Opdateret 20-03-2024 – Tilføjede LDS-referencer
Sammendrag
CVE-2021-42291 afhjælper en sikkerhedsrisiko, der gør det muligt for visse brugere at angive vilkårlige værdier for sikkerhedsfølsomme attributter for bestemte objekter, der er gemt i Active Directory (AD) eller Lightweight Directory Service (LDS). For at udnytte denne sikkerhedsrisiko skal en bruger have tilstrækkelige rettigheder til at oprette et afledt computerobjekt, f.eks. en bruger, der har fået CreateChild-tilladelser til computerobjekter. Den pågældende bruger kan oprette en computerkonto ved hjælp af et LDAP (Lightweight Directory Access Protocol) Tilføj opkald, der giver overdreven adgang til attributten securityDescriptor . Desuden kan oprettelses- og ejere ændre sikkerhedsfølsomme attributter, når du har oprettet en konto. Dette kan udnyttes til at udføre en rettighedsudvidelse i visse scenarier.
BemærkLDS registrerer hændelserne 3050, 3053, 3051 og 3054 om status for implicit adgang til objekter, ligesom AD gør.
Afhjælpninger i CVE-2021-42291 består af:
-
Yderligere godkendelsesbekræftelse, når brugere uden domæne- eller LDS-administratorrettigheder forsøger at udføre en LDAP Add-handling for et computerafledt objekt. Dette omfatter tilstanden Overvågning som standard, der overvåger, når sådanne forsøg forekommer uden at forstyrre anmodningen, og en gennemtvingelsestilstand, der blokerer sådanne forsøg.
-
Midlertidig fjernelse af implicitte ejertilladelser, når brugere uden domæneadministratorrettigheder forsøger en LDAP-ændringshandling på attributten securityDescriptor . Der foretages en bekræftelse for at bekræfte, om brugeren har tilladelse til at skrive sikkerhedsbeskrivelsen uden implicitte ejerrettigheder. Dette omfatter også tilstanden Overvågning som standard, der overvåger, når sådanne forsøg forekommer uden at forstyrre anmodningen, og en gennemtvingelsestilstand, der blokerer sådanne forsøg.
Gør noget
For at beskytte dit miljø og undgå afbrydelser skal du udføre følgende trin:
-
Opdater alle enheder, der er vært for Active Directory-domænecontrolleren eller LDS-serverrollen, ved at installere de seneste Opdateringer til Windows. Domænecontrollere, der har opdateringerne fra d. 9. november 2021 eller nyere, har som standard ændringerne i overvågningstilstand.
-
Overvåg katalogtjenesten eller LDS-hændelsesloggen for 3044-3056-hændelser på domænecontrollere og LDS-servere, der har Windows-opdateringerne fra 9. november 2021 eller nyere. Logførte hændelser angiver, at en bruger kan have for mange rettigheder til at oprette computerkonti med vilkårlige sikkerhedsfølsomme attributter. Rapportér uventede scenarier til Microsoft ved hjælp af en Premier- eller Unified Support-sag eller Feedback Hub. (Et eksempel på disse hændelser kan findes i sektionen Nyligt tilføjede begivenheder).
-
Hvis overvågningstilstand ikke registrerer uventede rettigheder i et stykke tid, skal du skifte til gennemtvingelsestilstand for at sikre, at der ikke opstår negative resultater. Rapportér uventede scenarier til Microsoft ved hjælp af en Premier- eller Unified Support-sag eller Feedback Hub.
Tidsindstilling for Windows-opdateringer
Disse Windows-opdateringer frigives i to faser:
-
Første installation – Introduktion til opdateringen, herunder Audit-By-Default, Enforcement eller Disable modes configurable using the dSHeuristics attribute.
-
Endelig installation – gennemtvingelse som standard.
9. november 2021: Indledende installationsfase
Den indledende installationsfase starter med Windows-opdateringen, der blev udgivet d. 9. november 2021. Denne version tilføjer overvågning af tilladelser, der er angivet af brugere uden domæneadministratorrettigheder under oprettelse eller ændring af en computer eller computer-afledte objekter. Den tilføjer også en gennemtvingelses- og deaktiveringstilstand. Du kan angive tilstanden globalt for hver Active Directory-skov ved hjælp af attributten dSHeuristics .
