för det operativsystem (OS) som Netlogon-klienten kör. Du bör vara medveten om att vi kan ändra sökvillkoren när som helst. Se Ändra 3.
Tvingande fas avvisar inte Netlogon-klienter baserat på vilken typ av kryptering som klienterna använder. Det kommer bara att avvisa Netlogon-klienter om de gör RPC-signering i stället för RPC Sealing. Avslag av RC4 Netlogon-klienter baseras på registernyckeln RejectMd5Clients som är tillgänglig för Windows Server 2008 R2 och senare Windows-domänkontrollanter. Tvingande fas för den här uppdateringen ändrar inte värdet "RejectMd5Clients". Vi rekommenderar att kunder aktiverar värdet "RejectMd5Clients" för högre säkerhet i sina domäner. Se Ändra 3.
Ordlista
AES (Advanced Encryption Standard) är ett blockkrypteringskrypteringsstandard (DES). AES kan användas för att skydda elektroniska data. AES-algoritmen kan användas för att kryptera (chiffrera) och dekryptera (dechiffrera) information. Kryptering konverterar data till en icke-begriplig form som kallas chiffertext; när du dekrypterar chiffertexten konverteras data tillbaka till dess ursprungliga form, så kallad oformaterad text. AES används i symmetrisk nyckelkryptografi, vilket innebär att samma nyckel används för krypterings- och dekrypteringsåtgärderna. Det är också ett block chiffer, vilket innebär att det fungerar på block med fast storlek av oformaterad text och chiffertext, och kräver att storleken på oformaterad text samt chiffertexten är en exakt multipel av denna blockstorlek. AES kallas även rijndael symmetrisk krypteringsalgoritm [FIPS197] .
I en Windows NT-operativsystemskompatibel nätverkssäkerhetsmiljö är komponenten som ansvarar för synkroniserings- och underhållsfunktioner mellan en primär domänkontrollant (PDC) och säkerhetskopiering av domänkontrollanter (BDC). Netlogon är en föregångare till DRS-protokollet (Directory Replication Server). RPC-gränssnittet (Netlogon Remote Protocol Remote Procedure Call) används främst för att upprätthålla relationen mellan en enhet och dess domän och relationer mellan domänkontrollanter och domäner. Mer information finns i Netlogon Remote Protocol.
RC4-HMAC (RC4) är en symmetrisk krypteringsalgoritm med variabel nyckellängd. Mer information finns i [SCHNEIER] avsnitt 17.1.
En Autentiserad RPC-anslutning (Remote Procedure Call) mellan två datorer i en domän med en etablerad säkerhetskontext som används för signering och kryptering av RPC-paket .