Windows Security Änderungen am Kerberos- und Netlogon-Protokoll in 2023

von Markus Baumeister
03. April 2023
4 Minuten zu lesen
Autor
Markus Baumeister
Wenn Microsoft Server Systeme an ihre Grenzen stoßen, dann finde ich einen Weg sie zu überwinden.
Zum Experten Profil
Teilen:
Kategorien:
  • Microsoft Server

Update 30.06.2023:

Strong-Certificate-Binding: Microsoft hat den Enforcement Mode auf den 11.02.2025 verschoben

Update 21.04.2023:

RPC Sealing: 

  • Die Anzeichen, dass mit den April 2023 Updates auf den Domänencontrollern bereits in Richtung „RPC Sealing“ Änderungen erfolgten, lassen sich mittlerweile in Kundenumgebungen bestätigen.
  • Insbesondere sind NetApp Systeme betroffen, die vor Installation der Updates – auch mit bereits aktiviertem Enforcement Mode –  zuvor keine Fehler aufwiesen, jetzt aber nicht mehr authentifizieren und das Event 5838 (The Netlogon service encountered a client using RPC signing instead of RPC sealing.) im SYSTEM Log verursachen. Zuvor wurde lediglich die Warnung Event 5840 (The Netlogon service created a secure channel with a client with RC4) angezeigt.

Als NetApp Gold Partner bieten wir Ihnen hier selbstverständlich Unterstützung an. Dazu können Sie sich gerne direkt an die Ansprechpartner des Skill-Teams Server & Storage  wenden.

Update 13.04.2023:

– RPC Sealing: Microsoft hat den Enforcement Mode vom 11.04.23 auf den 13.06.23 verschoben
– PAC Signing: Microsoft hat die Phase „3“ vom 11.04.23 auf den 13.06.23 verschoben

Worum geht's?

Microsoft hat in 2022 damit begonnen in einem “Staging-Prozess” verschiedene Sicherheitslücken bzgl. Authentifizierung in einer Active Directory Domäne zu schließen. Dies bedeutet, dass zum jetzigen Zeitpunkt diese Sicherheitslücken immer noch bestehen! Ein automatisches schließen durch die Windows Updates erfolgt Step by Step bis Ende 2023.

Um das Risiko bereits jetzt zu minimieren muss man selbst aktiv werden. Des weiteren ist die Beschäftigung mit dem Thema alleine aus dem Grunde “Inkompatibilitäten vorab zu erkennen” bereits jetzt unausweichlich.

Speziell geht es in diesem Artikel um die Themen “Strong-Certificate-Binding”, “RPC Sealing” und “PAC Signing”.

Strong-Certificate-Binding

Weiterer spezieller Artikel zum Thema: Änderungen bei der 802.1x Zertifikat-Authentifizierung

Datum Phase
10.05.2022
Kompatibilitätsmodus (Events 39-41 Kdcsvc im System Log; abweichende Events bei W2K8 Server)

Strong Mapping: Authentifizierung wie erwartet

Weak Mapping: Authentifizierung wie erwartet mit Warnung

Achtung: Zertifikat älter als Benutzer: Authentifizierung schlägt fehl + Fehlermeldung. Möglichkeit für Workaround mit “Backdating Registry Key”. Wird dieser Key verwendet, wird eine Warnung im Eventlog generiert.
ab 11.04.2023
Disable Mode entfällt

Wenn das Update von 10.05.2022 (oder höher) bereits installiert ist und der Key StrongCertificateBindingEnforcement=0 bisher nicht manuell gesetzt wurde, sollte hier mit keiner Einschränkung zu rechnen sein.
ab 11.02.2025
(war zuvor 14.11.2023, 09.05.2023)
Full Enforcement Mode

Ab diesem Zeitpunkt wird nur noch “Strong Mapping” erlaubt. Andere Authentifizierungen per Zertifikat werden verweigert.

Registry:

  • Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

  • Wert: StrongCertificateBindingEnforcement

RPC Sealing

Datum Phase
8.11.2022
Kompatibilitätsmodus (Events Netlogon 5838, 5839, 5840, 5841 im System Log)

Windows-Domänencontroller erfordern, dass Netlogon-Clients RPC Seal verwenden, wenn sie Windows ausführen oder als Domänencontroller oder Vertrauenskonten fungieren.

RequireSeal entspricht im Default 1.
ab 11.04.2023
ab 13.06.2023
Enforcement Mode - Die Möglichkeit 0 für RequireSeal zu setzen wird entfernt.

Alle Clients müssen RPC-Seal verwenden, außer diese sind der GPO "Domain Controller: Allow vulnerable Netlogon secure channel connections" hinzugefügt.

Achtung: Gefährdete Verbindungen von allen Clients, auch von Drittanbietern, werden nicht mehr authentifiziert. Die Rückstufung zum Kompatibilitätsmodus (RequireSeal=1) ist noch möglich.

RequireSeal entspricht im Default 2.
ab 11.07.2023
Full Enforcement Mode kann nicht mehr deaktiviert werden. Die Möglichkeit 1 (Kompatibilitätsmodus) für RequireSeal zu setzen wird entfernt.

