Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Cập nhật

Ngày 10 tháng 4 năm 2023: Cập nhật giai đoạn "Triển khai thứ ba" từ ngày 11 tháng 4 năm 2023 đến ngày 13 tháng 6 năm 2023 trong mục "Đặt thời gian cập nhật để giải quyết CVE-2022-37967".

Trong bài viết này

Tóm tắt

Các bản cập nhật Windows ngày 8 tháng 11 năm 2022 giải quyết vấn đề bỏ qua bảo mật và sự gia tăng các lỗ hổng đặc quyền với chữ ký Chứng chỉ Thuộc tính Đặc quyền (PAC). Bản cập nhật bảo mật này khắc phục các lỗ hổng Kerberos trong đó kẻ tấn công có thể thay đổi kỹ thuật số chữ ký PAC, nâng đặc quyền của họ.

Để giúp bảo vệ môi trường của bạn, hãy cài đặt bản cập nhật Windows này cho tất cả các thiết bị, bao gồm cả bộ kiểm soát miền Windows. Tất cả các bộ kiểm soát miền trong miền của bạn phải được cập nhật trước khi chuyển bản cập nhật sang chế độ Bắt buộc.

Để tìm hiểu thêm về các lỗ hổng này, hãy xem CVE-2022-37967.

Thực hiện Hành động

Để giúp bảo vệ môi trường của bạn và ngăn chặn sự cố, chúng tôi khuyên bạn nên làm theo các bước sau:

  1. CẬP NHẬT bộ kiểm soát miền Windows của bạn với bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022.

  2. DI CHUYỂN bộ kiểm soát miền Windows của bạn sang chế độ Kiểm tra bằng cách sử dụng phần cài đặt Khóa Đăng ký.

  3. THEO DÕI các sự kiện được lưu trữ trong chế độ Kiểm tra để bảo mật môi trường của bạn.

  4. BẬTChế độ thực thi để giải quyết CVE-2022-37967 trong môi trường của bạn.

Lưu ý Bước 1 của việc cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 SẼ KHÔNG khắc phục các sự cố bảo mật trong CVE-2022-37967 cho các thiết bị Windows theo mặc định. Để giảm thiểu hoàn toàn sự cố bảo mật cho tất cả các thiết bị, bạn phải chuyển sang chế độ Kiểm tra (được mô tả trong Bước 2) theo sau là chế độ Bắt buộc (được mô tả trong Bước 4) càng sớm càng tốt trên tất cả các bộ kiểm soát miền Windows.

Quan trọng Bắt đầu từ tháng 7 năm 2023, chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công từ các thiết bị không tuân thủ.  Tại thời điểm đó, bạn sẽ không thể tắt bản cập nhật, nhưng có thể di chuyển trở lại cài đặt Chế độ kiểm tra. Chế độ kiểm tra sẽ bị xóa vào tháng 10 năm 2023, như được nêu trong mục Thời gian cập nhật để giải quyết lỗ hổng Kerberos CVE-2022-37967 .

Thời gian cập nhật để giải quyết CVE-2022-37967

Cập nhật sẽ được phát hành theo giai đoạn: giai đoạn ban đầu cho các bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022 và giai đoạn Thực thi đối với các bản cập nhật được phát hành vào hoặc sau ngày 13 tháng 6 năm 2023.

Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào ngày 8 tháng 11 năm 2022 và tiếp tục với các bản cập nhật Windows sau cho đến giai đoạn Thực thi. Bản cập nhật này thêm chữ ký vào bộ đệm Kerberos PAC nhưng không kiểm tra chữ ký trong khi xác thực. Do đó, chế độ bảo mật được tắt theo mặc định.

Bản cập nhật này:

  • Thêm chữ ký PAC vào bộ đệm Kerberos PAC.

  • Thêm các biện pháp để giải quyết lỗ hổng bảo mật bỏ qua trong giao thức Kerberos.

