Güncel -leştirilmiş
10 Nisan 2023: "Cve-2022-37967 ile ilgili güncelleştirmelerin zamanlaması" bölümünde 11 Nisan 2023'ten 13 Haziran 2023'e "Üçüncü dağıtım aşaması" güncelleştirildi.
Bu makalede
Özet
8 Kasım 2022 Windows güncelleştirmeleri, Ayrıcalık Öznitelik Sertifikası (PAC) imzalarıyla güvenlik atlama ve ayrıcalık yükseltme güvenlik açıklarını ele alır. Bu güvenlik güncelleştirmesi, bir saldırganın PAC imzalarını dijital olarak değiştirerek ayrıcalıklarını yükseltebildiği Kerberos güvenlik açıklarını giderir.
Ortamınızın güvenliğini sağlamaya yardımcı olmak için bu Windows güncelleştirmesini Windows etki alanı denetleyicileri de dahil olmak üzere tüm cihazlara yükleyin. Güncelleştirmeyi Zorunlu moda geçirmeden önce etki alanınızdaki tüm etki alanı denetleyicileri güncelleştirilmelidir.
Bu güvenlik açıkları hakkında daha fazla bilgi edinmek için bkz. CVE-2022-37967.
Eyleme Geç
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için aşağıdaki adımları gerçekleştirmenizi öneririz:
-
Windows etki alanı denetleyicilerinizi 8 Kasım 2022 tarihinde veya sonrasında yayımlanan bir Windows güncelleştirmesi ile GÜNCELLEŞTIRin.
-
Kayıt Defteri Anahtarı ayarı bölümünü kullanarak Windows etki alanı denetleyicilerinizi Denetim moduna taşıyın.
-
Ortamınızın güvenliğini sağlamak için Denetim modu sırasında dosyalanan olayları izleyin.
-
ETKİNLEŞTİRMEKOrtamınızda CVE-2022-37967'yi ele almak için zorlama modu.
Not 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmeleri yükleme adım 1'i, Windows cihazları için CVE-2022-37967'deki güvenlik sorunlarını varsayılan olarak ÇÖZMEZ. Tüm cihazlarda güvenlik sorununu tamamen azaltmak için, tüm Windows etki alanı denetleyicilerinde en kısa sürede Denetim moduna (2. Adımda açıklanmıştır) ve ardından Zorunlu mod 'a (4. Adımda açıklanmıştır) geçmeniz gerekir.
Önemli Temmuz 2023'ten itibaren, zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek. Bu sırada güncelleştirmeyi devre dışı bırakamazsınız ancak Denetim modu ayarına geri dönebilirsiniz. Kerberos güvenlik açığını gidermek için güncelleştirmelerin zamanlaması CVE-2022-37967 bölümünde açıklandığı gibi denetim modu Ekim 2023'te kaldırılacaktır.
CVE-2022-37967 ile ilgili güncelleştirmelerin zamanlaması
Güncelleştirmeler aşamalar halinde yayımlanacaktır: 8 Kasım 2022 veya sonrasında yayımlanan güncelleştirmelerin başlangıç aşaması ve 13 Haziran 2023 veya sonrasında yayımlanan güncelleştirmeler için Zorlama aşaması.
İlk dağıtım aşaması 8 Kasım 2022'de yayımlanan güncelleştirmelerle başlar ve Zorlama aşamasına kadar sonraki Windows güncelleştirmeleriyle devam eder. Bu güncelleştirme Kerberos PAC arabelleğine imza ekler ancak kimlik doğrulaması sırasında imzaları denetlemez. Bu nedenle, güvenli mod varsayılan olarak devre dışı bırakılır.
Bu güncelleştirme:
-
Kerberos PAC arabelleğine PAC imzaları ekler.
-
Kerberos protokolündeki güvenlik atlama güvenlik açığını gidermek için ölçüler ekler.
İkinci dağıtım aşaması, 13 Aralık 2022'de yayımlanan güncelleştirmelerle başlar. Bu ve sonraki güncelleştirmeler, Windows etki alanı denetleyicilerini Denetim moduna taşıyarak Windows cihazlarını denetlemek için Kerberos protokolünde değişiklikler yapar.
Bu güncelleştirmeyle, tüm cihazlar varsayılan olarak Denetim modunda olacaktır:
-
İmza eksik veya geçersizse kimlik doğrulamasına izin verilir. Ayrıca, bir denetim günlüğü oluşturulur.
-
İmza eksikse, bir olay tetikleyip kimlik doğrulamasına izin verin .
-
İmza varsa doğrulayın. İmza yanlışsa, bir olay tetikleyip kimlik doğrulamasına izin verin.