(Opdateret 15-12-2023) Endelig installationsfase
Den endelige installationsfase kan starte, når du har fuldført de trin, der er angivet i afsnittet Gør noget. Hvis du vil flytte til gennemtvingelsestilstand, skal du følge vejledningen i afsnittet Installationsvejledning for at angive 28. og 29. bit på dSHeuristics-attributten . Hold derefter øje med hændelserne 3044-3046. De rapporterer, når gennemtvingelsestilstand har blokeret en LDAP-tilføjelses- eller ændringshandling, der tidligere kunne have været tilladt i overvågningstilstand.
Installationsvejledning
Indstilling af konfigurationsoplysninger
Når du har installeret CVE-2021-42291, styrer tegn 28 og 29 af attributten dSHeuristics funktionsmåden for opdateringen. Attributten dSHeuristics findes i hver Active Directory-skov og indeholder indstillinger for hele skoven. Attributten dSHeuristics er en attribut for objektet "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) eller "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Se 6.1.1.2.4.1.2 dSHeuristics - og DS-Heuristics-attributten for at få flere oplysninger.
Tegn 28 – Yderligere godkendelser for LDAP Add-handlinger
0: Overvågning som standard-tilstand er aktiveret. En hændelse logføres, når brugere uden domæneadministratorrettigheder indstiller securityDescriptor eller andre attributter til værdier, der kan give for mange tilladelser, hvilket potentielt giver mulighed for fremtidig udnyttelse, på nye computer-afledte AD-objekter.
1: Gennemtvingelsestilstand er aktiveret. Dette forhindrer brugere uden domæneadministratorrettigheder i at indstille securityDescriptor eller andre attributter til værdier, der kan give for mange tilladelser på computer-afledte AD-objekter. En hændelse logføres også, når dette sker.
2: Deaktiverer den opdaterede overvågning og gennemtvinger ikke den ekstra sikkerhed. Anbefales ikke.
Eksempel: Hvis du ikke havde andre dSHeuristics-indstillinger aktiveret i din skov, og du vil skifte til gennemtvingelsestilstand for yderligere godkendelse, skal attributten dSHeuristics være indstillet til:
"0000000001000000000200000001"
De tegn, der er angivet i dette tilfælde, er: 10. tegn : Skal angives til 1, hvis attributten dSHeuristics er mindst 10 tegn 20. tegn: Skal være indstillet til 2, hvis attributten dSHeuristics er mindst 20 tegn 28. tegn: Skal være indstillet til 1 for at aktivere gennemtvingelsestilstand for yderligere godkendelsesgodkendelseTegn 29 – Midlertidig fjernelse af implicit ejer for LDAP-redigeringshandlinger
0: Overvågning som standard-tilstand er aktiveret. En hændelse logføres, når brugere uden domæneadministratorrettigheder indstiller securityDescriptor til værdier, der kan give for mange tilladelser, hvilket potentielt giver mulighed for fremtidig udnyttelse, på eksisterende computer-afledte AD-objekter.
1: Gennemtvingelsestilstand er aktiveret. Dette forhindrer brugere uden domæneadministratorrettigheder i at indstille securityDescriptor til værdier, der kan give for mange tilladelser på eksisterende computer-afledte AD-objekter. En hændelse logføres også, når dette sker.
2:Deaktiverer den opdaterede overvågning og gennemtvinger ikke den ekstra sikkerhed. Anbefales ikke.
Eksempel: Hvis du kun havde flaget Additional AuthZ verifications dsHeuristics angivet i din skov, og du vil skifte til gennemtvingelsestilstand for midlertidig fjernelse af implicit ejerskab, skal attributten dSHeuristics være indstillet til:
"00000000010000000002000000011"
De tegn, der er angivet i dette tilfælde, er: 10. tegn: Skal være indstillet til 1, hvis attributten dSHeuristics er mindst 10 tegn 20. tegn: Skal være indstillet til 2, hvis attributten dSHeuristics er mindst 20 tegn 28. tegn: Skal være indstillet til 1 for at aktivere gennemtvingelsestilstand for yderligere godkendelsesgodkendelse 29. tegn: Skal være indstillet til 1 for at aktivere gennemtvingelsestilstand for midlertidig fjernelse af implicit ejerskabNyligt tilføjede begivenheder
Windows-opdateringen fra 9. november 2021 tilføjer også nye hændelseslogge.
