Kerberos 即将发生的变化：如何规划和实施

自 Windows Server 2000 以来，Kerberos 一直是 Active Directory (AD) 环境中的默认身份验证协议。虽然 Kerberos 比旧的 NTLM 协议安全得多，但它并非万无一失。事实上，由于 Kerberos 控制着对世界各地众多 IT 环境的访问，因此攻击者不断寻找并找到滥用它的方法。因此，IT 专业人员需要掌握已知的漏洞和缓解措施，以降低安全漏洞的风险。

现在，这意味着要关注 2022 年 11 月 8 日起的 Windows 更新，这些更新解决了可能允许攻击者提升权限的关键 Kerberos 漏洞（CVE-2022-37966 和 CVE-2022-37967）。 Microsoft 建议将这些更新安装到所有设备（包括域控制器），如 KB5021131 和 KB5020805 中所述。

然而，安装11月更新导致了身份验证问题、用户登录失败、用户无法访问共享文件夹等问题。此外，完全缓解这些漏洞将破坏 Kerberos 身份验证，除非组织采取措施解决副作用。因此，Microsoft 计划在未来几个月内推出一系列安全更新，以帮助您确保 Kerberos 身份验证的安全，而不会中断您的业务。

这篇博文提供了有关部署 11 月 8 日更新以解决这些 Kerberos 漏洞以及如何规划即将完成 Kerberos 强化过程的更新的指南。

缓解 CVE-2022-37966

KB5021131 详细介绍了如何管理与 CVE-2022-37966 相关的 Kerberos 协议更改。我建议执行那里详述的所有步骤。让我们深入研究其中两个。

识别受影响的系统

在域控制器上安装 11 月安全更新后，您可能会发现遇到身份验证错误。如果您专门将用户帐户的加密级别设置为 DES/RC4 而不是 AES，也会触发它们。

要识别可能受影响的系统，请运行以下 PowerShell 脚本：

Get-ADObject -Filter“msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18”

重置 KRBTGT 帐户的密码

另一个步骤涉及重置 KRBTGT 帐户的密码。您可能知道金票攻击利用了 Kerberos 协议中的漏洞 - 假设任何使用 KRBTGT 帐户的密码哈希加密的票证授予票证 (TGT) 都是合法的。因此，窃取您的 KRBTGT 帐户密码哈希的攻击者可以授予自己对您网络的完全访问权限。

因此，如果您遭受了入侵，或者甚至怀疑自己遭受了入侵，您将需要在网络稳定后立即更改该密码。即使你没有遭受过攻击，你也应该每年至少更换两次。

但是，一旦安装了 11 月安全更新，您就有另一个理由更改 KRBTGT 帐户的密码：如果您在将 AD 域功能级别 (DFL) 升级到 Windows Server 2008 或更高版本后尚未重置该密码，或者您的 DFL 仍在运行Windows Server 2003，您将在系统日志中看到事件 ID 42 错误。

Microsoft 提供了一个重置 KRBTGT 密码的 PowerShell 脚本。但要运行该脚本，您需要使用 Server 2008 或更高版本的 DFL。要检查您所在的 DFL，请从提升的 PowerShell 提示符运行以下命令：

获取 ADDomain | fl 名称,域模式

如果您仍处于较旧的级别，明智的做法是调查是否可以至少迁移到 Server 2008。此外，如果您尚未将域控制器迁移到 Windows Server 2019 或 2022，则需要查看保留的内容你免于升级。

缓解 CVE-2022-37967

2022 年 11 月 8 日更新

11 月的更新还包括 CVE-2022-37967 的补丁。 KB5020805 详细介绍了如何管理与此漏洞相关的 Kerberos 协议更改，我强烈建议您查看其中提供的步骤。

该补丁将特权属性证书 (PAC) 签名添加到 Kerberos PAC 缓冲区。 PAC 是 Kerberos 票证的扩展，其中包含有关用户权限的信息。当用户在 Active Directory 域中进行身份验证时，域控制器会将此信息添加到 Kerberos 票证中。然后，当用户使用其 Kerberos 票证向其他系统进行身份验证时，可以读取 PAC 并使用它来确定其权限级别，而无需联系域控制器来查询该信息。

PAC 包含非常敏感的信息，因此多年来一直是多种 Active Directory 攻击技术的目标。因此，微软专门添加了额外的保护和验证。

Sander Berkouwer 建议在所有域控制器上应用这些更新后，您应努力确定缺少 PAC 签名或 PAC 签名未通过验证的区域。为此，请通过运行以下 PowerShell 命令启用审核模式：

New-ItemProperty -Path“HKLM:\System\CurrentControlSet\Services\KDC” -Name KrbtgtFullPacSignature -Value 2 -PropertyType DWORD -Force

然后，他说，“监视域控制器上的系统日志，以识别 Kerberos 和 Netlogon 协议更改的任何问题。 ”

11 月的更新是实施 Kerberos 附加安全措施过程中的第一步。它将签名添加到 Kerberos PAC 缓冲区，但在身份验证期间不检查签名。因此，安全模式在初始阶段被禁用，因为 Microsoft 知道，除非组织采取措施减轻副作用，否则身份验证将被破坏。

因此，微软将在接下来的几个月内推出更新，以提供额外的 Kerberos 强化。让我们回顾一下计划变更的时间表以及它们将如何影响您。

2022 年 12 月 13 日更新

12 月的安全版本会将所有域控制器移至审核模式，以便您可以查看启用 PAC 实施的影响。

在进入强制模式之前，请确保域功能级别设置为 2008 或更高。知识库警告：“将 2003 域功能级别的域转移到强制模式可能会导致身份验证失败。 ”

请务必注意以下事项：

• 如果您的域未完全更新或者您的域中仍然存在之前发出的未完成的服务票证，则会出现审核事件。
• 继续监视表明缺少 PAC 签名或现有 PAC 签名验证失败的事件。
• 更新整个域并且所有未处理的票证均已过期后，审核事件不应再出现。然后，您应该能够顺利进入强制模式。

2023 年 4 月 11 日更新

这些更新将删除禁用 PAC 签名和添加 KrbtgtFullPacSignature 注册表项的功能。

2023 年 7 月 11 日更新

明年 7 月的更新将修改 KrbtgtFullPacSignature 注册表项：它将删除将该值设置为 1 并转至强制模式（值为 3）的功能。但是，您仍然可以覆盖该值。

2023 年 10 月 10 日更新

10 月份的更新将删除禁用 PAC 签名强制执行的功能。所有没有 PAC 签名的服务票据都将被拒绝身份验证。

结论

Kerberos 身份验证的安全性对于任何 Active Directory 环境都至关重要。通过积极采取此处描述的缓解措施，您可以解决使您的域和业务面临风险的关键 Kerberos 漏洞。