تاريخ التحديث 7/8/22

الملخص

يعالج CVE-2021-42291 ثغرة أمنية تتجاوز الثغرات الأمنية التي تسمح لبعض المستخدمين بتعيين قيم عشوائية على السمات الحساسة للأمان لكائنات معينة مخزنة في Active Directory (AD). لاستغلال هذه الثغرة الأمنية، يجب أن يكون لدى المستخدم امتيازات كافية لإنشاء حساب كمبيوتر، مثل منح مستخدم أذونات CreateChild لكائنات الكمبيوتر. يمكن لهذا المستخدم إنشاء حساب كمبيوتر باستخدام استدعاء Add Directory Access Protocol (LDAP) الذي يسمح بالوصول المتساهل بشكل مفرط إلى سمة securityDescriptor . بالإضافة إلى ذلك، يمكن للمبدعين والمالكين تعديل السمات الحساسة للأمان بعد إنشاء حساب.

تتكون عمليات التخفيف في CVE-2021-42291 من:

  1. التحقق من التخويل الإضافي عندما يحاول المستخدمون الذين ليس لديهم حقوق مسؤول المجال عملية إضافة LDAP لكائن مشتق من الكمبيوتر. يتضمن ذلك وضع Audit-By-Default الذي يدقق عند حدوث مثل هذه المحاولات دون التداخل مع الطلب ووضع الإنفاذ الذي يمنع مثل هذه المحاولات.

  2. الإزالة المؤقتة لامتيازات المالك الضمني عندما يحاول المستخدمون الذين ليس لديهم حقوق مسؤول المجال عملية تعديل LDAP على سمة securityDescriptor . يحدث التحقق للتأكد من السماح للمستخدم بكتابة واصف الأمان دون امتيازات المالك الضمني. يتضمن هذا أيضا وضع Audit-By-Default الذي يدقق عند حدوث مثل هذه المحاولات دون التداخل مع الطلب ووضع الإنفاذ الذي يمنع مثل هذه المحاولات.

اتخاذ إجراء

لحماية بيئتك وتجنب الانقطاع، يرجى إكمال الخطوات التالية:

  1. تحديث كافة الأجهزة التي تستضيف دور وحدة تحكم مجال Active Directory عن طريق تثبيت تحديث 9 نوفمبر 2021. سيؤدي ذلك إلى تنفيذ التغييرات في وضع التدقيق بشكل افتراضي.

  2. مراقبة سجل أحداث خدمة الدليل لأحداث 3044-3056 على وحدات التحكم بالمجال التي تم إصدار تحديثات Windows في 9 نوفمبر 2021 أو الإصدارات الأحدث قبل وضع الإنفاذ البرمجي. تشير الأحداث المسجلة إلى أن المستخدم قد يكون لديه امتيازات زائدة لإنشاء حسابات الكمبيوتر ذات السمات الحساسة للأمان العشوائية. قم بالإبلاغ عن أي سيناريوهات غير متوقعة إلى Microsoft باستخدام حالة دعم رئيسي أو موحد أو مركز تقديم الملاحظات. (يمكن العثور على مثال على هذه الأحداث في قسم الأحداث المضافة حديثا.)

  3. إذا لم يكشف وضع التدقيق عن أي امتيازات غير متوقعة لفترة زمنية كافية، فقم بالتبديل إلى وضع الإنفاذ للتأكد من عدم حدوث أي نتائج سلبية. قم بالإبلاغ عن أي سيناريوهات غير متوقعة إلى Microsoft باستخدام حالة دعم رئيسي أو موحد أو مركز تقديم الملاحظات.

    هام سيتم تشغيل وضع الإنفاذ بشكل افتراضي في تحديث قادم في أقرب وقت ممكن من 11 أبريل 2023.

توقيت تحديثات Windows

سيتم إصدار تحديثات Windows هذه على مرحلتين:

  1. النشر الأولي – مقدمة التحديث، بما في ذلك أوضاع التدقيق افتراضيا أو الإنفاذ أو التعطيل القابلة للتكوين باستخدام سمة dSHeuristics .

  2. النشر النهائي - الإنفاذ افتراضيا.

    هام سيتم تشغيل وضع الإنفاذ بشكل افتراضي في تحديث قادم في أقرب وقت ممكن من 11 أبريل 2023.

