تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

تاريخ التحديث 03/20/2024 – تمت إضافة مراجع LDS

الملخص

يعالج CVE-2021-42291 ثغرة أمنية تتجاوز بعض المستخدمين التي تسمح لبعض المستخدمين بتعيين قيم عشوائية على السمات الحساسة للأمان لعناصر معينة مخزنة في Active Directory (AD) أو خدمة الدليل الخفيف (LDS). لاستغلال هذه الثغرة الأمنية، يجب أن يكون لدى المستخدم امتيازات كافية لإنشاء كائن مشتق من الكمبيوتر، مثل منح المستخدم أذونات CreateChild لكائنات الكمبيوتر. يمكن لهذا المستخدم إنشاء حساب كمبيوتر باستخدام بروتوكول الوصول إلى الدليل الخفيف (LDAP) إضافة استدعاء يسمح بالوصول المتساهل بشكل مفرط إلى سمة securityDescriptor . بالإضافة إلى ذلك، يمكن للمبدعين والمالكين تعديل السمات الحساسة للأمان بعد إنشاء حساب. يمكن الاستفادة من هذا لتنفيذ رفع الامتياز في سيناريوهات معينة.

ملاحظهسيقوم LDS بتسجيل الأحداث 3050 و3053 و3051 و3054 حول حالة الوصول الضمني إلى العناصر، تماما كما يفعل AD.

تتكون عوامل التخفيف في CVE-2021-42291 من:

  1. التحقق من التخويل الإضافي عندما يحاول المستخدمون الذين ليس لديهم مجال أو حقوق مسؤول LDS عملية إضافة LDAP لكائن مشتق من الكمبيوتر. يتضمن ذلك وضع Audit-By-Default الذي يقوم بالتدقيق عند حدوث مثل هذه المحاولات دون التدخل في الطلب ووضع الإنفاذ الذي يمنع مثل هذه المحاولات.

  2. الإزالة المؤقتة لامتيازات المالك الضمني عندما يحاول المستخدمون الذين ليس لديهم حقوق مسؤول المجال عملية تعديل LDAP على سمة securityDescriptor . يحدث التحقق لتأكيد ما إذا كان سيسمح للمستخدم بكتابة واصف الأمان دون امتيازات المالك الضمني. يتضمن هذا أيضا وضع Audit-By-Default الذي يقوم بالتدقيق عند حدوث مثل هذه المحاولات دون التدخل في الطلب ووضع الإنفاذ الذي يمنع مثل هذه المحاولات.

اتخاذ إجراء

لحماية بيئتك وتجنب الانقطاعات، يرجى إكمال الخطوات التالية:

  1. قم بتحديث جميع الأجهزة التي تستضيف وحدة تحكم مجال Active Directory أو دور خادم LDS عن طريق تثبيت آخر تحديثات Windows. سيكون ل DCs التي تحتوي على تحديثات 9 نوفمبر 2021 أو أحدث التغييرات في وضع التدقيق بشكل افتراضي.

  2. مراقبة سجل أحداث خدمة الدليل أو LDS لأحداث 3044-3056 على وحدات التحكم بالمجال وخوادم LDS التي تحتوي على تحديثات Windows في 9 نوفمبر 2021 أو أحدث. تشير الأحداث المسجلة إلى أن المستخدم قد يكون لديه امتيازات زائدة لإنشاء حسابات كمبيوتر ذات سمات عشوائية حساسة للأمان. الإبلاغ عن أي سيناريوهات غير متوقعة إلى Microsoft باستخدام حالة دعم Premier أو Unified Support أو مركز تقديم الملاحظات. (يمكن العثور على مثال لهذه الأحداث في قسم الأحداث المضافة حديثا.)

  3. إذا لم يكتشف وضع التدقيق أي امتيازات غير متوقعة لمدة كافية من الوقت، فانتقل إلى وضع الإنفاذ للتأكد من عدم حدوث أي نتائج سلبية. الإبلاغ عن أي سيناريوهات غير متوقعة إلى Microsoft باستخدام حالة دعم Premier أو Unified Support أو مركز تقديم الملاحظات.

توقيت تحديثات Windows

سيتم إصدار تحديثات Windows هذه على مرحلتين:

  1. التوزيع الأولي - مقدمة للتحديث، بما في ذلك أوضاع Audit-By-Default أو Enforcement أو Disable القابلة للتكوين باستخدام سمة dSHeuristics .

