Преминаване към основното съдържание
Поддръжка
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Актуализирано на 15.12.2023 г. – премахната е окончателната фаза на разполагане

Резюме

CVE-2021-42291 обръща внимание на уязвимост при заобикаляне на защитата, която позволява на определени потребители да задават произволни стойности на чувствителни към защитата атрибути на определени обекти, съхранявани в Active Directory (AD). За да използва тази уязвимост, потребителят трябва да има достатъчно права за създаване на компютърен акаунт, като например потребител, дал разрешения CreateChild за компютърни обекти. Този потребител може да създаде компютърен акаунт с помощта на lightweight Directory Access Protocol (LDAP) Добавяне на повикване, което позволява прекалено погрешен достъп до атрибута securityDescriptor . Освен това създателите и собствениците могат да променят атрибутите, чувствителни към защитата, след като създадат акаунт.

Предпазните мерки в CVE-2021-42291 се състоят от:

  1. Допълнителна проверка за удостоверяване, когато потребители без права на администратор на домейн се опитват да извършат операция за добавяне на LDAP за обект, извлечен от компютър. Това включва режим "Проверка по подразбиране", който проверява кога възникват такива опити, без да пречи на искането, и режим на изпълнение, който блокира тези опити.

  2. Временно премахване на привилегиите на имплицитния собственик, когато потребители без права на администратор на домейн се опитват да извършат операция LDAP Modify на атрибута securityDescriptor . Извършва се проверка, за да се потвърди дали на потребителя ще бъде разрешено да пише дескриптор на защитата без неявни привилегии на собственик. Това включва и режим "Проверка по подразбиране", който проверява кога възникват такива опити, без да пречи на искането, и режим на изпълнение, който блокира тези опити.

Предприемане на действие

За да защитите вашата среда и да избегнете прекъсвания, изпълнете следните стъпки:

  1. Актуализирайте всички устройства, които хостват ролята на домейнов контролер на Active Directory, като инсталирате най-новите актуализации на Windows. Компютрите, които имат актуализациите от 9 ноември 2021 г. или по-нови, по подразбиране ще имат промените в режим на проверка.

  2. Следете регистъра на събитията на справочната услуга за 3044-3056 събития на домейнови контролери, които имат актуализации на Windows от 9 ноември 2021 г. или по-нови. Регистрираните събития показват, че потребителят може да има прекомерни привилегии за създаване на компютърни акаунти с произволни атрибути, чувствителни към защитата. Съобщете за неочаквани сценарии на Microsoft, като използвате случай от тип Premier или Unified Support или центъра за обратна връзка. (Пример за тези събития можете да намерите в раздела Новодобавени събития.)

  3. Ако режимът на проверка не открие неочаквани привилегии за достатъчно дълъг период от време, превключете в режим на изпълнение, за да се уверите, че няма да възникнат отрицателни резултати. Съобщете за неочаквани сценарии на Microsoft, като използвате случай от тип Premier или Unified Support или центъра за обратна връзка.

Време на актуализациите на Windows

Тези актуализации на Windows ще бъдат издадени на две фази:

  1. Първоначално разполагане – Въведение в актуализацията, включително режими "Проверка по подразбиране", "Прилагане" или "Забраняване", които могат да се конфигурират с помощта на атрибута dSHeuristics .

  2. Окончателно разполагане – прилагане по подразбиране.

9 ноември 2021 г.: Първоначална фаза на разполагане

Началната фаза на разполагане започва с актуализацията на Windows, издадена на 9 ноември 2021 г. Това издание добавя проверката на разрешенията, зададени от потребители без права на администратор на домейн по време на създаването или промяната на компютър или обекти, производни от компютър. Тя също така добавя Прилагане и Режим на забраняване. Можете да зададете режима глобално за всяка гора на Active Directory с помощта на атрибута dSHeuristics .

(Актуализирано на 15.12.2023 г.) Крайна фаза на разполагане

Последната фаза на разполагане може да започне, след като сте изпълнили стъпките, изброени в раздела Предприемане на действие. За да преминете към режим на изпълнение, следвайте инструкциите в раздела Указания за разполагане, за да зададете 28-ия и 29-я бит на атрибута dSHeuristics . След това наблюдавайте за събития 3044-3046. Те съобщават, когато режимът на изпълнение е блокирал операция за добавяне или модифициране на LDAP, която може преди това да е била разрешена в режим на проверка. 

