Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

已更新

2023 年 4 月 10 日: 在 [解決 CVE-2022-37967 的更新時間] 一節中,將 [第三部署階段] 的時間從 2023 年 4 月11 日更新到 2023 年 6 月 13 日。

本文內容

摘要

2022 年 11 月 8 日 Windows 更新會使用特殊許可權屬性憑證 (PAC) 簽章解決安全性旁路和權限提高弱點。 此安全性更新可解決 Kerberos 弱點,攻擊者可能會以數位方式變更 PAC 簽章,提高其許可權。

為了協助保護您的環境,請安裝這個 Windows 更新到所有裝置,包括 Windows 網域控制站。 您網域中的所有網域控制站必須先更新,才能將更新切換到 [強制] 模式。

要深入了解此弱點,請參閱 CVE-2022-37967

採取行動

為協助保護您的環境並防止中斷,建議您執行下列步驟:

  1. 更新在 2022 年 11 月 8 日或之後發行 Windows 更新的 Windows 網域控制站。

  2. 使用 登陸機碼設定 區段,將 Windows 網域控制站 移至 [稽核] 模式。

  3. 監視 [稽核] 模式期間歸檔的事件,以保護您的環境。

  4. 啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

附註 安裝 2022 年 11 月 8 日或之後發行之更新的步驟 1 無法解決 Windows 裝置中預設的 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 中的安全性問題。 若要完全緩解所有裝置的安全性問題,您必須儘快在所有 Windows 網域控制站上移至 [稽核] 模式 (如步驟 2 所述),後面接著 [強制] 執行模式 (步驟 4 所述)。

重要: 自 2023 年 7 月開始,所有 Windows 網域控制站都會啟用 [強制] 模式,並且會封鎖來自不相容裝置的易受攻擊連線。  屆時,您將無法停用更新,但可以回到 [稽核] 模式設定。 [稽核] 模式將會在 2023 年 7 月移除,如解決 Kerberos 弱點 CVE-2022-37967 的更新時間一節所述。

解決 CVE-2022-37967 的更新時間

更新會分階段發行: 更新的初始階段在 2022 年 11 月 8 日或之後發行,更新的「強制」階段在 2023 年 6 月 13 日或之後發行。

初始部署階段從 2022 年 11 月 8 日發行的更新開始,一直持續到之後的 Windows 更新直到 [強制] 階段。 此更新會將簽章新增到 Kerberos PAC 緩衝區,但在驗證期間不會檢查簽章。 因此,安全模式預設為停用。

此更新:

  • 將 PAC 簽章新增到 Kerberos PAC 緩衝區。

  • 新增措施以解決 Kerberos 通訊協定中的安全性旁路弱點。

第二部署階段從 2022 年 12 月 13 日發行的更新開始。 這些和更新的更新會變更 Kerberos 通訊協定,以將 Windows 網域控制站移動到 [稽核] 模式,以稽核 Windows 裝置

此更新預設會以 [稽核] 模式顯示所有 裝置

  • 如果簽章遺失或無效,則允許驗證。 此外,也會建立稽核記錄。 

  • 如果簽章遺失,請引發事件並 允許 驗證。

  • 如果簽章存在,請驗證簽章。 如果簽章錯誤,請引發事件並 允許 驗證。

2023 年 6 月 13 日或之後發佈的 Windows 更新將會執行下列操作: 

  • KrbtgtFullPacSignature 子金鑰的值設定為 0,以移除停用 PAC 簽章新增的能力。

2023 年 7 月 11 日或之後發佈的 Windows 更新將會執行下列操作: 

  • 移除為 將 KrbtgtFullPacSignature 子金鑰設定值為 1 的能力。

  • 將更新移至 [強制] 模式 (預設) (KrbtgtFullPacSignature = 3) ,系統管理員可以明確的 [稽核] 設定覆寫更新。

2023 年 10 月 10 日或之後發佈的 Windows 更新將會執行下列操作: 

  • 移除登陸子機碼 KrbtgtFullPacSignature 的支援。

  • 移除 [稽核] 模式的支援。

  • 所有沒有新 PAC 簽章的服務票證都會被拒絕驗證。

部署指導方針

若要部署 2022 年 11 月 8 日或更新的 Windows 更新,請遵循下列步驟:

  1. 更新在 2022 年 11 月 8 日或之後發行更新的 Windows 網域控制站。

  2. 使用 登陸機碼設定 區段,將網域控制站 移至 [稽核] 模式。

  3. 監視 [稽核]模式期間歸檔的事件,以協助保護您的環境。

  4. 啟用 解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

步驟 1:更新 

將 2022 年 11 月 8 日或更新版本更新部署到所有適用的 Windows 網域控制站 (網域控制站)。 部署更新之後,已更新的 Windows 網域控制站會新增簽章至 Kerberos PAC 緩衝區,且預設為不安全 (不會驗證 PAC 簽章)。