13 Haziran 2023 veya sonrasında yayımlanan Windows güncelleştirmeleri şunları yapacaktır:
-
KrbtgtFullPacSignature alt anahtarını 0 değerine ayarlayarak PAC imzası eklemeyi devre dışı bırakma özelliğini kaldırın.
11 Temmuz 2023 veya sonrasında yayımlanan Windows güncelleştirmeleri şunları yapacaktır:
-
KrbtgtFullPacSignature alt anahtarı için 1 değerini ayarlama özelliğini kaldırır.
-
Güncelleştirmeyi, yönetici tarafından açık bir Denetim ayarıyla geçersiz kılınabilen Zorlama moduna (Varsayılan) (KrbtgtFullPacSignature = 3) taşır.
10 Ekim 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri şunları yapacaktır:
-
KrbtgtFullPacSignature kayıt defteri alt anahtarı desteğini kaldırır.
-
Denetim modu desteğini kaldırır.
-
Yeni PAC imzaları olmayan tüm hizmet biletlerinin kimlik doğrulaması reddedilir.
Dağıtım yönergeleri
8 Kasım 2022 veya sonraki Windows güncelleştirmelerine ait Windows güncelleştirmelerini dağıtmak için şu adımları izleyin:
-
Windows etki alanı denetleyicilerinizi 8 Kasım 2022 tarihinde veya sonrasında yayınlanan bir güncelleştirmeyle GÜNCELLEŞTIRin.
-
Kayıt Defteri Anahtarı ayarı bölümünü kullanarak etki alanı denetleyicilerinizi Denetim moduna taşıyın.
-
Ortamınızın güvenliğini sağlamaya yardımcı olmak için Denetim modu sırasında dosyalanan olayları izleyin.
-
ETKİNLEŞTİRMEK Ortamınızda CVE-2022-37967'yi ele almak için zorlama modu.
1. ADIM: GÜNCELLE
8 Kasım 2022 veya sonraki güncelleştirmeleri tüm geçerli Windows etki alanı denetleyicilerine (DC) dağıtın. Güncelleştirmeyi dağıttıktan sonra, güncelleştirilen Windows etki alanı denetleyicilerinin Kerberos PAC Arabelleğine imzaları eklenir ve varsayılan olarak güvenli olmaz (PAC imzası doğrulanmaz).
-
Güncelleştirme sırasında, tüm Windows etki alanı denetleyicileri güncelleştirilene kadar KrbtgtFullPacSignature kayıt defteri değerini varsayılan durumda tuttuğunuzdan emin olun.
2. ADIM: TAŞI
Windows etki alanı denetleyicileri güncelleştirildikten sonra KrbtgtFullPacSignature değerini 2 olarak değiştirerek Denetim moduna geçin.
3. ADIM: BUL/İZLE
EKSIK PAC imzaları olan veya Denetim modu sırasında tetiklenen Olay Günlükleri aracılığıyla doğrulamayı başarısız olan PAC İmzalarına sahip alanları belirleyin.
-
Zorlama moduna geçmeden önce etki alanı işlev düzeyinin en az 2008 veya üzeri olarak ayarlandığından emin olun. 2003 etki alanı işlev düzeyinde etki alanlarıyla Zorlama moduna geçmek kimlik doğrulaması hatalarına neden olabilir.
-
Etki alanınız tam olarak güncelleştirilmediyse veya daha önce verilmiş bekleyen hizmet biletleri etki alanınızda hala varsa denetim olayları görüntülenir.
-
Eksik PAC imzalarını veya mevcut PAC imzalarının doğrulama hatalarını gösteren ek olay günlüklerini izlemeye devam edin.
-
Etki alanının tamamı güncelleştirildikten ve kalan tüm biletlerin süresi dolduktan sonra denetim olayları artık görüntülenmemelidir. Ardından, hiçbir hata olmadan Zorlama moduna geçebiliyor olmanız gerekir.
4. ADIM: ETKİnLEŞTİr
Ortamınızda CVE-2022-37967'yi ele almak için Zorlama modunu etkinleştirin.
-
Tüm denetim olayları çözümlenip artık görünmedikten sonra, Kayıt Defteri Anahtarı ayarları bölümünde açıklandığı gibi KrbtgtFullPacSignature kayıt defteri değerini güncelleştirerek etki alanlarınızı Zorlama moduna taşıyın.
-
Hizmet biletinde geçersiz PAC imzası varsa veya PAC imzaları eksikse doğrulama başarısız olur ve bir hata olayı günlüğe kaydedilir.