Giai đoạn triển khai thứ hai bắt đầu với các bản cập nhật được phát hành vào ngày 13 tháng 12 năm 2022. Các bản cập nhật này và các bản cập nhật sau này thực hiện thay đổi đối với giao thức Kerberos để kiểm tra các thiết bị Windows bằng cách di chuyển bộ điều khiển miền Windows sang chế độ Kiểm tra.

Với bản cập nhật này, tất cả các thiết bị sẽ ở chế độ Kiểm tra theo mặc định:

  • Nếu chữ ký bị thiếu hoặc không hợp lệ, xác thực được cho phép. Ngoài ra, nhật ký kiểm tra sẽ được tạo. 

  • Nếu thiếu chữ ký, hãy nâng cao sự kiện và cho phép xác thực.

  • Nếu có chữ ký, hãy xác thực chữ ký. Nếu chữ ký không chính xác, hãy nâng cao sự kiện và cho phép xác thực.

Các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 6 năm 2023 sẽ thực hiện như sau: 

  • Loại bỏ khả năng tắt thêm chữ ký PAC bằng cách đặt khóa phụ KrbtgtFullPacSignature thành giá trị 0.

Các bản cập nhật Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023 sẽ thực hiện như sau: 

  • Loại bỏ khả năng đặt giá trị 1 cho khóa phụ KrbtgtFullPacSignature.

  • Di chuyển bản cập nhật sang chế độ Thực thi (Mặc định) (KrbtgtFullPacSignature = 3) có thể được ghi đè bởi Người quản trị với cài đặt Kiểm tra rõ ràng.

Các bản cập nhật Windows được phát hành vào hoặc sau ngày 10 tháng 10 năm 2023 sẽ thực hiện như sau: 

  • Loại bỏ hỗ trợ cho khóa phụ đăng ký KrbtgtFullPacSignature.

  • Loại bỏ hỗ trợ cho chế độ Kiểm tra.

  • Tất cả các vé dịch vụ không có chữ ký PAC mới sẽ bị từ chối xác thực.

Hướng dẫn triển khai

Để triển khai các bản cập nhật Windows ngày 8 tháng 11 năm 2022 trở lên của Windows, hãy làm theo các bước sau:

  1. CẬP NHẬT bộ điều khiển miền Windows của bạn với bản cập nhật được phát hành vào hoặc sau ngày 8 tháng 11 năm 2022.

  2. DI CHUYỂN bộ điều khiển miền của bạn sang chế độ Kiểm tra bằng cách sử dụng phần cài đặt Khóa Đăng ký.

  3. GIÁM SÁT các sự kiện được lưu trữ trong chế độ Kiểm tra để giúp bảo mật môi trường của bạn.

  4. BẬT Chế độ thực thi để giải quyết CVE-2022-37967 trong môi trường của bạn.

BƯỚC 1: CẬP NHẬT 

Triển khai các bản cập nhật ngày 8 tháng 11 năm 2022 trở lên cho tất cả các bộ kiểm soát miền (DC) Windows hiện hành. Sau khi triển khai bản cập nhật, bộ kiểm soát miền Windows đã được cập nhật sẽ thêm chữ ký vào Kerberos PAC Buffer và sẽ không an toàn theo mặc định (chữ ký PAC không được xác thực).

  • Trong khi cập nhật, hãy đảm bảo duy trì giá trị đăng ký KrbtgtFullPacSignature ở trạng thái mặc định cho đến khi tất cả các bộ điều khiển miền Windows đều được cập nhật.

BƯỚC 2: DI CHUYỂN 

Sau khi bộ kiểm soát miền Windows được cập nhật, chuyển sang chế độ Kiểm tra bằng cách thay đổi giá trị KrbtgtFullPacSignature thành 2.  

BƯỚC 3: TÌM/GIÁM SÁT 

Xác định các khu vực bị thiếu chữ ký PAC hoặc có Chữ ký PAC không xác thực được thông qua Nhật ký Sự kiện được kích hoạt trong chế độ Kiểm tra.   