9 نوفمبر 2021: مرحلة النشر الأولية

تبدأ مرحلة النشر الأولية بتحديث Windows الذي تم إصداره في 9 نوفمبر 2021. يضيف هذا الإصدار تدقيق الأذونات التي تم تعيينها من قبل المستخدمين الذين ليس لديهم حقوق مسؤول المجال أثناء إنشاء كمبيوتر أو كائنات مشتقة من الكمبيوتر أو تعديلها. كما يضيف وضع الإنفاذ والتعطيل. يمكنك تعيين الوضع بشكل عمومي لكل غابة Active Directory باستخدام سمة dSHeuristics .

(تاريخ التحديث 7/8/22) 11 أبريل 2023: مرحلة النشر النهائية

تبدأ مرحلة النشر النهائية بتحديث Windows الذي تم إصداره في 11 أبريل 2023 (ليتم تحديده). ستغير هذه المرحلة الإعداد الافتراضي إلى وضع الإنفاذ.

هام: وضع التعطيل غير معتمد بعد 11 أبريل 2023.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يفترض هذا التحديث تحديث كافة وحدات التحكم بالمجال مع تحديث 9 نوفمبر 2021 أو أحدث.

توزيعها

إعداد معلومات التكوين

بعد تثبيت CVE-2021-42291، تتحكم الأحرف 28 و29 من السمة dSHeuristics في سلوك التحديث. توجد سمة dSHeuristics داخل كل غابة Active Directory وتحتوي على إعدادات الغابة بأكملها. السمة dSHeuristics هي سمة للعنصر "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". راجع 6.1.1.2.4.1.2 dSHeuristicsوسمة DS-Heuristics لمزيد من المعلومات.

الحرف 28 – عمليات التحقق الإضافية من المصادقة لعمليات إضافة LDAP

0: يتم تمكين وضع التدقيق حسب الإعداد الافتراضي. يتم تسجيل حدث عندما يقوم المستخدمون الذين ليس لديهم حقوق مسؤول المجال بتعيين securityDescriptor أو سمات أخرى إلى قيم قد تمنح أذونات زائدة، مما قد يسمح باستغلالها في المستقبل، على كائنات AD الجديدة المشتقة من الكمبيوتر.

1: يتم تمكين وضع الإنفاذ. يمنع هذا المستخدمين الذين ليس لديهم حقوق مسؤول المجال من تعيين securityDescriptor أو سمات أخرى للقيم التي قد تمنح أذونات زائدة على كائنات AD المشتقة من الكمبيوتر. يتم تسجيل حدث أيضا عند حدوث ذلك.

2: تعطيل التدقيق المحدث ولا يفرض الأمان المضاف. غير مستحسن.

المثال: إذا لم يكن لديك إعدادات dSHeuristics أخرى ممكنة في غابتك وتريد التبديل إلى وضع الإنفاذ للتحقق من المصادقة الإضافية، يجب تعيين سمة dSHeuristics إلى:

"0000000001000000000200000001"

الأحرف التي تم تعيينها في هذه الحالة هي:
10حرف : يجب تعيينه إلى 1 إذا كانت السمة dSHeuristics 10 أحرف
على الأقل حرف 20: يجب تعيينه إلى 2 إذا كانت السمة dSHeuristics 20 حرفا
على الأقل الحرف28: يجب تعيينه إلى 1 لتمكين وضع الإنفاذ للتحقق الإضافي من المصادقة

الحرف 29 – الإزالة المؤقتة للمالك الضمني لعمليات تعديل LDAP

0: يتم تمكين وضع التدقيق حسب الإعداد الافتراضي. يتم تسجيل حدث عندما يقوم المستخدمون الذين ليس لديهم حقوق مسؤول المجال بتعيين securityDescriptor إلى قيم قد تمنح أذونات زائدة، مما قد يسمح باستغلالها في المستقبل، على كائنات AD المشتقة من الكمبيوتر الموجودة.

1: يتم تمكين وضع الإنفاذ. يمنع هذا المستخدمين الذين ليس لديهم حقوق مسؤول المجال من تعيين securityDescriptor إلى القيم التي قد تمنح أذونات زائدة على كائنات AD المشتقة من الكمبيوتر الموجودة. يتم تسجيل حدث أيضا عند حدوث ذلك.

2:تعطيل التدقيق المحدث ولا يفرض الأمان المضاف. غير مستحسن.