  2. النشر النهائي - الإنفاذ بشكل افتراضي.

9 نوفمبر 2021: مرحلة التوزيع الأولية

تبدأ مرحلة التوزيع الأولية بتحديث Windows الذي تم إصداره في 9 نوفمبر 2021. يضيف هذا الإصدار تدقيق الأذونات التي تم تعيينها من قبل المستخدمين الذين ليس لديهم حقوق مسؤول المجال أثناء إنشاء كمبيوتر أو كائنات مشتقة من الكمبيوتر أو تعديلها. كما يضيف فرضا ووضع تعطيل. يمكنك تعيين الوضع بشكل عام لكل غابة Active Directory باستخدام السمة dSHeuristics .

(تاريخ التحديث 12/15/2023) مرحلة التوزيع النهائية

يمكن أن تبدأ مرحلة التوزيع النهائية بمجرد إكمال الخطوات المدرجة في قسم اتخاذ الإجراء. للانتقال إلى وضع الإنفاذ، اتبع الإرشادات الواردة في قسم إرشادات التوزيع لتعيين البتين 28 و29 على السمة dSHeuristics . ثم راقب الأحداث 3044-3046. يبلغون عن وقت حظر وضع الإنفاذ لعملية إضافة أو تعديل LDAP التي ربما تم السماح بها مسبقا في وضع التدقيق. 

توزيعها

تعيين معلومات التكوين

بعد تثبيت CVE-2021-42291، تتحكم الأحرف 28 و29 من سمة dSHeuristics في سلوك التحديث. توجد السمة dSHeuristics داخل كل غابة Active Directory وتحتوي على إعدادات الغابة بأكملها. السمة dSHeuristics هي سمة لعنصر "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) أو "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). راجع 6.1.1.2.4.1.2 dSHeuristicsوسمة DS-Heuristics لمزيد من المعلومات.

الحرف 28 – عمليات التحقق الإضافية من AuthZ لعمليات إضافة LDAP

0: يتم تمكين وضع Audit-by-Default. يتم تسجيل حدث عندما يقوم المستخدمون الذين ليس لديهم حقوق مسؤول المجال بتعيين securityDescriptor أو سمات أخرى إلى القيم التي قد تمنح أذونات زائدة، مما قد يسمح بالاستغلال المستقبلي، على كائنات AD الجديدة المشتقة من الكمبيوتر.

1: تم تمكين وضع الإنفاذ. يمنع هذا المستخدمين الذين ليس لديهم حقوق مسؤول المجال من تعيين securityDescriptor أو سمات أخرى إلى القيم التي قد تمنح أذونات زائدة على كائنات AD المشتقة من الكمبيوتر. يتم أيضا تسجيل حدث عند حدوث ذلك.

2: تعطيل التدقيق المحدث ولا يفرض الأمان المضاف. غير مستحسن.

المثال: إذا لم يكن لديك إعدادات dSHeuristics أخرى ممكنة في الغابة الخاصة بك وتريد التبديل إلى وضع الإنفاذ للتحقق الإضافي من AuthZ، يجب تعيين السمة dSHeuristics إلى:

"0000000001000000000200000001"

الأحرف التي تم تعيينها في هذه الحالة هي:
حرف10: يجب تعيين إلى 1 إذا كانت السمة dSHeuristics 10 أحرف
على الأقل حرف20: يجب تعيين إلى 2 إذا كانت السمة dSHeuristics 20 حرفا
على الأقل 28حرف : يجب تعيين إلى 1 لتمكين وضع الإنفاذ للتحقق الإضافي من AuthZ

الحرف 29 - الإزالة المؤقتة للمالك الضمني لعمليات تعديل LDAP

0: يتم تمكين وضع Audit-by-Default. يتم تسجيل حدث عندما يقوم المستخدمون الذين ليس لديهم حقوق مسؤول المجال بتعيين securityDescriptor إلى القيم التي قد تمنح أذونات زائدة، مما قد يسمح بالاستغلال المستقبلي، على كائنات AD الحالية المشتقة من الكمبيوتر.

