KB5005413: تخفيف هجمات ترحيل NTLM على خدمات شهادة Active Directory (AD CS)

الملخص

Microsoft على علم ب PetitPotam التي يمكن استخدامها لمهاجمة وحدات التحكم بالمجالات Windows أو خوادم أخرى Windows أخرى. إن PetitPotam هو هجوم ترحيل NTLM كلاسيكي، وقد تم توثيق مثل هذه الهجمات مسبقا بواسطة Microsoft بالإضافة إلى العديد من خيارات التخفيف لحماية العملاء. على سبيل المثال: مستشار أمان Microsoft 974926.

لمنع هجمات ترحيل NTLM على الشبكات التي تم تمكين NTLM لها، يجب على مسؤولي المجالات التأكد من أن الخدمات التي تسمح بمصادقة NTLM تستخدم حماية مثل الحماية الموسعة للمصادقة (EPA) أو ميزات التوقيع مثل توقيع SMB. يستفيد PetitPotam من الخوادم حيث لم يتم تكوين خدمات شهادة Active Directory (AD CS) مع حماية لهجمات ترحيل NTLM. توضح عمليات التخفيف أدناه للعملاء كيفية حماية خوادم AD CS الخاصة بهم من مثل هذه الهجمات.

من المحتمل أن تكون عرضة لهذا الهجوم إذا كنت تستخدم خدمات شهادة Active Directory (AD CS) مع أي من الخدمات التالية:

تسجيل المرجع المشهادات على الويب
خدمة تسجيل الشهادة على الويب

تخفيف الأثر

إذا كانت بيئتك متأثرة، نوصي بتخفيف المخاطر التالية:

التخفيف الأساسي

نوصي بتمكين EPA وتعطيل HTTP على خوادم AD CS. افتح خدمات معلومات الإنترنت (IIS) وفعل ما يلي:

تمكين EPA للتسجيل على ويب المرجع المشهادات، مطلوب يكون الخيار الأكثر أمانا والموصى به:
تمكين EPA لخدمة ويب تسجيل الشهادة، مطلوب هو الخيار الأكثر أمانا والموصى
به:

بعد تمكين EPA في واجهة المستخدم، يجب أيضا تحديث ملف Web.config الذي تم إنشاؤه بواسطة دور CES في <٪windir٪>\systemdata\CES\<CA Name>_CES_Kerberos\web.config بإضافة مجموعة<ExtendedProtectionPolicy> بقيمة إما WhenSupported أو دوما استنادا إلى خيار الحماية الموسعة المحدد في واجهة مستخدم IIS أعلاه.

ملاحظة: يتم استخدام الإعداد دوما عند تعيين واجهة المستخدم إلى مطلوب،وهو الخيار الموصى به والأكثر أمانا.

لمزيد من المعلومات حول الخيارات المتوفرة ل ExtendedProtectionPolicy،راجع<النقل> من <HttpBinding>. الإعدادات الأكثر استخداما هي على النحو التالي:
<binding name="TransportWithHeaderClientAuth"> <security mode="Transport"> <transport clientCredentialType="Windows"> <extendedProtectionPolicy policyEnforcement="Always" /> </transport> <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" /> </security> <readerQuotas maxStringContentLength="131072" /> </binding>
تمكين يتطلب SSL، مما سيمكن اتصالات HTTPS فقط.

هام: بعد إكمال الخطوات أعلاه، ستحتاج إلى إعادة تشغيل IIS لتحميل التغييرات. لإعادة تشغيل IIS، افتح نافذة "موجه الأوامر" غير مرتفعة، وا اكتب الأمر التالي، ثم اضغط على ENTER:

iisreset/إعادة التشغيل

ملاحظة يوقف هذا الأمر كل خدمات IIS التي يتم تشغيلها ثم يعيد تشغيلها.

تخفيف إضافي

بالإضافة إلى عمليات التخفيف الأساسية، نوصي بتعطيل مصادقة NTLM قدر الإمكان. يتم سرد عمليات التخفيف التالية بالترتيب من أكثر أمانا إلى أقل أمانا:

قم بتعطيل مصادقة NTLM على وحدة Windows التحكم بالمجال. يمكن تحقيق ذلك باتباع الوثائق في أمان الشبكة: تقييد NTLM: مصادقة NTLM في هذا المجال.
قم بتعطيل NTLM على أي من خوادم AD CS في مجالك باستخدام نهج المجموعة أمان الشبكة: تقييد NTLM: حركة مرور NTLM الواردة. لتكوين نهج المجموعة هذا، افتح نهج المجموعة واذهب إلى تكوين الكمبيوتر -> Windows الإعدادات -> أمان الإعدادات -> نهج محلية -> خيارات أمان الشبكة وحدد أمان الشبكة: تقييد حركة مرور NTLM: حركة مرور NTLM الواردة لرفض كافة الحسابات أو رفض كافة حسابات المجالات . إذا لزم الأمر، يمكنك إضافة استثناءات حسب الحاجة باستخدام إعداد أمان الشبكة: تقييد NTLM: إضافة استثناءاتالخادم في هذا المجال .
قم بتعطيل NTLM خدمات معلومات الإنترنت (IIS) على خوادم AD CS في مجالك الذي يقوم بتشغيل خدمات "تسجيل ويب المرجع المشهادات" أو "خدمة ويب تسجيل الشهادة".

لفتح واجهة مستخدم IIS Manager، قم بتعيين Windows إلى التفاوض:Kerberos:

مربع الحوار "طريقة عرض واجهة مستخدم IIS Manager"

طريقة العرض البديلة لواجهة مستخدم IIS Manager

لمزيد من المعلومات، الرجاء الاطلاع على ADV210003 لاستشارات الأمان من Microsoft

KB5005413: تخفيف هجمات ترحيل NTLM على خدمات شهادة Active Directory (AD CS)

الملخص

تخفيف الأثر

التخفيف الأساسي

تخفيف إضافي

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!