Microsoft 即將終止對 RC4 加密的支援,以及 AES 加密的預設值。這適用于:
2022 年 11 月 8 日及更新版本的 Windows 會在使用 RPC 簽署而非 RPC 封接時,解決 Netlogon 通訊協定中的缺點。
什麼是 RPC 簽章和 RPC 密封?
RPC 簽署是在 Netlogon 通訊協定使用 RPC 簽署其透過網路傳送的訊息時。
RPC 封接是在 Netlogon 通訊協定簽署並加密其透過網路傳送的訊息時。
參考:HTTPs://support.microsoft.com/en-us/topic/kb5021130-how-to-manage-the-netlogon-protocol-changes-related-to-cve-2022-38023-46ea3067-3989-4d40-963c-680fd9e8ee25
-----------------------------
根據上述 Microsoft 提供的資訊,為了解決 CVE-2022-38023,他們已強制使用 RPC 封裝,而非在 netlogon 通訊協定中簽署。
DD 已支援 RPC 封裝,這表示 DD 不會受到 CVE-2022-38023 的影響。
但是,DD 會將 RC4 加密用於 RPC 密封 (加密較弱),而 Microsoft 會在事件檢視器 (事件 ID 5840) 中產生警告。
為了使 DD 更加安全,我們已使用 Netlogon 通訊協定新增對 RPC 封裝的 AES 加密支援,該加密將在日後版本 7.12 和 LTS 版本 (7.7.5.20 和 7.10.1.10) 中提供。
根據與上述所列 CVE 直接相關的內部呈報,此變更不會影響 Data Domain 產品。不過,Data Domain 將在未來的版本中使用 AES 加密取代 RC4 加密。如果 AD 使用者存取 CIFS 共用,則一律使用具有 RC4 加密的 Netlogon 要求。
但是,cifs 共用不會受到 Data Domain 的影響或影響。
未來版本的 Data Domain 7.12 和 LTS 版本 (7.7.5.20 & 7.10.1.10) 將會在 Netlogon 要求中使用 AES 加密。