12
Änderungen am Kerberos-Protokoll (CVE-2022-37967)
Moin,
wer die Thematik noch nicht auf dem Schirm hat, sollte spätestens jetzt damit beginnen:
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerber ...
Gruß,
Dani
wer die Thematik noch nicht auf dem Schirm hat, sollte spätestens jetzt damit beginnen:
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerber ...
Gruß,
Dani
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7340302804
Url: https://administrator.de/contentid/7340302804
Printed on: April 27, 2024 at 06:04 o'clock
12 Comments
Latest comment
Soweit ich es verstanden habe ist das Update ab dem 08. Nov. 2022 mit dem Windows Update schon ausgerollt. aber wenn ich bei mir in die Registry schaue ist der Schlüssel HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
KrbtgtFullPacSignature nicht vorhanden.
LG
KrbtgtFullPacSignature nicht vorhanden.
LG
Zitat von @O.Gensch:
Soweit ich es verstanden habe ist das Update ab dem 08. Nov. 2022 mit dem Windows Update schon ausgerollt. aber wenn ich bei mir in die Registry schaue ist der Schlüssel HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
KrbtgtFullPacSignature nicht vorhanden.
Erstens ist KrbtgtFullPacSignature kein Schlüssel sondern ein Wert. Dieser ist optional! Er ist per Default nicht angelegt kann aber durch den User gesetzt werden falls benötigt.Soweit ich es verstanden habe ist das Update ab dem 08. Nov. 2022 mit dem Windows Update schon ausgerollt. aber wenn ich bei mir in die Registry schaue ist der Schlüssel HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
KrbtgtFullPacSignature nicht vorhanden.
Wenn der Wert nicht vorhanden ist hat er den Wert 1.
1 – New signatures are added, but not verified. (Default setting)
Note If you need to change the KrbtgtFullPacSignature registry value, manually add and then configure the registry key to override the default value.
Gruß
1
Ja, Anfang Juli wird es aktiviert. Im besten Fall werden alle Clients normal sich anmelden können, eventuell kann es mit einigen Konten Probleme geben, sollte aber alles überschaubar sein.
heißt das wenn man in seiner Domain den Key KrbtgtFullPacSignature auf 3 setzt, das man eventuell Probleme mit den Clients Anmeldungen bekommen kann?
Zitat von @Tobi-2001:
heißt das wenn man in seiner Domain den Key KrbtgtFullPacSignature auf 3 setzt, das man eventuell Probleme mit den Clients Anmeldungen bekommen kann?
Deswegen gibt es ja den Audit-Mode (2) mit dem Probleme im Vorfeld ohne Folgen im Log ersichtlich werden. Also Audit-Mode aktivieren und über einen Zeitraum die Logs beobachten, wenn eine Maschine Auffälligkeiten zeigt diese evaluieren und den Verursacher beseitigen. Erst danach auf 3 stellen.heißt das wenn man in seiner Domain den Key KrbtgtFullPacSignature auf 3 setzt, das man eventuell Probleme mit den Clients Anmeldungen bekommen kann?
Den Steps 1-4 folgen und alles wird gut.
1
Hi Ultramatic,
ich habe auf zwei meiner Test-Domains mal den Schlüssel KrbtgtFullPacSignature in der Regedit Datenbank erstellt und direkt auf drei gesetzt. Die Clients habe ich alle zwei mal Anmelden lassen, geht ohne Probleme.. auch auf die Test NAS kann zugegriffen werden.
Was genau macht dieses Enforce-Modus? stellt er den Verschlüsselungsalgorithmus auf AES um weil das alte RC4_HMAC_MD5 unsicher ist, oder was genau?
ich habe auf zwei meiner Test-Domains mal den Schlüssel KrbtgtFullPacSignature in der Regedit Datenbank erstellt und direkt auf drei gesetzt. Die Clients habe ich alle zwei mal Anmelden lassen, geht ohne Probleme.. auch auf die Test NAS kann zugegriffen werden.
Was genau macht dieses Enforce-Modus? stellt er den Verschlüsselungsalgorithmus auf AES um weil das alte RC4_HMAC_MD5 unsicher ist, oder was genau?
Zitat von @7010350221:
Den Steps 1-4 folgen und alles wird gut.