  • Đảm bảo rằng mức chức năng của miền được đặt thành ít nhất 2008 trở lên trước khi chuyển sang chế độ Thực thi. Chuyển sang chế độ Thực thi với các miền ở cấp độ chức năng của miền 2003 có thể dẫn đến lỗi xác thực.

  • Các sự kiện kiểm tra sẽ xuất hiện nếu tên miền của bạn không được cập nhật đầy đủ hoặc nếu phiếu dịch vụ đã phát hành trước đó vẫn tồn tại trong tên miền của bạn.

  • Tiếp tục theo dõi các nhật ký sự kiện bổ sung được gửi cho biết thiếu chữ ký PAC hoặc lỗi xác thực của chữ ký PAC hiện có.

  • Sau khi toàn bộ tên miền được cập nhật và tất cả các vé chưa thanh toán đã hết hạn, các sự kiện kiểm tra sẽ không còn xuất hiện. Sau đó, bạn sẽ có thể chuyển sang chế độ Thực thi mà không gặp lỗi nào.

BƯỚC 4: BẬT 

Bật chế độ Thực thi để giải quyết CVE-2022-37967 trong môi trường của bạn.

  • Sau khi tất cả các sự kiện kiểm tra đã được giải quyết và không còn xuất hiện, hãy di chuyển miền của bạn sang chế độ Thực thi bằng cách cập nhật giá trị đăng ký KrbtgtFullPacSignature như được mô tả trong phần cài đặt Khóa Đăng ký.

  • Nếu phiếu dịch vụ có chữ ký PAC không hợp lệ hoặc thiếu chữ ký PAC, quá trình xác thực sẽ không thành công và sự kiện lỗi sẽ được ghi nhật ký.

Cài đặt Khóa Đăng ký

Giao thức Kerberos

Sau khi cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau ngày 8 tháng 11 năm 2022, khóa đăng ký sau đây có sẵn cho giao thức Kerberos:

  • KrbtgtFullPacSignature Khóa đăng ký này được sử dụng để ngăn việc triển khai các thay đổi Kerberos. Khóa đăng ký này là tạm thời và sẽ không còn được đọc sau ngày Bắt buộc đầy đủ là ngày 10 tháng 10 năm 2023. 

    Khóa đăng ký

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Giá trị

    KrbtgtFullPacSignature

    Kiểu dữ liệu

    REG_DWORD

    Dữ liệu

    0 – Đã tắt  

    1 – Chữ ký mới được thêm vào nhưng chưa được xác minh. (Cài đặt mặc định)

    2 - Chế độ kiểm toán. Chữ ký mới sẽ được thêm vào và được xác minh nếu có. Nếu chữ ký bị thiếu hoặc không hợp lệ, xác thực được cho phép và nhật ký kiểm tra được tạo.

    3 - Chế độ thực thi. Chữ ký mới sẽ được thêm vào và được xác minh nếu có. Nếu chữ ký bị thiếu hoặc không hợp lệ, xác thực sẽ bị từ chối và nhật ký kiểm tra được tạo.

    Bạn cần khởi động lại?

    Không

    Lưu ý Nếu bạn cần thay đổi giá trị đăng ký KrbtgtFullPacSignature, hãy thêm thủ công rồi cấu hình khóa đăng ký để ghi đè lên giá trị mặc định.

Các sự kiện Windows liên quan đến CVE-2022-37967

Trong chế độ Kiểm tra, bạn có thể thấy một trong các lỗi sau đây nếu Chữ ký PAC bị thiếu hoặc không hợp lệ. Nếu sự cố này tiếp tục trong chế độ Thực thi, các sự kiện này sẽ được ghi nhật ký dưới dạng lỗi.

