Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2016 Windows Server 2019 Windows Server 2012 R2 Windows Server 2012

Zusammenfassung

Microsoft ist sich der PetitPotam bewusst, die möglicherweise für Angriffe auf Windows-Domänencontroller oder andere Windows-Server verwendet werden kann. PetitPotam ist ein klassischer NTLM-Relayangriff, und solche Angriffe wurden zuvor von Microsoft zusammen mit zahlreichen Risikominderungsoptionen zum Schutz von Kunden dokumentiert. Beispiel: Microsoft-Sicherheitsempfehlung 974926.  

Um NTLM-Relayangriffe auf Netzwerke mit aktiviertem NTLM zu verhindern, müssen Domänenadministratoren sicherstellen, dass Dienste, die die NTLM-Authentifizierung zulassen, Schutzmaßnahmen wie erweiterter Schutz für die Authentifizierung (EPA) oder Signaturfunktionen wie SMB-Signatur nutzen. PetitPotam nutzt Server, auf denen Active Directory-Zertifikatdienste (ACTIVE Directory Certificate Services, AD CS) nicht mit Schutz für NTLM-Relayangriffe konfiguriert sind. Die folgenden Entschärfungen erläutern Kunden, wie sie ihre AD CS-Server vor solchen Angriffen schützen können.   

Sie sind potenziell anfällig für diesen Angriff, wenn Sie Active Directory Certificate Services (AD CS) mit einem der folgenden Dienste verwenden: 

  • Webregistrierung der Zertifizierungsstelle

  • Zertifikatregistrierungswebdienst

Risikominderung

Wenn Ihre Umgebung potenziell betroffen ist, empfehlen wir die folgenden Entschärfungen:

Primäre Entschärfung

Es wird empfohlen, EPA zu aktivieren und HTTP auf AD CS-Servern zu deaktivieren. Öffnen Sie den Internetinformationsdienste-Manager (IIS), und gehen Sie wie folgt vor:

  1. Aktivieren Sie EPA für die Webregistrierung der Zertifizierungsstelle. Erforderlich ist die sicherere und empfohlene Option:

    Dialogfeld "Zertifizierungsstelle-Webregistrierung"

  2. Aktivieren Sie EPA für den Zertifikatregistrierungswebdienst. Erforderlich ist die sicherere und empfohlene Option:Dialogfeld "Zertifikatregistrierungswebdienst" Nach dem Aktivieren von EPA auf der Benutzeroberfläche sollte die von der CES-Rolle unter <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config erstellte Web.config Datei aktualisiert werden, indem <extendedProtectionPolicy-> mit dem Wert "WhenSupported" oder " Immer abhängig von der option Erweiterter Schutz " hinzugefügt wird, die oben auf der IIS-Benutzeroberfläche ausgewählt wurde.

    Hinweis: Die Einstellung Immer wird verwendet, wenn die Benutzeroberfläche auf Erforderlich festgelegt ist. Dies ist die empfohlene und sicherste Option.

    Weitere Informationen zu den optionen, die für extendedProtectionPolicy verfügbar sind, finden Sie unter <transport> von <basicHttpBinding>. Die am häufigsten verwendeten Einstellungen sind wie folgt:

    <binding name="TransportWithHeaderClientAuth">
         <security mode="Transport">
             <transport clientCredentialType="Windows">
             <extendedProtectionPolicy policyEnforcement="Always" />
             </transport>
             <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
         </security>
         <readerQuotas maxStringContentLength="131072" />
    </binding>
    
  3. Aktivieren Sie SSL anfordern, wodurch nur HTTPS-Verbindungen aktiviert werden.HTTP

Wichtig: Nachdem Sie die oben genannten Schritte ausgeführt haben, müssen Sie IIS neu starten, um die Änderungen zu laden. Öffnen Sie zum Neustarten von IIS ein Eingabeaufforderungsfenster mit erhöhten Rechten, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:iisreset /restart. Hinweis Dieser Befehl beendet alle IIS-Dienste, die ausgeführt werden, und startet sie dann neu.

Zusätzliche Entschärfung

Zusätzlich zu den primären Entschärfungen empfiehlt es sich, die NTLM-Authentifizierung nach Möglichkeit zu deaktivieren. Die folgenden Risikominderungen sind in der Reihenfolge von sicherer bis weniger sicher aufgeführt:

Öffnen Sie dazu die IIS-Manager-Benutzeroberfläche, und legen Sie Windows-Authentifizierung auf Negotiate:Kerberos fest: 

Ansicht der IIS-Manager-Benutzeroberfläche (Dialogfeld)

Alternative Ansicht der IIS-Manager-Benutzeroberfläche

Wichtig: Nachdem Sie die oben genannten Schritte ausgeführt haben, müssen Sie IIS neu starten, um die Änderungen zu laden. Öffnen Sie zum Neustarten von IIS ein Eingabeaufforderungsfenster mit erhöhten Rechten, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:iisreset /restart. Hinweis Dieser Befehl beendet alle IIS-Dienste, die ausgeführt werden, und startet sie dann neu.

Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung ADV210003.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.