Tilstandsændringshændelser – Yderligere godkendelsesbekræftelse for LDAP Add-handlinger
Hændelser, der opstår, når bit 28 af dSHeuristics-attributten ændres, hvilket ændrer tilstanden for yderligere godkendelser for LDAP Add-handlingsdelen af opdateringen.
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Informative |
Hændelses-id |
3050 |
Hændelsestekst |
Mappen er konfigureret til at gennemtvinge godkendelse pr. attribut under LDAP-tilføjelseshandlinger. Dette er den mest sikre indstilling, og der kræves ingen yderligere handling. |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3051 |
Hændelsestekst |
Mappen er konfigureret til ikke at gennemtvinge godkendelse pr. attribut under LDAP-tilføjelseshandlinger. Advarselshændelser logføres, men ingen anmodninger blokeres. Denne indstilling er ikke sikker og bør kun bruges som et midlertidigt fejlfindingstrin. Gennemse de foreslåede afhjælpninger i linket nedenfor. |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Fejl |
Hændelses-id |
3052 |
Hændelsestekst |
Mappen er konfigureret til ikke at gennemtvinge godkendelse pr. attribut under LDAP-tilføjelseshandlinger. Der logføres ingen hændelser, og ingen anmodninger blokeres. Denne indstilling er ikke sikker og bør kun bruges som et midlertidigt fejlfindingstrin. Gennemse de foreslåede afhjælpninger i linket nedenfor. |
Tilstandsændringshændelser – midlertidig fjernelse af implicitte ejerrettigheder
Hændelser, der opstår, når bit 29 af dSHeuristics-attributten ændres, hvilket ændrer tilstanden for midlertidig fjernelse af implicitte ejerrettigheder i opdateringen.
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Informative |
Hændelses-id |
3053 |
Hændelsestekst |
Mappen er konfigureret til at blokere implicitte ejertilladelser, når du først angiver eller ændrer attributten nTSecurityDescriptor under LDAP-tilføjelses- og redigeringshandlinger. Dette er den mest sikre indstilling, og der kræves ingen yderligere handling. |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3054 |
Hændelsestekst |
Mappen er konfigureret til at tillade implicitte ejertilladelser, når du første gang angiver eller ændrer attributten nTSecurityDescriptor under LDAP-tilføjelses- og redigeringshandlinger. Advarselshændelser logføres, men ingen anmodninger blokeres. Denne indstilling er ikke sikker og bør kun bruges som et midlertidigt fejlfindingstrin. |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Fejl |
Hændelses-id |
3055 |
Hændelsestekst |
Mappen er konfigureret til at tillade implicitte ejertilladelser, når du første gang angiver eller ændrer attributten nTSecurityDescriptor under LDAP-tilføjelses- og redigeringshandlinger. Der logføres ingen hændelser, og ingen anmodninger blokeres. Denne indstilling er ikke sikker og bør kun bruges som et midlertidigt fejlfindingstrin. |
Hændelser i overvågningstilstand
Hændelser, der opstår i overvågningstilstand for at logføre potentielle sikkerhedsproblemer med en LDAP Add- eller Modify-handling.
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3047 |
Hændelsestekst |
Katalogtjenesten har registreret en LDAP-anmodning om at tilføje følgende objekt, som normalt ville være blevet blokeret af følgende sikkerhedsmæssige årsager. Klienten havde ikke tilladelse til at skrive en eller flere attributter, der er inkluderet i anmodningen om at tilføje, baseret på den standardflettede sikkerhedsbeskrivelse. Anmodningen fik tilladelse til at fortsætte, fordi mappen i øjeblikket er konfigureret til kun at være i overvågningstilstand for denne sikkerhedskontrol. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> Sikkerhedsdesc: <den SD, der blev forsøgt> |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3048 |
Hændelsestekst |
Katalogtjenesten har registreret en LDAP-anmodning om at tilføje følgende objekt, som normalt ville være blevet blokeret af følgende sikkerhedsmæssige årsager. Klienten inkluderede en nTSecurityDescriptor-attribut i tilføjelsesanmodningen, men havde ikke udtrykkelig tilladelse til at skrive en eller flere dele af den nye sikkerhedsbeskrivelse baseret på den flettede standardsikkerhedsbeskrivelse. Anmodningen fik tilladelse til at fortsætte, fordi mappen i øjeblikket er konfigureret til kun at være i overvågningstilstand for denne sikkerhedskontrol. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3049 |
Hændelsestekst |
Katalogtjenesten har registreret en LDAP-ændringsanmodning for følgende objekt, der normalt ville være blevet blokeret af følgende sikkerhedsmæssige årsager. Klienten inkluderede en nTSecurityDescriptor-attribut i tilføjelsesanmodningen, men havde ikke udtrykkelig tilladelse til at skrive en eller flere dele af den nye sikkerhedsbeskrivelse baseret på den flettede standardsikkerhedsbeskrivelse. Anmodningen fik tilladelse til at fortsætte, fordi mappen i øjeblikket er konfigureret til kun at være i overvågningstilstand for denne sikkerhedskontrol. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3056 |
Hændelsestekst |
Katalogtjenesten behandlede en forespørgsel for attributten sdRightsEffective på det objekt, der er angivet nedenfor. Den returnerede adgangsmaske inkluderede WRITE_DAC, men kun fordi mappen er konfigureret til at tillade implicitte ejertilladelser, som ikke er en sikker indstilling. Objekt DN: <oprettede objekts DN-> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> |
Gennemtvingelsestilstand – LDAP-tilføjelsesfejl
Hændelser, der opstår, når en LDAP Add-handling nægtet.