Nếu bạn tìm thấy một trong hai lỗi trên thiết bị của mình, có thể tất cả các bộ kiểm soát miền Windows trong miền của bạn đều không được cập nhật với bản cập nhật Windows ngày 8 tháng 11 năm 2022 trở lên. Để giảm thiểu sự cố, bạn sẽ cần phải điều tra thêm về miền của mình để tìm bộ kiểm soát miền Windows chưa được cập nhật.  

Lưu ý Nếu bạn thấy lỗi với ID Sự kiện 42, vui lòng xem KB5021131: Cách quản lý các thay đổi trong giao thức Kerberos liên quan đến CVE-2022-37966.

Nhật ký Sự kiện

Hệ thống

Loại Sự kiện

Cảnh báo

Nguồn Sự kiện

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID Sự kiện

43

Văn bản Sự kiện

Trung tâm Phân phối Khóa (KDC) gặp phải một phiếu mà nó không thể xác thực đầy đủ PAC Signature. Hãy xem https://go.microsoft.com/fwlink/?linkid=2210019 để tìm hiểu thêm. Khách hàng : <vực>/<tên>

Nhật ký sự kiện

Hệ thống

Loại sự kiện

Cảnh báo

Nguồn Sự kiện

Microsoft-Windows-Kerberos-Key-Distribution-Center

ID Sự kiện

44

Văn bản sự kiện

Trung tâm Phân phối Khóa (KDC) gặp phải một vé không chứa đầy đủ Chữ ký PAC. Hãy xem https://go.microsoft.com/fwlink/?linkid=2210019 để tìm hiểu thêm. Khách hàng : <vực>/<tên>

Thiết bị bên thứ ba thực thi giao thức Kerberos

Miền có bộ kiểm soát miền bên thứ ba có thể thấy lỗi trong chế độ Thực thi.

Miền có máy khách bên thứ ba có thể mất nhiều thời gian hơn để xóa hoàn toàn các sự kiện kiểm tra sau khi cài đặt bản cập nhật Windows ngày 8 tháng 11 năm 2022 trở lên.

Liên hệ với nhà sản xuất thiết bị (OEM) hoặc nhà cung cấp phần mềm để xác định xem phần mềm của họ có tương thích với thay đổi giao thức mới nhất hay không.

Để biết thông tin về các bản cập nhật giao thức, hãy xem chủ đề Giao thức Windows trên trang web của Microsoft.

Thuật ngữ

Kerberos là một giao thức xác thực mạng máy tính hoạt động dựa trên "vé" để cho phép các nút giao tiếp qua mạng để chứng minh danh tính của họ với nhau một cách an toàn.

Dịch vụ Kerberos thực thi các dịch vụ xác thực và cấp phiếu được chỉ định trong giao thức Kerberos. Dịch vụ này chạy trên các máy tính được lựa chọn bởi người quản trị của các vùng hoặc tên miền; nó không hiện diện trên tất cả các máy trên mạng. Nó phải có quyền truy cập vào một cơ sở dữ liệu tài khoản cho các khu vực mà nó phục vụ. KDC được tích hợp vào vai trò bộ kiểm soát miền. Nó là một dịch vụ mạng cung cấp vé cho khách hàng để sử dụng trong việc xác thực dịch vụ.

Chứng chỉ Thuộc tính Đặc quyền (PAC) là một cấu trúc truyền tải thông tin liên quan đến ủy quyền được cung cấp bởi bộ kiểm soát miền (DCs). Để biết thêm thông tin, hãy xem Mục Cấu trúc Dữ liệu Chứng chỉ Thuộc tính Đặc quyền.

Một loại vé đặc biệt có thể được sử dụng để nhận các vé khác. Vé cấp vé (TGT) thu được sau khi xác thực ban đầu trong giao dịch dịch vụ xác thực (AS); sau đó, người dùng không cần phải trình bày thông tin đăng nhập của họ, nhưng có thể sử dụng TGT để lấy vé tiếp theo.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.