Microsoft a prévu de renforcer la sécurité du protocole Kerberos et de Netlogon dans les prochains mois.
Les évolutions et les impacts sont progressifs et certaines des modifications passent par une phase d'audit qu'il faudra surveiller attentivement afin d'éviter un impact sur son environnement.
La 3ème mise à jour KB5021131, concernant Kerberos est également à l'origine du problème apparut dans la mise à jour de novembre 2022, lors de son installation sur les contrôleurs de domaines.
Un correctif a été publié le 17 novembre à installer sur les contrôleurs de domaine. Le correctif existe pour les versions Windows Server 2008 à Windows Server 2022.
Cette mise à jour modifie le chiffrement par défaut sur AES pour les clés de session. Cette mise à jour devait avoir un impact faible, hormis l'erreur dont le correctif a été publié le 17/11/2023.
Néanmoins, il est intéressant de rechercher les objets Active Directory ou DES/RC4 est explicitement activé et ou AES 128 ou 256 ne l'est pas.
Pour cela, vous pouvez exécuter la commande PowerShell suivante afin d'identifier ces comptes :
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Pour l'attribut "MsDS-supportedEncryptionTypes", la valeur 0x7 correspond à "DES_CBC_CRC, DES_CBC_MD5, RC4" et 0x18 à "AES 128, AES 256".
En ce qui concerne la mise à jour de Netlogon, ajoute une protection contre l'élévation de privilège. Cette protection concerne tous les postes joints au domaine.
Le déploiement initial du renforcement de la sécurité commence par l'installation des mises à jour du 8/11/2022. Après l'installation de cette mise à jour, la sécurité Netllogon sera en mode compatibilité, les clients Windows devront utiliser les sceau RPC, ainsi que les contrôleurs de domaine. Il vous faudra suivre les événements dans l'observateur d'événements des contrôleurs de domaine :
IDEvent : 5838, le service Netlogon a rencontré un client utilisant la signature RPC au lieu du scellement RPC.
IDEvent : 5839, le service Netlogon a rencontré une approbation utilisant la signature RPC au lieu du scellement RPC.
IDEvent 5840 : le service Netlogon a créé un canal sécurisé avec un client avec RC4.
IDevent 5841 : le service Netlogon a refusé un client utilisant RC4 en raison du paramètre 'RejectMd5Clients'.
Une valeur dans le registre permet de contrôler le comportement ou de revenir en arrière jusqu'au 11/07/2023. Après cette date, elle n'aura plus d'effet. Il s'agit de la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
RequireSeal.
0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections" group policy object (GPO).
Au niveau de la 3ème mise à jour, KB5020805, elle concerne des informations additionnelles, Privilege Attribute Certificate (PAC) inclus dans les tickets Kerberos.
Le PAC contient des informations de sécurité telle que l'appartenance à un groupe. La signature PAC permet de renforcer la sécurité. L'évolution sera progressive. A partir du :
- 8 novembre 2022, les mises à jour sont ajoutées, mais l'absence de signature ne provoque pas d'échec.
- 13 décembre 2022, le système sera en mode audit. Si la signature est manquante, l'authentification sera activée, mais des événements seront enregistrés dans les journaux.
- 11 avril 2023, il ne sera plus possible de désactiver l'ajout de la signature depuis le registre.
- 11 juillet 2023, si la signature est manquante ou non-valide, l'authentification est refusée. Il est possible de revenir en mode audit en modifiant le registre.
- 10 octobre 2023, il n'y aura plus de mode audit et il ne sera plus possible de modifier le comportement avec le registre. Tous les tickets sans signature PAC se verront refuser l'authentification.
Dans la phase d'audit, vous devrez rechercher les événements dans le journal système, dont la source est « kdcsvcname » et l'Idevent 43 ou 44.
La valeur suivante dans le registre permet de modifier le comportement jusqu'au 10 octobre 2023 au maximum.
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
KrbtgtFullPacSignature, REG_DWORD
0 – Disabled
1 – New signatures are added, but not verified. (Default setting)
2 - Audit mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is allowed and audit logs are created.
3 - Enforcement mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is denied and audit logs are created.
L'installation de ces mises à jour de sécurité concerne tous les postes, serveurs ou clients, membre du domaine ou contrôleur de domaine.
Le lien suivant contient l'ensemble des mises à jour à installer. Les mises à jour vont de Windows Server 2008 32 et 64 bits à Windows Server 2022 :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
Les correctifs suite aux problèmes de la mise à jour du mois de novembre doivent être installé sur les contrôleurs de domaine et peuvent être téléchargé dans le lien suivant :
Windows Server 2016 : KB5021654(link is external)
Windows Server 2019 : KB5021655(link is external)
Windows Server 2022 : KB5021656(link is external)