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3044 |
Hændelsestekst |
Katalogtjenesten afviste en LDAP-tilføjelsesanmodning for følgende objekt. Anmodningen blev afvist, fordi klienten ikke havde tilladelse til at skrive en eller flere attributter inkluderet i anmodningen om tilføjelse baseret på den flettede standardsikkerhedsbeskrivelse. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> Sikkerhedsdesc: <den SD, der blev forsøgt> |
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3045 |
Hændelsestekst |
Katalogtjenesten afviste en LDAP-tilføjelsesanmodning for følgende objekt. Anmodningen blev afvist, fordi klienten inkluderede en nTSecurityDescriptor-attribut i tilføjelsesanmodningen, men ikke havde udtrykkelig tilladelse til at skrive en eller flere dele af den nye sikkerhedsbeskrivelse baseret på den flettede standardsikkerhedsbeskrivelse. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> |
Gennemtvingelsestilstand – LDAP-ændringsfejl
Hændelser, der opstår, når en LDAP-redigeringshandling nægtet.
Hændelseslog |
Katalogtjenester |
Hændelsestype |
Advarsel |
Hændelses-id |
3046 |
Hændelsestekst |
Katalogtjenesten afviste en LDAP-ændringsanmodning for følgende objekt. Anmodningen blev afvist, fordi klienten inkluderede en nTSecurityDescriptor-attribut i ændringsanmodningen, men ikke havde udtrykkelig tilladelse til at skrive en eller flere dele af den nye sikkerhedsbeskrivelse baseret på objektets eksisterende sikkerhedsbeskrivelse. Objekt DN: <oprettede objekts DN-> Objektklasse: <oprettede objekts objektClass> Bruger: <bruger, der forsøgte at tilføje> LDAP Klient-IP-adresse: <anmoderens ip-adresse> |
Ofte stillede spørgsmål
Q1 Hvad sker der, hvis jeg har en blanding af Active Directory-domænecontrollere, der opdateres og ikke opdateres?
A1 De pc'er, der ikke opdateres, logføres ikke hændelser, der er relateret til denne sikkerhedsrisiko.
Q2 Hvad skal jeg gøre for Read-Only domænecontrollere (RODCs)?
A2 Intet; Handlingerne LDAP Add og Modify kan ikke målrettes mod RODCs.
Q3 Jeg har et tredjepartsprodukt eller en proces, der mislykkes efter aktivering af gennemtvingelsestilstand. Skal jeg tildele administratorrettigheder til tjenesten eller brugerdomænet?
A3 Vi anbefaler generelt ikke, at du føjer en tjeneste eller bruger til gruppen Domæneadministratorer som den første løsning på dette problem. Undersøg hændelseslogfilerne for at se, hvilken specifik tilladelse der er påkrævet, og overvej at uddelegere passende begrænsede rettigheder for den pågældende bruger på en separat organisationsenhed, der er udpeget til dette formål.
Q4 Jeg kan se overvågningshændelser også for LDS-servere. Hvorfor sker dette?
A4Alt ovenstående gælder også for AD LDS, selvom det er meget usædvanligt at have computerobjekter i LDS. Afhjælpningstrinnene skal også udføres for at aktivere beskyttelsen for AD LDS, når overvågningstilstand ikke registrerer uventede rettigheder.