1: تم تمكين وضع الإنفاذ. يمنع هذا المستخدمين الذين ليس لديهم حقوق مسؤول المجال من تعيين securityDescriptor إلى القيم التي قد تمنح أذونات زائدة على كائنات AD الحالية المشتقة من الكمبيوتر. يتم أيضا تسجيل حدث عند حدوث ذلك.

2:تعطيل التدقيق المحدث ولا يفرض الأمان المضاف. غير مستحسن.

المثال: إذا كان لديك علامة dsHeuristics للتحقق الإضافية من AuthZ معينة فقط في الغابة الخاصة بك وتريد التبديل إلى وضع الإنفاذ لإزالة الملكية الضمنية المؤقتة، يجب تعيين السمة dSHeuristics إلى:

"00000000010000000002000000011"

الأحرف التي تم تعيينها في هذه الحالة هي:
حرف10: يجب تعيين إلى 1 إذا كانت السمة dSHeuristics 10 أحرف
على الأقل حرف20: يجب تعيين إلى 2 إذا كانت السمة dSHeuristics 20 حرفا
على الأقل 28حرف : يجب تعيين إلى 1 لتمكين وضع الإنفاذ للتحقق
الإضافي من AuthZ 29حرف : يجب تعيين إلى 1 لتمكين وضع الإنفاذ لإزالة الملكية الضمنية المؤقتة

الأحداث المضافة حديثا

سيضيف تحديث Windows في 9 نوفمبر 2021 أيضا سجلات أحداث جديدة.

أحداث تغيير الوضع - التحقق الإضافي من AuthZ لعمليات إضافة LDAP

الأحداث التي تحدث عند تغيير بت 28 من السمة dSHeuristics ، ما يغير وضع عمليات التحقق الإضافية من AuthZ لجزء عمليات LDAP Add من التحديث.

سجل الأحداث

خدمات الدليل

نوع الحدث

اعلاميه

معرف الحدث

3050

نص الحدث

تم تكوين الدليل لفرض التخويل لكل سمة أثناء عمليات إضافة LDAP.

هذا هو الإعداد الأكثر أمانا، ولا يلزم اتخاذ أي إجراء آخر.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3051

نص الحدث

تم تكوين الدليل لعدم فرض التخويل لكل سمة أثناء عمليات إضافة LDAP. سيتم تسجيل أحداث التحذير، ولكن لن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه فقط كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها. يرجى مراجعة عوامل التخفيف المقترحة في الارتباط أدناه.

سجل الأحداث

خدمات الدليل

نوع الحدث

الخطأ

معرف الحدث

3052

نص الحدث

تم تكوين الدليل لعدم فرض التخويل لكل سمة أثناء عمليات إضافة LDAP. لن يتم تسجيل أي أحداث، ولن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه فقط كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها. يرجى مراجعة عوامل التخفيف المقترحة في الارتباط أدناه.

أحداث تغيير الوضع - الإزالة المؤقتة لحقوق المالك الضمني

الأحداث التي تحدث عند تغيير بت 29 من السمة dSHeuristics ، ما يغير وضع الإزالة المؤقتة لجزء حقوق المالك الضمني من التحديث.

سجل الأحداث

خدمات الدليل

نوع الحدث

اعلاميه

معرف الحدث

3053

نص الحدث

تم تكوين الدليل لحظر امتيازات المالك الضمنية عند تعيين السمة nTSecurityDescriptor أو تعديلها في البداية أثناء عمليات إضافة وتعديل LDAP.

هذا هو الإعداد الأكثر أمانا، ولا يلزم اتخاذ أي إجراء آخر.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3054

نص الحدث

تم تكوين الدليل للسماح بامتيازات المالك الضمنية عند تعيين السمة nTSecurityDescriptor أو تعديلها في البداية أثناء عمليات إضافة وتعديل LDAP. سيتم تسجيل أحداث التحذير، ولكن لن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه فقط كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها. 

سجل الأحداث

خدمات الدليل

نوع الحدث

الخطأ

معرف الحدث

3055

نص الحدث

تم تكوين الدليل للسماح بامتيازات المالك الضمنية عند تعيين السمة nTSecurityDescriptor أو تعديلها في البداية أثناء عمليات إضافة وتعديل LDAP. لن يتم تسجيل أي أحداث، ولن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه فقط كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها. 