Alle Clients müssen RPC-Seal verwenden, außer diese sind der GPO "Domain Controller: Allow vulnerable Netlogon secure channel connections" hinzugefügt.

Achtung: Gefährdete Verbindungen von allen Clients, auch von Drittanbietern, werden nicht mehr authentifiziert.

Registry:

  • Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  • Wert: RequireSeal (REG_DWORD)

PAC Signing

Datum Phase
08.11.2022
PAC-Signaturen werden zum Kerberos-PAC-Puffer hinzugefügt. Weitere Maßnahmen zur Behebung Schwachstelle in Kerberos Protokoll.

KrbtgtFullPacSignature entspricht im Default 1
13.12.2022
Aktivierung Audit-Modus (Events 42,43,44 Kdcsvc im System Log)

KrbtgtFullPacSignature entspricht im Default 2
ab 11.04.2023
ab 13.06.2023
Das Hinzufügen von PAC Signaturen kann nicht mehr deaktiviert werden. Die Möglichkeit 0 für KrbtgtFullPacSignature zu setzen wird entfernt.

Achtung: Wenn das Update von 08.11.2022 (oder höher) bereits installiert ist und der Key KrbtgtFullPacSignature=0 bisher nicht manuell gesetzt wurde, sollte hier mit keiner Einschränkung zu rechnen sein.
ab 11.07.2023
Enforcement Mode per Default aktiviert. Die Möglichkeit 1 für KrbtgtFullPacSignature zu setzen wird entfernt.

Achtung: Ablehnung von Kerberos Service Tickets ohne die neuen PAC Signaturen. Die Rückstufung zum Audit-Mode (KrbtgtFullPacSignature=2) ist noch möglich.

KrbtgtFullPacSignature entspricht im Default 3
ab 10.10.2023
Full Enforcement Mode kann nicht mehr deaktiviert werden. Der Registry Key KrbtgtFullPacSignature zur Steuerung entfällt komplett.

Achtung: Ablehnung von Kerberos Service Tickets ohne die neuen PAC Signaturen.

Registry:

  • Schlüssel: HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

  • Wert: KrbtgtFullPacSignature (REG_DWORD)

Was ist zu tun?

Auswertung der Events

Davon ausgegangen, dass auf allen Domain Controllern mindestens das Kumulative Windows Update vom Dezember 2022 installiert ist, werden ggf. bereits jetzt entsprechende Events im SYSTEM Log der Domain Controller (es sind dabei alle zu prüfen) generiert. Sind solche Events vorhanden, kann dies auf Inkompatibilitäten hindeuten.

Das Eventlog kann dabei nach folgenden Event ID’s gefiltert werden:

  • Strong-Certificate-Binding: 39-41 (abweichende Events bei W2K8 Server)

  • RPC Sealing: 5838-5841

  • PAC Signing: 42-44

Da die Event-ID’s alleinstehend nicht immer eindeutig sind, habe ich eine Filter erstellt, welcher noch zusätzlich die Quelle mit einschließt und die Event ID’s für alle drei Themen inkludiert.

Dieser kann dann einfach als XML Filter eingefügt werden:

<QueryList>
<Query Id="0" Path="System">
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kerberos-Key-Distribution-Center' or @Name='Netlogon']
and ( (EventID &gt;= 39 and EventID &lt;= 41)
or (EventID &gt;= 42 and EventID &lt;= 44)
or (EventID &gt;= 5838 and EventID &lt;= 5841) )]]</Select>
</Query>
</QueryList>

Alternativ lassen sich Events natürlich auch per Powershell auswerten oder ein Script dazu erstellen, welches direkt alle Domaincontroller betrachtet und auswertet. Daneben gibt es selbstverständlich auch die Möglichkeiten zur Überwachung durch Monitoring etc.

Aktivierung Enforce-Modus

Wenn die Umgebung geprüft wurde und keine relevanten Inkompatibilitäten vorhanden sind, ist es zu empfehlen den Enforce-Modus vorab zu aktivieren. Dadurch wird die Sicherheit bereits jetzt erhöht und daneben gewinnt man etwas Zeit, falls es doch noch zu Fehlern kommen sollte.

Jeder Enforce-Modus ist einzeln zu betrachten. Dies bedeutet, sollten z.B. Inkompatibilitäten für “StrongCertificateBindingEnforcement” vorhanden sein, kann trotzdem der Enforce-Modus für “RequireSeal” und “KrbtgtFullPacSignature” aktiviert werden.

Hier sind die entsprechenden Registry Werte zur Aktivierung des Enforce-Modus:

Strong-Certificate-Binding

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
"StrongCertificateBindingEnforcement"=dword:00000002

RPC Sealing

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"RequireSeal"=dword:00000002

PAC Signing

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
"KrbtgtFullPacSignature"=dword:00000003

Anpassungen erfolgen auf eigenes Risiko. Für Fragen oder Unterstützung wende Sie sich gerne an unseren Support, wir helfen Ihnen gerne weiter!

War dieser Artikel hilfreich für Sie?
connecT goes Hannovermesse
Treffen Sie uns vom 22. bis 26. April auf der Hannovermesse. Wir freuen uns auf Ihren Besuch in Halle 16, Stand B06.