AD’de Null Değerli msds-SupportedEncryptionTypes: Kritik Risk ( Her AD Admin Kontrol Etmeli! )

Microsoft, kerberos protokolünde meydana gelen zayıflıkların ( CVE-2022-37966 ) güvenliğini sağlamak için ile ilgili güvenlik açığını ele alan güncellemeler yayınlamıştı. Bu makalede, KB5021131 numaralı güncelleme ile ilgili değişiklikleri ve nasıl yönetileceğini inceleyeceğiz.

Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ve Windows Server 2008 R2 gibi farklı sürümlerdeki Windows sunucularında mevcut olan CVE-2022-37966 güvenlik açığı, Kimlik Doğrulama negotiation sırasında zayıf RC4-HMAC negotiation’i kullanarak security bypass ve elevation of privilege zafiyetine neden olabilmektedir.

Bu güncelleme, varsayılan şifreleme türünü belirli bir şekilde tanımlamayan hesaplarda oturum anahtarları için AES’i varsayılan şifreleme türü olarak ayarlar.

Kritik Noktalar:

• Belirtilmiş Oturum Anahtarları Şifreleme Türlerini Keşfetme
• Kayıt Defteri Ayarları
• CVE-2022-37966 ile İlgili Windows Olayları
• Sıkça Sorulan Sorular (SSS) ve Bilinen Sorunlar
• Belirtilmiş Oturum Anahtarları Şifreleme Türlerini Keşfetme

• AES kullanmayan kullanıcı hesaplarını tespit etmek için aşağıdaki Active Directory sorgusunu kullanabilirsiniz:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Kayıt Defteri Ayarları

KB5021131 güncellemesini yükledikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir:

Not: Active Directory kullanıcı veya bilgisayarının varsayılan Desteklenen Şifreleme Türünü değiştirmeniz gerekiyorsa, yeni Desteklenen Şifreleme Türünü ayarlamak için kayıt defterine el ile ekleme ve yapılandırma yapmanız gerekmektedir. Bu güncelleme otomatik olarak kayıt defterine ekleme yapmaz.

Windows etki alanı denetleyicileri, msds-SupportedEncryptionType değeri boş veya ayarlanmamış olan Active Directory’deki hesapların desteklenen şifreleme türlerini belirlemek için bu değeri kullanır. Desteklenen bir Windows işletim sistemi sürümünü çalıştıran bir bilgisayar, Kerberos protokolünün kullanmasına izin verilen şifreleme türlerinin yapılandırılmış değerine dayanarak Active Directory’deki hesapları için msds-SupportedEncryptionTypes değerini otomatik olarak ayarlar. Ancak, Kullanıcı hesapları, Grup Yönetimi Hizmet hesapları ve Active Directory’deki diğer hesaplar otomatik olarak msds-SupportedEncryptionTypes değeriyle ayarlanmaz.

KB5021131 güncellemesi ile ilgili adım adım yapılması gerekenlerin listesi

1 Adım: Güncellemeleri Yükleyin

Öncelikle, KB5021131 güncellemesinin sistemde yüklü olduğundan emin olun.
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ve Windows Server 2008 R2 dahil olmak üzere ilgili Windows sürümlerine uygun güncellemeyi indirin ve yükleyin.
Güncellemelerin tam olarak yüklenmesi ve sistem yeniden başlatılması gerekebilir.

2 Adım: CVE-2022-37966 İle İlgili Hesapları Tespit Edin

Active Directory’de, DES/RC4 şifrelemesini etkinleştirmiş ancak AES kullanmayan hesapları tespit etmek için PowerShell kullanabilirsiniz.
Aşağıdaki PowerShell komutunu kullanarak etkilenen hesapları bulun:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

3 Adım: Kayıt Defteri Ayarlarını Yapılandırın

KB5021131 güncellemesinden sonra, Kayıt Defteri’nde belirli bir anahtar ve değer ayarlaması yapmanız gerekebilir.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC anahtarını açın.
DefaultDomainSupportedEncTypes adlı REG_DWORD veri türünde bir değer oluşturun.
Değer olarak 0x27’yi (varsayılan) atayın.

4 Adım: Güncelleme Sonrası Kontrolleri Yapın

Güncellemelerin ardından sistemde herhangi bir sorun olup olmadığını kontrol edin.
Windows etkinlik günlüklerini kontrol ederek CVE-2022-37966 ile ilgili olayları arayın.
Diğer sistemler ve uygulamalarla olan uyumluluğu doğrulayın.