Обобщена информация
Microsoft е наясно с PetitPotam, който потенциално може да се използва за Windows домейн контролери или други Windows сървъри. PetitPotam е класическа NTLM релейна атака и подобни атаки преди са били документирани от Microsoft заедно с множество опции за смекчаване на последиците, за да се защитят клиентите. Например: Microsoft Security Advisory 974926.
За да се предотвратят релета на NTLM атаки в мрежи с разрешена NTLM, администраторите на домейни трябва да гарантират, че услугите, които позволяват NTLM удостоверяване, използват защити като разширена защита за удостоверяване (EPA) или функции за подписване, като например подписване на SMB. PetitPotam се възползва от сървъри, където услугите за сертификати на Active Directory (AD CS) не са конфигурирани със защита за NTLM релейни атаки. Предпазните мерки по-долу описват на клиентите как да защитят своите AD CS сървъри от подобни атаки.
Вие сте потенциално уязвими към тази атака, ако използвате услугите за сертификати на Active Directory (AD CS) с някоя от следните услуги:
-
Записване в уеб на сертифициращ орган
-
Уеб услуга за записване на сертификати
Смекчаване на последиците
Ако вашата среда е потенциално засегната, препоръчваме следните предпазни мерки:
Първично намаляване
Препоръчваме разрешаване на EPA и забраняване на HTTP на AD CS сървъри. Отворете диспечера Internet Information Services (IIS) и направете следното:
-
Разрешаване на EPA за записване в уеб на сертифициращ орган, задължително е по-защитена и препоръчвана опция:
-
Разрешаване на EPA за уеб услуга за записване на сертификати, Задължително е по-защитената и препоръчителна опция:
След като разрешите EPA в потребителския интерфейс, файлът на Web.config, създаден от CES роля на<%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config, също трябва да се актуализира, като добавите<extendedProtectionPolicy>, зададен със стойност или на WhenSupported, или Винаги в зависимост от опцията Разширена защита, избрана в IIS пия по-горе.Забележка: Настройката Винаги се използва, когато потребителският интерфейс е зададен на Задължително, което е препоръчителната и най-защитена опция.
За повече информация относно наличните опции за extendedProtectionPolicyвж.<транспорт > <основниhttpBinding>. Най-вероятните използвани настройки са следните:
<binding name="TransportWithHeaderClientAuth"> <security mode="Transport"> <transport clientCredentialType="Windows"> <extendedProtectionPolicy policyEnforcement="Always" /> </transport> <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" /> </security> <readerQuotas maxStringContentLength="131072" /> </binding> -
Разрешаване на Изискване на SSL, което ще разреши само HTTPS връзки.
Важно: След като изпълните горните стъпки, ще трябва да рестартирате IIS, за да заредите промените. За да рестартирате IIS, отворете команден прозорец с повишени права, въведете следната команда и след това натиснете КЛАВИША ENTER:
iisreset /restart
Забележка Тази команда спира всички IIS услуги, които се изпълняват, и след това ги рестартира.
Допълнително намаляване
В допълнение към основните предпазни мерки ви препоръчваме да забраните удостоверяването на NTLM, когато е възможно. Следните предпазни мерки са изброени по ред от по-защитени до по-малко защитени:
-
Забранете NTLM удостоверяването на вашия Windows домейнов контролер. Това може да се постигне, като следвате документацията в мрежовата защита: Ограничаване на NTLM: NTLM удостоверяване в този домейн.
-
Забраняване на NTLM на всички AD CS сървъри във вашия домейн с помощта на груповите правила Мрежова защита: Ограничаване на NTLM: Входящ NTLM трафик. За да конфигурирате този GPO, отворете груповите правила и отидете на Компютърна конфигурация –>Windows Настройки -> Защита Настройки -> Локални правила -> Опции за защита и задайте Защита на мрежата: Ограничаване на NTLM: Входящ NTLM трафик за отказване на всички акаунти или отказ на всички акаунти за домейни. Ако е необходимо, можете да добавите изключения, ако е необходимо, като използвате настройката Мрежова защита: Ограничаване на NTLM: Добавяне на изключения за сървъра в този домейн.
-
Забранете NTLM за Internet Information Services (IIS) на AD CS сървъри във вашия домейн, изпълняващи услугите "Записване в уеб на сертифициращ орган" или "Уеб услуга за записване на сертификати".
За да направите това, отворете потребителския интерфейс на IIS Manager, задайте Windows на Negotiate:Kerberos:
Важно: След като изпълните горните стъпки, ще трябва да рестартирате IIS, за да заредите промените. За да рестартирате IIS, отворете команден прозорец с повишени права, въведете следната команда и след това натиснете КЛАВИША ENTER:
iisreset /restart
Забележка Тази команда спира всички IIS услуги, които се изпълняват, и след това ги рестартира.
За повече информация вижте Microsoft Security Advisory ADV210003
