Обобщена информация

CVE-2021-42291 адресира уязвимост на заобикаляне на защитата, която позволява на определени потребители да задават произволни стойности в атрибути, чувствителни към защитата, на определени обекти, съхранени в Active Directory (AD). За да използва тази уязвимост, потребителят трябва да има достатъчно привилегии, за да създаде компютърен акаунт, като например потребител, на който са дадени разрешения за CreateChild за компютърни обекти. Този потребител може да създаде компютърен акаунт с помощта на Протокол за достъп до указател (LDAP) Добавяне на повикване, което позволява много поверителен достъп до атрибута securityDescriptor. Освен това творците и собствениците могат да променят атрибутите, които са чувствителни към защитата, след като създадат акаунт.

Предпазните мерки в CVE-2021-42291 се състоят от:

  1. Допълнителна проверка на удостоверяването, когато потребители без права на администратор на домейн се опитват да използват операция за добавяне на LDAP за компютърен обект. Това включва режим на проверка по подразбиране, който проверява кога такива опити възникват, без да се намесвате в искането и в режим на изпълнение, който блокира такива опити.

  2. Временно премахване на привилегиите на имплицитния собственик, когато потребителите без права на администратор на домейн се опитват да променят LDAP операцията на атрибута securityDescriptor. Извършва се проверка, за да се потвърди дали на потребителя ще бъде позволено да записва дескриптора на защитата без имплицитните привилегии на собственик. Това включва и режим на проверка по подразбиране, който проверява кога такива опити възникват, без да се засяга искането и режим на изпълнение, който блокира такива опити.

Предприемане на действия

За да защитите вашата среда и да избегнете изтощаване, изпълнете следните стъпки:

  1. Актуализирайте всички устройства, които хостват ролята на домейнов контролер на Active Directory, като инсталирате актуализацията от 9 ноември 2021 г. Това ще внедри промените в режим на проверка по подразбиране.

  2. Наблюдавайте регистрационния файл на събитията на справочната услуга за събития 3044-3056 на домейн контролери, които имат актуализациите от 9 ноември 2021 г. или по-нови Windows, издадени преди програмния режим на изпълнение. Регистрираните събития показват, че потребителят може да има прекомерни привилегии за създаване на компютърни акаунти с произволни атрибути, чувствителни към защитата. Докладвайте за неочаквани сценарии на Microsoft с помощта на Unified Support premier или Unified Support или центъра за обратна връзка. (Пример за тези събития може да бъде намерен в секцията Новодобавено събитие.)

  3. Ако режимът на проверка не открива никакви неочаквани привилегии за достатъчен период от време, превключете на Режим на изпълнение, за да се уверите, че няма да възникнат отрицателни резултати. Докладвайте за неочаквани сценарии на Microsoft с помощта на Unified Support premier или Unified Support или центъра за обратна връзка.

                    Важно Режимът на изпълнение ще бъде включен по подразбиране в предстояща актуализация на или след 12 април 2022 г.

Време на Windows актуализации

Тези Windows актуализации ще бъдат издадени в две фази:

  1. Първоначално разполагане – Въведение в актуализацията, включително проверка по подразбиране, прилагане или забраняване на режими, които могат да се конфигурират с помощта на атрибута dSHeuristics.

  2. Окончателно разполагане – изпълнение по подразбиране и премахване на режима за забраняване.

                    Важно Режимът на изпълнение ще бъде включен по подразбиране в предстояща актуализация на или след 12 април 2022 г.

9 ноември 2021 г.: Първоначална фаза на разполагане

Първоначалната фаза на разполагане започва с актуализацията Windows, издадена на 9 ноември 2021 г. Това издание добавя проверка на разрешенията, зададени от потребители без права на администратор на домейн по време на създаването или модифицирането на компютър или получени от компютъра обекти. Освен това добавя режим "Изпълнение" и "Забрани". Можете да зададете режима глобално за всяка гора на Active Directory с помощта на атрибута dSHeuristics.

12 април 2022 г.: Окончателен етап на разполагане

Последната фаза на разполагане започва с Windows, издадена на или след 12 април 2022 г. (която трябва да бъде определена). Тази фаза ще промени режима на изпълнение по подразбиране и ще премахне режима забраняване.

Забележка Тази актуализация предполага, че всички домейн контролери се актуализират с актуализацията от 9 ноември 2021 г. или по-нова версия.

Указания за разполагане

Информация за конфигуриране на настройката

След инсталирането на CVE-2021-42291 знаците 27 и 28 от атрибута dSHeuristics контролират поведението на актуализацията. Атрибутът dSHeuristics съществува във всяка гора на Active Directory и съдържа настройки за цялата гора. Атрибутът dSHeuristics е атрибут на обекта "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". Вижте 6.1.1.2.4.1.2 dSHeuristics and DS-Heuristics attribute for more information.