أحداث وضع التدقيق

الأحداث التي تحدث في وضع التدقيق لتسجيل المخاوف الأمنية المحتملة باستخدام عملية إضافة أو تعديل LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3047

نص الحدث

اكتشفت خدمة الدليل طلب إضافة LDAP للكائن التالي الذي عادة ما تم حظره لأسباب أمنية التالية.

لم يكن لدى العميل إذن لكتابة سمة واحدة أو أكثر مضمنة في طلب الإضافة، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح بالمتابعة للطلب لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

Security desc: <SD الذي تمت محاولته>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3048

نص الحدث

اكتشفت خدمة الدليل طلب إضافة LDAP للكائن التالي الذي عادة ما تم حظره لأسباب أمنية التالية.

قام العميل بتضمين سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح بالمتابعة للطلب لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3049

نص الحدث

اكتشفت خدمة الدليل طلب تعديل LDAP للكائن التالي الذي عادة ما تم حظره لأسباب أمنية التالية.

قام العميل بتضمين سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح بالمتابعة للطلب لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3056

نص الحدث

قامت خدمة الدليل بمعالجة استعلام للسمة sdRightsEffective على العنصر المحدد أدناه. تضمن قناع الوصول الذي تم إرجاعه WRITE_DAC، ولكن فقط لأنه تم تكوين الدليل للسماح بامتيازات المالك الضمنية التي ليست إعدادا آمنا.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

وضع الإنفاذ - إضافة LDAP إلى حالات الفشل

الأحداث التي تحدث عند رفض عملية إضافة LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3044

نص الحدث

رفضت خدمة الدليل طلب إضافة LDAP للكائن التالي. تم رفض الطلب لأن العميل لم يكن لديه إذن لكتابة سمة واحدة أو أكثر مضمنة في طلب الإضافة، استنادا إلى واصف الأمان المدمج الافتراضي.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

Security desc: <SD الذي تمت محاولته>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3045

نص الحدث

رفضت خدمة الدليل طلب إضافة LDAP للكائن التالي. تم رفض الطلب لأن العميل تضمن سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

وضع الإنفاذ - فشل تعديل LDAP

الأحداث التي تحدث عند رفض عملية تعديل LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3046

نص الحدث

رفضت خدمة الدليل طلب تعديل LDAP للكائن التالي. تم رفض الطلب لأن العميل تضمن سمة nTSecurityDescriptor في طلب التعديل ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان الموجود للكائن.

DN العنصر: <> DN للكائن الذي تم إنشاؤه

فئة الكائن: <> objectClass للكائن الذي تم إنشاؤه

المستخدم: <المستخدم الذي حاول إضافة LDAP>

عنوان IP للعميل: <IP> الطالب

الأسئلة المتداولة

س1 ماذا يحدث إذا كان لدي مزيج من وحدات تحكم مجال Active Directory التي تم تحديثها ولم يتم تحديثها؟

A1 لن تسجل DCs التي لم يتم تحديثها الأحداث المتعلقة بهذه الثغرة الأمنية.

س2 ما الذي أحتاج إلى القيام به لوحدات تحكم المجال Read-Only (RODCs)؟

A2 شيء; لا يمكن أن تستهدف عمليات إضافة وتعديل LDAP RODCs.

Q3 لدي منتج أو عملية تابعة لجهة خارجية تفشل بعد تمكين وضع الإنفاذ. هل أحتاج إلى منح حقوق مسؤول مجال الخدمة أو المستخدم؟

A3 بشكل عام، لا نوصي بإضافة خدمة أو مستخدم إلى مجموعة مسؤولي المجال كحل أول لهذه المشكلة. افحص سجلات الأحداث لمعرفة الإذن المحدد المطلوب وفكر في تفويض حقوق محدودة بشكل مناسب لهذا المستخدم في وحدة تنظيمية منفصلة مخصصة لهذا الغرض.

Q4 أرى أحداث التدقيق أيضا لخوادم LDS. ما سبب حدوث ذلك؟

A4ينطبق كل ما سبق أيضا على AD LDS، على الرغم من أنه من غير المعتاد جدا أن يكون لديك كائنات كمبيوتر في LDS. يجب أيضا اتخاذ خطوات التخفيف لتمكين حماية AD LDS عندما لا يكتشف وضع التدقيق أي امتيازات غير متوقعة.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×