Указания за разполагане

Задаване на информация за конфигурацията

След инсталиране на CVE-2021-42291 знаците 28 и 29 на атрибута dSHeuristics управляват поведението на актуализацията. Атрибутът dSHeuristics съществува във всяка гора на Active Directory и съдържа настройки за цялата гора. Атрибутът dSHeuristics е атрибут на обекта "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". За повече информация вж . 6.1.1.2.4.1.2 dSHeuristics и DS-Heuristics .

Character 28 – Допълнителни проверки на AuthZ за операции за добавяне на LDAP

0: Режимът "Проверка по подразбиране" е разрешен. Събитието се регистрира, когато потребители без права на администратор на домейн задават securityDescriptor или други атрибути на стойности, които могат да предоставят прекомерни разрешения, което потенциално позволява бъдеща експлоатация на нови компютърни производни AD обекти.

1: Режимът на прилагане е разрешен. Това не позволява на потребителите без права на администратор на домейн да настройват securityDescriptor или други атрибути на стойности, които могат да предоставят прекомерно разрешения за ad обекти, производни от компютъра. Събитие също се регистрира, когато това се случи.

2: Забранява актуализираната проверка и не налага допълнителната защита. Не се препоръчва.

Пример: Ако нямате други настройки за dSHeuristics, разрешени във вашата гора, и искате да превключите към режим на изпълнение за допълнителна проверка на AuthZ, атрибутът dSHeuristics трябва да бъде зададен на:

"0000000001000000000200000001"

Знаците, които са зададени в този случай, са:
10-и знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-и знак: Трябва да се зададе на 2, ако атрибутът dSHeuristics е поне 20 знака
28-и знак: Трябва да е зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка на AuthZ

Character 29 – Временно премахване на неявните операции "Собственик" за LDAP Modify

0: Режимът "Проверка по подразбиране" е разрешен. Събитие се регистрира, когато потребители без права на администратор на домейн настроят securityDescriptor на стойности, които могат да предоставят прекомерни разрешения, което потенциално позволява бъдеща експлоатация на съществуващи компютърни ad обекти.

1: Режимът на прилагане е разрешен. Това не позволява на потребителите без права на администратор на домейн да настройват securityDescriptor на стойности, които могат да предоставят прекомерно разрешения за съществуващи обекти ad, производни от компютъра. Събитие също се регистрира, когато това се случи.

2:Забранява актуализираната проверка и не налага допълнителната защита. Не се препоръчва.

Пример: Ако сте имали само флага dsHeuristics за проверки на допълнителни authZ във вашата гора и искате да превключите в режим на изпълнение за временно премахване на имплицитно премахване на собствеността, атрибутът dSHeuristics трябва да бъде зададен на:

"00000000010000000002000000011"

Знаците, които са зададени в този случай, са:
10-и знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-и знак: Трябва да се зададе на 2, ако атрибутът dSHeuristics е поне 20 знака
28-и знак: Трябва да е зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка
на AuthZ 29-и знак: Трябва да бъде зададено на 1, за да се разреши режим на изпълнение за временно неявно премахване на собственост

Новодобавени събития

Актуализацията на Windows от 9 ноември 2021 г. също ще добави нови регистри на събитията.

Събития за промяна на режима – допълнителна проверка на AuthZ за операции за добавяне на LDAP

Събития, които възникват, когато се променя бит 28 на атрибута dSHeuristics , което променя режима на допълнителни проверки на AuthZ за частта с операции за добавяне на LDAP от актуализацията.

Регистър на събитията

Справочни услуги

Тип събитие

Информационна

ИД на събитие

3050

Текст на събитие

Указателят е конфигуриран да налага удостоверяване по атрибут по време на операции за добавяне на LDAP.

Това е най-защитената настройка и не се изискват допълнителни действия.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3051

Текст на събитие

Указателят е конфигуриран да не налага удостоверяване за отделен атрибут по време на операции за добавяне на LDAP. Предупредителните събития ще бъдат регистрирани, но никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените смекчавания във връзката по-долу.