Знак 27 – Допълнителни проверки на AuthZ за операции за добавяне на LDAP

0: Режимът проверка по подразбиране е разрешен. Регистрира се събитие, когато потребители без права на администратор на домейн задават securityDescriptor или други атрибути на стойности, които може да предоставят прекомерни разрешения, което може да позволи бъдеща експлоатация на нови обекти на AD, получени от компютъра.

1: Режимът на изпълнение е разрешен. Това не позволява на потребителите без права на администратор на домейн да задават защитнияdescriptor или други атрибути на стойности, които може да предоставят прекомерни разрешения за получени от компютър AD обекти. Когато това се случи, се регистрира и събитие.

2:   Забранява актуализираното проверяване и не налага допълнителната защита. Не се препоръчва.

Пример: Ако не сте имали други настройки за dSHeuristics, разрешени във вашата гора, и искате да превключите в режим на изпълнение за допълнителна проверка на AuthZ, атрибутът dSHeuristics трябва да бъде зададен на:

"000000000100000000020000001"

Знаците, които са зададени в този случай, са:
10-ти знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-ти знак: Трябва да бъде зададен на 2, ако атрибутът dSHeuristics е най-малко 20 знака
27-изнак: Трябва да бъде зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка на AuthZ

Знак 28 – Временно премахване на имплицитния собственик за операциите за модифициране на LDAP

0: Режимът проверка по подразбиране е разрешен. Събитие се записва, когато потребителите без права на администратор на домейн задават защитатаДекриптор на стойности, които може да предоставят прекалено големи разрешения, което може да позволи бъдеща експлоатация на съществуващи получени от компютър AD обекти.

1: Режимът на изпълнение е разрешен. Това не позволява на потребителите без права на администратор на домейн да задават securityDescriptor на стойности, които може да предоставят прекомерни разрешения за съществуващи, получени от компютър AD обекти. Когато това се случи, се регистрира и събитие.

2: Забранява актуализираното проверяване и не налага допълнителната защита. Не се препоръчва.

Пример: Ако сте имали флага за допълнителни проверки на AuthZ dsHeuristics, зададен във вашата гора и искате да превключите към режима на изпълнение за временно премахване на собствеността, атрибутът dSHeuristics трябва да бъде зададен на:

"0000000001000000000200000011"

Знаците, които са зададени в този случай, са:
10-ти знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-ти знак: Трябва да бъде зададен на 2, ако атрибутът dSHeuristics е най-малко 20 знака
27-изнак: Трябва да бъде зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка на AuthZ
28-изнак: Трябва да бъде зададено на 1, за да се разреши режим на изпълнение за временно премахване на собствеността

Новодобавени събития

Актуализацията от 9 ноември 2021 г. Windows ще добави и нови регистрационни файлове за събития.

Събития за промяна на режима – допълнителна проверка на authZ за операции за добавяне на LDAP

Събития, които възникват при промяна на 27-те бита на атрибута dSHeuristics, което променя режима на допълнителните проверки на AuthZ за частта за операциите за добавяне на LDAP от актуализацията.

Регистър на събитията

Справочни услуги

Тип събитие

Информационен

ИД на събитие

3050

Текст на събитие

Указателят е конфигуриран да налага удостоверяване за всеки атрибут по време на операциите за добавяне на LDAP.

Това е най-защитената настройка и не се изискват допълнителни действия.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3051

Текст на събитие

Справочната книга е конфигурирана да не налага удостоверяване за всеки атрибут по време на операциите за добавяне на LDAP. Ще се регистрират предупредителни събития, но никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените предпазни мерки във връзката по-долу.

Регистър на събитията

Справочни услуги

Тип събитие

Грешка

ИД на събитие

3052

Текст на събитие

Справочната книга е конфигурирана да не налага удостоверяване за всеки атрибут по време на операциите за добавяне на LDAP. Няма да се регистрират събития и никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените предпазни мерки във връзката по-долу.

Събития за промяна на режима – временно премахване на правата на имплицитния собственик

Събития, които възникват при промяна на 28-битова версия на атрибута dSHeuristics, което променя режима на временно премахване на частта с права на неистина на собственик на актуализацията.

Регистър на събитията

Справочни услуги

Тип събитие

Информационен

ИД на събитие

3053

Текст на събитие

Справочната книга е конфигурирана да блокира имплицитните привилегии на собственик при първоначално задаване или промяна на атрибута nTSecurityDescriptor по време на LDAP добавяне и промяна на операции.