المثال: إذا كان لديك فقط علامة التحقق من المصادقة الإضافية dsHeuristics المعينة في غابتك وتريد التبديل إلى وضع الإنفاذ لإزالة الملكية الضمنية المؤقتة، يجب تعيين السمة dSHeuristics إلى:

"00000000010000000002000000011"

الأحرف التي تم تعيينها في هذه الحالة هي:
10حرف : يجب تعيينه إلى 1 إذا كانت السمة dSHeuristics 10 أحرف
على الأقل حرف 20: يجب تعيينه إلى 2 إذا كانت السمة dSHeuristics 20 حرفا
على الأقل الحرف28: يجب تعيينه إلى 1 لتمكين وضع الإنفاذ للتحقق
الإضافي من المصادقة الحرف 29: يجب تعيينه إلى 1 لتمكين وضع الإنفاذ لإزالة الملكية الضمنية المؤقتة

الأحداث المضافة حديثا

سيضيف تحديث Windows في 9 نوفمبر 2021 أيضا سجلات أحداث جديدة.

أحداث تغيير الوضع – التحقق من المصادقة الإضافية لعمليات إضافة LDAP

يتم تغيير الأحداث التي تحدث عند تغيير البت 28 من السمة dSHeuristics ، مما يؤدي إلى تغيير وضع عمليات التحقق الإضافية من المصادقة المعتمدة لجزء عمليات إضافة LDAP من التحديث.

سجل الأحداث

خدمات الدليل

نوع الحدث

اعلاميه

معرف الحدث

3050

نص الحدث

تم تكوين الدليل لفرض تخويل لكل سمة أثناء عمليات إضافة LDAP.

هذا هو الإعداد الأكثر أمانا، ولا يلزم اتخاذ أي إجراء آخر.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3051

نص الحدث

تم تكوين الدليل لعدم فرض تخويل لكل سمة أثناء عمليات إضافة LDAP. سيتم تسجيل أحداث التحذير، ولكن لن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها فقط. الرجاء مراجعة عمليات التخفيف المقترحة في الارتباط أدناه.

سجل الأحداث

خدمات الدليل

نوع الحدث

الخطا

معرف الحدث

3052

نص الحدث

تم تكوين الدليل لعدم فرض تخويل لكل سمة أثناء عمليات إضافة LDAP. لن يتم تسجيل أي أحداث، ولن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها فقط. الرجاء مراجعة عمليات التخفيف المقترحة في الارتباط أدناه.

أحداث تغيير الوضع – الإزالة المؤقتة لحقوق المالك الضمني

يتم تغيير الأحداث التي تحدث عند تغيير البت 29 من السمة dSHeuristics ، مما يؤدي إلى تغيير وضع الإزالة المؤقتة لجزء حقوق المالك الضمني من التحديث.

سجل الأحداث

خدمات الدليل

نوع الحدث

اعلاميه

معرف الحدث

3053

نص الحدث

تم تكوين الدليل لحظر امتيازات المالك الضمني عند إعداد السمة nTSecurityDescriptor أو تعديلها في أثناء عمليات إضافة LDAP وتعديلها.

هذا هو الإعداد الأكثر أمانا، ولا يلزم اتخاذ أي إجراء آخر.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3054

نص الحدث

تم تكوين الدليل للسماح بامتيازات المالك الضمني عند إعداد السمة nTSecurityDescriptor أو تعديلها في أثناء عمليات إضافة LDAP وتعديلها. سيتم تسجيل أحداث التحذير، ولكن لن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها فقط. 

سجل الأحداث

خدمات الدليل

نوع الحدث

الخطا

معرف الحدث

3055

نص الحدث

تم تكوين الدليل للسماح بامتيازات المالك الضمني عند إعداد السمة nTSecurityDescriptor أو تعديلها في أثناء عمليات إضافة LDAP وتعديلها. لن يتم تسجيل أي أحداث، ولن يتم حظر أي طلبات.

هذا الإعداد غير آمن ويجب استخدامه كخطوة مؤقتة لاستكشاف الأخطاء وإصلاحها فقط. 

أحداث وضع التدقيق

الأحداث التي تحدث في وضع التدقيق لتسجيل مخاوف الأمان المحتملة باستخدام عملية إضافة أو تعديل LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3047

نص الحدث

اكتشفت خدمة الدليل طلب إضافة LDAP للكائن التالي الذي كان سيتم حظره عادة لأسباب الأمان التالية.