  • 更新時,請務必將 KrbtgtFullPacSignature 登錄值維持在預設狀態,直到所有 Windows 網域控制站更新。

步驟 2:移動 

更新 Windows 網域控制站之後,將 KrbtgtFullPacSignature 值變更為 2,以切換到 [稽核] 模式。  

步驟 3:尋找/監視器 

識別遺漏 PAC 簽章或 PAC 簽章無法透過 [稽核] 模式觸發的事件記錄進行驗證的區域。   

  • 請確定 網域功能等級 至少設定為 2008 或以上,再進入 [強制] 模式。 若網域在 2003 網域功能等級中移動到 [強制] 模式,可能會導致驗證失敗。

  • 如果您的網域未完全更新,或先前發行的未處理服務票證仍存在於您的網域中,將會顯示稽核事件。

  • 繼續監視其他事件記錄,指出遺失 PAC 簽章或現有 PAC 簽章驗證失敗。

  • 更新整個網域且所有未處理票證都已過期之後,稽核事件應該就不會再出現。 然後,您應該能成功移至 [強制] 模式。

步驟 4:啟用 

啟用解決環境中 CVE-2022-37967https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967 的 [強制] 模式。

  • 一旦所有稽核事件都解決且不再出現,請更新 KrbtgtFullPacSignature 登錄值,以將網域移至 [強制] 模式,如 [登錄機碼設定] 一節所述。

  • 如果服務票證具有不正確 PAC 簽章或遺失 PAC 簽章,驗證將會失敗,並記錄錯誤事件。

登錄機碼設定

Kerberos 通訊協定

安裝日期為 2022 年 11 月 8 日或之後的 Windows 更新後,以下登錄機碼可用於 Kerberos 通訊協定:

  • KrbtgtFullPacSignature 此登錄機碼是用來限制 Kerberos 變更的部署。 此登錄機碼是暫時性的,在 2023 年 10 月 10 日的完整 [強制] 日期之後將不再讀取。 

    登錄機碼

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    KrbtgtFullPacSignature

    資料類型

    REG_DWORD

    資料

    0 = 已停用  

    1 - 新簽章會新增,但不會驗證。 (預設設定)

    2 - 稽核模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則允許驗證並建立稽核紀錄。

    3 - 強制模式。 系統會新增新的簽章,並在出現時進行驗證。 如果簽章遺失或無效,則禁止驗證並建立稽核紀錄。

    需要重新啟動?

    附註: 如果需要變更 KrbtgtFullPacSignature 登錄值,請手動新增並設定登錄機碼以覆寫預設值。

與 CVE-2022-37967 相關的 Windows 事件

在 [稽核] 模式中,如果 PAC 簽章遺失或無效,您可能會發現下列其中一個錯誤。 如果此問題在 [強制] 模式期間持續發生,這些事件會記錄為錯誤。

如果您在裝置上發現任一錯誤,可能是您網域中的所有 Windows 網域控制站在 2022 年 11 月 8 日或更新的 Windows 更新中不是最新的。 若要緩解問題,您必須進一步調查您的網域,以尋找不是最新的 Windows 網域控制站。  

附註: 如果您發現事件識別碼 42 有錯誤,請參閱KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 通訊協定變更

事件記錄檔

系統

事件類型

警告

事件來源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件識別碼

43

事件文字

金鑰發佈中心 (KDC) 遇到無法驗證  完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱>

事件記錄檔

系統

事件類型

警告

事件來源

Microsoft-Windows-Kerberos-Key-Distribution-Center

事件識別碼

44

事件文字

金鑰發佈中心 (KDC) 發生未包含完整 PAC 簽章的票證。 請參閱 https://go.microsoft.com/fwlink/?linkid=2210019 以深入瞭解。 用戶端:<領域>/<名稱>

執行 Kerberos 通訊協定的協力廠商裝置

具有協力廠商網域控制站的網域在 [強制] 模式中可能會看到錯誤。

安裝 2022 年 11 月 8 日或更新的 Windows 更新之後,具有協力廠商用戶端的網域可能需要較長的時間,才能完全清除稽核事件。

請連絡裝置製造商 (OEM) 或軟體廠商,以判斷其軟體是否與最新通訊協定變更相容。

如需通訊協定更新的相關資訊,請參閱 Microsoft 網站上的 Windows 通訊協定 主題。

詞彙

Kerberos 是一種電腦網路驗證通訊協定,其運作依據是「票證」,可讓節點透過網路通訊,以安全的方式證明彼此的身分識別。

Kerberos 服務會實施 Kerberos 通訊協定中指定的驗證和票證授與服務。 服務在領域或網域系統管理員選取的電腦上執行;它不存在於網路的每一部電腦上。 它必須可以存取其服務領域的帳戶資料庫。 KDC已整合到網域控制站角色中。 這是提供票證給用戶端以用於驗證服務的網路服務。

專用權屬性憑證 (PAC) 是一種結構,可傳達網域控制站 (DC) 所提供的授權相關資訊。 如需詳細資訊,請參閱 專屬權屬性憑證資料結構

一種特殊類型的票證,可用來取得其他票證。 在驗證服務 (AS) 交換中的初始驗證後,會取得授票票證 (TGT);之後,使用者就不需要展示認證,但可以使用 TGT 取得後續的票證。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。