Това е най-защитената настройка и не се изискват допълнителни действия.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3054

Текст на събитие

Справочната книга е конфигурирана така, че да позволява имплицидни привилегии на собственик при първоначално задаване или промяна на атрибута nTSecurityDescriptor по време на LDAP добавяне и промяна на операции. Ще се регистрират предупредителни събития, но никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. 

Регистър на събитията

Справочни услуги

Тип събитие

Грешка

ИД на събитие

3055

Текст на събитие

Справочната книга е конфигурирана така, че да позволява имплицидни привилегии на собственик при първоначално задаване или промяна на атрибута nTSecurityDescriptor по време на LDAP добавяне и промяна на операции. Няма да се регистрират събития и никакви искания няма да бъдат блокирани.

Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. 

Събития в режим на проверка

Събития, които възникват в режим на проверка, за да регистрират потенциални проблеми със защитата с операция за добавяне или промяна на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3047

Текст на събитие

Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини за защита.

Клиентът няма разрешение да записва един или повече атрибути, включени в искането за добавяне, въз основа на обединен дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създаден обект DN>

Клас на обекта: <обекта на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Security desc: <SD, който е бил опит за>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3048

Текст на събитие

Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини за защита.

Клиентът е включил атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение да пише една или повече части от новия дескриптор на защитата въз основа на обединен дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създаден обект DN>

Клас на обекта: <обекта на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3049

Текст на събитие

Справочната услуга откри искане за промяна на LDAP за следния обект, който обикновено би бил блокиран поради следните причини за защита.

Клиентът е включил атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение да пише една или повече части от новия дескриптор на защитата въз основа на обединен дескриптор на защитата по подразбиране.

Искането е разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата.

Обект DN: <създаден обект DN>

Клас на обекта: <обекта на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3056

Текст на събитие

Справочната услуга обработи заявка за атрибута sdRightsEffective на обекта, указан по-долу. Маската за върнат достъп включваше WRITE_DAC, но само защото указателят е конфигуриран да разрешава нелицензирани привилегии на собственик, което не е защитена настройка.

Обект DN: <създаден обект DN>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Режим на изпълнение – LDAP Добавяне на грешки

Събития, които възникват, когато е отказана операция за добавяне на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3044

Текст на събитие

Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, тъй като клиентът няма разрешение да записва един или повече атрибути, включени в искането за добавяне, въз основа на обединен дескриптор на защитата по подразбиране.

Обект DN: <създаден обект DN>

Клас на обекта: <обект на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Security desc: <SD, който е бил опит за>

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3045

Текст на събитие

Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, тъй като клиентът е включил атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение да пише една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране.

Обект DN: <създаден обект DN>

Клас на обекта: <обект на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Режим на изпълнение – LDAP промяна на грешки

Събития, които възникват, когато е отказана операция за промяна на LDAP.

Регистър на събитията

Справочни услуги

Тип събитие

Предупреждение

ИД на събитие

3046

Текст на събитие

Справочната услуга отказа искане за промяна на LDAP за следния обект. Искането е отказано, защото клиентът е включил атрибут nTSecurityDescriptor в искането за промяна, но няма изрично разрешение да пише една или повече части от новия дескриптор на защитата въз основа на съществуващия дескриптор на защитата на обекта.

Обект DN: <създаден обект DN>

Клас на обекта: <обект на обектаКласиране>

Потребител: <потребител, който се е опитал да добави LDAP>

IP адрес на клиента: <IP адреса на>

Често задавани въпроси

В1 Какво се случва, ако имам смес от домейнови контролери на Active Directory, които се актуализират и не се актуализират?

A1 Компютрите, които не са актуализирани, няма да регистрират събития, свързани с тази уязвимост.

В2 Какво трябва да направя за Read-Only домейн контролери (RODCs)?

A2 Нищо; Операциите за добавяне и промяна на LDAP не могат да бъдат насочени към RODCs.

Q3 Имам продукт или процес от друг страна, който е неуспешен след разрешаването на режима на изпълнение. Трябва ли да предоставям права на администратор на услугата или домейн на потребител?

A3 Обикновено не препоръчваме да добавяте услуга или потребител към групата Администратори на домейни като първо решение на този проблем. Прегледайте регистрационните файлове на събитията, за да видите какво е необходимо конкретно разрешение, и помислете за делегиране на подходящо ограничени права за този потребител в отделна организационна единица, определена за тази цел.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Доколко сте доволни от качеството на превода?
Какво е повлияло на вашия потребителски опит?

Благодарим ви за обратната връзка!

×