Zitat von @Tobi-2001:
heißt das wenn man in seiner Domain den Key KrbtgtFullPacSignature auf 3 setzt, das man eventuell Probleme mit den Clients Anmeldungen bekommen kann?
Deswegen gibt es ja den Audit-Mode (2) mit dem Probleme im Vorfeld ohne Folgen im Log ersichtlich werden. Also Audit-Mode aktivieren und über einen Zeitraum die Logs beobachten, wenn eine Maschine Auffälligkeiten zeigt diese evaluieren und den Verursacher beseitigen. Erst danach auf 3 stellen.heißt das wenn man in seiner Domain den Key KrbtgtFullPacSignature auf 3 setzt, das man eventuell Probleme mit den Clients Anmeldungen bekommen kann?
Den Steps 1-4 folgen und alles wird gut.
Hallo,
also nochmal zusammengefasst.
Man soll den registry
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
KrbtgtFullPacSignatureauf zwei setzen und die Eventlogs der DCs kontrollieren. Ggf. die besagten Clients oder Geräte Update oder Lösungen suchen.
Oder noch mehr bis zum besagten Tag?
Finde es echt super von MS dass der Audit Mode nicht vorab gestartet wurde.
Danke vorab.
Grüße
Der Enforcement Mode startet im Oktober, ab dann kann der Wert nicht mehr entfernt werden.
Alle Betriebssysteme älter als Windows Server 2008 und Windows 7 können sich anschließend nicht mehr an Domänencontrollern authentifizieren.
Bitte vergesst nicht, dass auch zwei weitere Einträge aktiv werden.
RPC Sealing und StrongCertificateBinding
Schlüssel:
Wert:
und Schlüssel:
Wert:
Alle Betriebssysteme älter als Windows Server 2008 und Windows 7 können sich anschließend nicht mehr an Domänencontrollern authentifizieren.
Bitte vergesst nicht, dass auch zwei weitere Einträge aktiv werden.
RPC Sealing und StrongCertificateBinding
Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KdcStrongCertificateBindingEnforcementund Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersRequireSeal (REG_DWORD)Zitat von @Tobi-2001:
@crypt0r
Ich habe sowohl KrbtgtFullPacSignature als auch StrongCertificateBindingEnforcement schon bei mir aktiviert, funktioniert.
Niemand behauptet das Gegenteil, aber es kann Unternehmen geben die evt. Anwendungen einsetzen die Bibliotheken nutzen welche PAC nicht nach Vorschrift umsetzen, dafür sind die Keys geschaffen worden. Zur Evaluierung der Admins und um genügend Vorlaufzeit zu erhalten bevor es scharf geschaltet wird.@crypt0r
Ich habe sowohl KrbtgtFullPacSignature als auch StrongCertificateBindingEnforcement schon bei mir aktiviert, funktioniert.
Eine simples Plain-AD ohne viel externe ThirdParty-Anwendungen wird da sicherlich keinerlei Problem haben, ein jahrzehntelang gewachsenes AD mit zig unterschiedlichen Anwendungen kann da den entscheidenden Unterschied machen.
Hallo zusammen,
bei uns ist der Audit-Mode aktiviert. Bei Problemen sollten ja Ereignis-IDs 43 und 44 protokolliert werden (vorausgesetzt die DCs sind geupdated). Nun erscheinen bei mir keine dieser Ereignis-IDs. Daraus darf ich dann ja schließen, dass alles OK ist - kann man das irgendwie verifizieren? Eine "schwarz-auf-weiss"-OK-Meldung wäre mir lieber, als keine-Fehlermeldung? Das scheint aber nicht vorgesehen zu sein....
Grüße
lcer
bei uns ist der Audit-Mode aktiviert. Bei Problemen sollten ja Ereignis-IDs 43 und 44 protokolliert werden (vorausgesetzt die DCs sind geupdated). Nun erscheinen bei mir keine dieser Ereignis-IDs. Daraus darf ich dann ja schließen, dass alles OK ist - kann man das irgendwie verifizieren? Eine "schwarz-auf-weiss"-OK-Meldung wäre mir lieber, als keine-Fehlermeldung? Das scheint aber nicht vorgesehen zu sein....
Grüße
lcer