Kayıt Defteri Anahtarı ayarları
Kerberos protokolü
8 Kasım 2022 veya sonrasında tarihli Windows güncelleştirmelerini yükledikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir:
-
KrbtgtFullPacSignature
Bu kayıt defteri anahtarı, Kerberos değişikliklerinin dağıtımını geçmek için kullanılır. Bu kayıt defteri anahtarı geçicidir ve 10 Ekim 2023'ün tam Zorlama tarihinden sonra artık okunmayacak.Kayıt defteri anahtarı
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Değer
KrbtgtFullPacSignature
Veri türü
REG_DWORD
Veri
0 – Devre Dışı
1 – Yeni imzalar eklenir, ancak doğrulanmaz. (Varsayılan ayar)
2 - Denetim modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse kimlik doğrulamasına izin verilir ve denetim günlükleri oluşturulur.
3 - Zorlama modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse kimlik doğrulaması reddedilir ve denetim günlükleri oluşturulur.
Yeniden başlatma gerekiyor mu?
Hayır
Not KrbtgtFullPacSignature kayıt defteri değerini değiştirmeniz gerekiyorsa, varsayılan değeri geçersiz kılmak için kayıt defteri anahtarını el ile ekleyin ve yapılandırın.
CVE-2022-37967 ile ilgili Windows olayları
Denetim modunda PAC İmzaları eksik veya geçersizse aşağıdaki hatalardan birini bulabilirsiniz. Bu sorun Zorlama modunda devam ederse, bu olaylar hata olarak günlüğe kaydedilir.
Cihazınızda herhangi bir hata bulursanız, büyük olasılıkla etki alanınızdaki tüm Windows etki alanı denetleyicileri 8 Kasım 2022 veya sonraki bir Windows güncelleştirmesi ile güncel değildir. Sorunları azaltmak için, güncel olmayan Windows etki alanı denetleyicilerini bulmak için etki alanınızı daha fazla araştırmanız gerekir.
Not Olay Kimliği 42 ile ilgili bir hata bulursanız bkz. KB5021131: CVE-2022-37966 ile ilgili Kerberos protokolü değişikliklerini yönetme.
Olay Günlüğü |
Sistem |
Olay Türü |
Uyarı |
Olay Kaynağı |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Olay Kimliği |
43 |
Olay Metni |
Anahtar Dağıtım Merkezi (KDC), tam PAC İmzası. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2210019. İstemci: <bölge>/<Adı> |
Olay günlüğü |
Sistem |
Olay türü |
Uyarı |
Olay Kaynağı |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Olay Kimliği |
44 |
Olay metni |
Anahtar Dağıtım Merkezi (KDC), tam PAC İmzası içermeyen bir anahtarla karşılaştı. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2210019. İstemci: <bölge>/<Adı> |
Kerberos protokolünü uygulayan üçüncü taraf cihazlar
Üçüncü taraf etki alanı denetleyicileri olan etki alanları Zorlama modunda hatalar görebilir.
Üçüncü taraf istemcilere sahip etki alanlarının 8 Kasım 2022 veya sonraki bir Windows güncelleştirmesinin yüklenmesinden sonra denetim olaylarından tamamen temizlenmesi daha uzun sürebilir.
Yazılımlarının en son protokol değişikliğiyle uyumlu olup olmadığını belirlemek için cihaz üreticisine (OEM) veya yazılım satıcısına başvurun.
Protokol güncelleştirmeleri hakkında bilgi için Microsoft web sitesindeki Windows Protokolü konusuna bakın.
Sözlük
Kerberos, ağ üzerinden iletişim kurabilen düğümlerin kimliklerini güvenli bir şekilde kanıtlamalarına olanak sağlamak için "biletler" temelinde çalışan bir bilgisayar ağ kimlik doğrulama protokolüdür.
Kerberos protokolünde belirtilen hizmetleri veren kimlik doğrulamasını ve anahtarını uygulayan Kerberos hizmeti. Hizmet, bölge veya etki alanının yöneticisi tarafından seçilen bilgisayarlarda çalışır; ağdaki her makinede mevcut değildir. Hizmet veren bölge için bir hesap veritabanına erişimi olmalıdır. KDC'leretki alanı denetleyicisi rolüyle tümleştirilir. Hizmetlerde kimlik doğrulaması için istemcilere bilet sağlayan bir ağ hizmetidir.
Privilege Attribute Certificate (PAC), etki alanı denetleyicileri (DC) tarafından sağlanan yetkilendirmeyle ilgili bilgileri ileten bir yapıdır. Daha fazla bilgi için bkz . Privilege Attribute Certificate Data Structure.
Diğer biletleri almak için kullanılabilecek özel bir bilet türü. Anahtar Verme Anahtarı (TGT), Kimlik Doğrulama Hizmeti (AS) değişimindeki ilk kimlik doğrulamasından sonra elde edilir; bundan sonra, kullanıcıların kimlik bilgilerini sunmaları gerekmez, ancak sonraki biletleri almak için TGT'yi kullanabilirler.