لم يكن لدى العميل الإذن لكتابة سمة واحدة أو أكثر مضمنة في طلب الإضافة، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح للطلب بالمتابعة لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

تنازل الأمان: <SD الذي تمت محاولة>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3048

نص الحدث

اكتشفت خدمة الدليل طلب إضافة LDAP للكائن التالي الذي كان سيتم حظره عادة لأسباب الأمان التالية.

قام العميل بتضمين سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح للطلب بالمتابعة لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3049

نص الحدث

اكتشفت خدمة الدليل طلب تعديل LDAP للكائن التالي الذي كان سيتم حظره عادة لأسباب الأمان التالية.

قام العميل بتضمين سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

تم السماح للطلب بالمتابعة لأن الدليل تم تكوينه حاليا ليكون في وضع التدقيق فقط لفحص الأمان هذا.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3056

نص الحدث

قامت خدمة الدليل بمعالجة استعلام للسمة sdRightsEffective على الكائن المحدد أدناه. تم تضمين قناع الوصول الذي تم إرجاعه WRITE_DAC، ولكن فقط لأنه تم تكوين الدليل للسماح بامتيازات المالك الضمني التي ليست إعدادا آمنا.

DN للكائن: <إنشاء> DN للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

وضع الإنفاذ - فشل إضافة LDAP

الأحداث التي تحدث عند رفض عملية إضافة LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3044

نص الحدث

رفضت خدمة الدليل طلب إضافة LDAP للكائن التالي. تم رفض الطلب لأن العميل ليس لديه الإذن لكتابة سمة واحدة أو أكثر مضمنة في طلب الإضافة، استنادا إلى واصف الأمان المدمج الافتراضي.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

تنازل الأمان: <SD الذي تمت محاولة>

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3045

نص الحدث

رفضت خدمة الدليل طلب إضافة LDAP للكائن التالي. تم رفض الطلب لأن العميل قام بتضمين سمة nTSecurityDescriptor في طلب الإضافة ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان المدمج الافتراضي.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

وضع الإنفاذ - فشل تعديل LDAP

الأحداث التي تحدث عند رفض عملية تعديل LDAP.

سجل الأحداث

خدمات الدليل

نوع الحدث

تحذير

معرف الحدث

3046

نص الحدث

رفضت خدمة الدليل طلب تعديل LDAP للكائن التالي. تم رفض الطلب لأن العميل قام بتضمين سمة nTSecurityDescriptor في طلب التعديل ولكن لم يكن لديه إذن صريح لكتابة جزء واحد أو أكثر من واصف الأمان الجديد، استنادا إلى واصف الأمان الموجود للكائن.

DN للكائن: <إنشاء> DN للكائن

فئة الكائن: <> objectClass للكائن

المستخدم: <المستخدم الذي حاول إضافة> LDAP

عنوان IP للعميل: <IP الخاص بالطالب>

المتداولة:

س1 ماذا يحدث إذا كان لدي مزيج من وحدات تحكم مجال Active Directory التي يتم تحديثها ولم يتم تحديثها؟

A1 لن تقوم DCs التي لم يتم تحديثها بتسجيل الأحداث المتعلقة بثغرة الثغرة الأمنية هذه.

Q2 ما الذي أحتاج إلى فعله لوحدات التحكم بالمجال Read-Only (RODCs)؟

A2 لا شيء؛ لا يمكن أن تستهدف عمليات إضافة LDAP وتعديله وحدات RODCs.

Q3 لدي منتج أو عملية تابعة لجهة خارجية تفشل بعد تمكين وضع الإنفاذ. هل أحتاج إلى منح الخدمة أو حقوق مسؤول مجال المستخدم؟

A3 بشكل عام، لا نوصي بإضافة خدمة أو مستخدم إلى مجموعة "مسؤولي المجال" كحل أول لهذه المشكلة. افحص سجلات الأحداث لمعرفة الإذن المحدد المطلوب وفكر في تفويض حقوق محدودة بشكل مناسب لهذا المستخدم في وحدة تنظيمية منفصلة مخصصة لهذا الغرض.

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات

استكشاف التدريب >

الحصول على الميزات الجديدة أولاً

الانضمام إلى MICROSOFT INSIDERS >

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟

نشكرك على ملاحظاتك!

×