Регистър на събитията

Справочни услуги

Тип събитие

Грешка

ИД на събитие

3052

Текст на събитие

Указателят е конфигуриран да не налага удостоверяване за отделен атрибут по време на операции за добавяне на LDAP. Няма да се регистрират събития и никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените смекчавания във връзката по-долу.

Събития за промяна в режима – временно премахване на неявни права на собственик

Събития, които възникват, когато се променя бит 29 на атрибута dSHeuristics , което променя режима на временно премахване на частта с неявни права на собственик от актуализацията.

Регистър на събитията

Справочни услуги

Тип събитие

Информационна

ИД на събитие

3053

Текст на събитие

Директорията е конфигурирана да блокира неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP.

Това е най-защитената настройка и не се изискват допълнителни действия.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3054

Текст на събитие

Директорията е конфигурирана да позволява неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP. Предупредителните събития ще бъдат регистрирани, но никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. 

Регистър на събитията

Справочни услуги

Тип събитие

Грешка

ИД на събитие

3055

Текст на събитие

Директорията е конфигурирана да позволява неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP. Няма да се регистрират събития и никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. 

Събития в режима на проверка

Събития, които възникват в режим на проверка, за да регистрирате потенциални притеснения относно защитата с операция за добавяне или модифициране на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3047

Текст на събитие

Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата.

Клиентът няма разрешение да пише един или повече атрибути, включени в искането за добавяне, въз основа на обединения дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Код на защитата: <SD картата, за която е направен опит>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3048

Текст на събитие

Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата.

Клиентът включва атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение за писане на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3049

Текст на събитие

Справочната услуга откри искане за модифициране на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата.

Клиентът включва атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение за писане на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3056

Текст на събитие

Справочната услуга обработва заявка за атрибута sdRightsEffective на обекта, зададен по-долу. Върнатата маска за достъп е включена WRITE_DAC, но само защото указателят е конфигуриран да позволява неявни привилегии на собственик, което не е защитена настройка.

Обект DN: <създадено DN> на обекта

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Режим на изпълнение – неуспешно добавяне на LDAP

Събития, които възникват, когато е отказана операция за добавяне на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3044

Текст на събитие

Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, защото клиентът няма разрешение да пише един или повече атрибути, включени в искането за добавяне, въз основа на обединения дескриптор на защитата по подразбиране.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Код на защитата: <SD картата, за която е направен опит>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3045

Текст на събитие

Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, защото клиентът е включил атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение за записване на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Режим на изпълнение – неуспешни промени в LDAP Modify

Събития, които възникват, когато е отказана операция за модифициране на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3046

Текст на събитие

Справочната услуга отказа искане за модифициране на LDAP за следния обект. Искането е отказано, защото клиентът е включил атрибут nTSecurityDescriptor в искането за промяна, но няма изрично разрешение за записване на една или повече части от новия дескриптор на защитата въз основа на съществуващия дескриптор на защитата на обекта.

Обект DN: <създадено DN> на обекта

Клас на обекта: <създаден обект ObjectClass>

Потребител: <потребител, който е опитал LDAP да добави>

IP адрес на клиента: <IP адреса на искащия>

Често задавани въпроси

В1 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които се актуализират и не се актуализират?

A1 Компютрите, които не са актуализирани, няма да регистрират събития, свързани с тази уязвимост.

В2 Какво трябва да направя за Read-Only домейнови контролери (RODCs)?

A2 Нищо; Операциите за добавяне и модифициране на LDAP не могат да бъдат насочени към RODCs.

В3 Имам продукт или процес на трето лице, който е неуспешен след разрешаването на режима на прилагане. Трябва ли да дам правата на администратор на услугата или на потребителския домейн?

A3 Обикновено не препоръчваме добавянето на услуга или потребител към групата на администраторите на домейна като първо решение на този проблем. Прегледайте регистрите на събитията, за да видите какво се изисква конкретно разрешение, и помислете за делегиране на подходящо ограничени права за този потребител в отделна организационна единица, определена за тази цел.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×