Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

Microsoft on teadlik PetitPotamist, mida saab potentsiaalselt kasutada Windows domeenikontrollerite või muude Windows ründamiseks. PetitPotam on klassikaline NTLM-i edastamisrünnak ja Microsoft on selliseid rünnakuid varem dokumenteerinud ning klientide kaitsmiseks on olemas palju leevendusvõimalusi. Näiteks: Microsoft Security Advisory 974926.  

NTLM-i levirünnakute vältimiseks võrkudes, kus NTLM on lubatud, peavad domeeni administraatorid tagama, et NTLM-autentimist lubavad teenused kasutaks selliseid kaitseid nagu laiendatud autentimiskaitse (EPA) või allkirjastamisfunktsioonid (nt SMB-allkirjastamine). PetitPotam kasutab ära servereid, kus Active Directory serditeenused (AD CS) pole konfigureeritud NTLM-releerünnete kaitsega. Allolevad leevendused aitavad klientidel kaitsta oma AD CS-servereid selliste rünnakute eest.   

Kui kasutate Active Directory sertimisteenuseid (AD CS) koos mõne järgmise teenusega, olete selle rünnaku suhtes potentsiaalselt haavatav. 

  • Sertimisasutuse veebiregistreerimine

  • Serdi registreerimise veebiteenus

Leevendamine

Kui teie keskkonda võib mõjutada, soovitame kasutada järgmisi leevendusi.

Primaarne leevendamine

Soovitame LUBADA EPA ja keelata HTTP AD CS-serverites. Avage Internet Information Services (IIS) Manager ja tehke järgmist.

  1. Luba EPA sertimisteenuse veebi registreerimiseks, nõutav on turvalisem ja soovitatavam suvand.

    Certificate Authority Web Enrollment dialog

  2. Luba EPA serdi registreerimise veebiteenuse jaoks, nõutav on turvalisem ja soovitatavam suvand:

    Certificate Enrollment Web Service dialog

    Pärast EPA lubamist kasutajaliideses peaks värskendama ka Web.config-faili, mille CES-i roll on <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config, lisades <extendedProtectionPolicy> väärtusega Kas Kuitagata või Alati, sõltuvalt ülalpool IIS-i kasutajaliideses valitud suvandist Laiendatud kaitse.

    Märkus.: Sätet Alati kasutatakse siis, kui kasutajaliidese väärtuseks on seatud Nõutav, mis on soovitatav ja kõige turvalisem suvand.

    Lisateavet laiendatudprotectionPolicysuvandite kohta leiate teemast <transport> <httpBinding>. Kõige tõenäolisemad sätted on järgmised.

    <binding name="TransportWithHeaderClientAuth">
     <security mode="Transport">
         <transport clientCredentialType="Windows">
         <extendedProtectionPolicy policyEnforcement="Always" />
         </transport>
         <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
     </security>
     <readerQuotas maxStringContentLength="131072" />
</binding>

  3. Luba nõua SSL-i,mis lubab ainult HTTPS-ühendused.

    HTTP

NB!: Pärast ülaltoodud juhiste lõpuleviimist peate muudatuste laadimiseks IIS-i taaskäivitama. IIS-i taaskäivitamiseks avage laiendatud käsuviiba aken, tippige järgmine käsk ja vajutage sisestusklahvi (ENTER):

iisreset /restart

Märkus. See käsk peatab kõik IIS-i teenused, mis töötavad, ja seejärel taaskäivitab need.

Täiendav leevendamine

Lisaks esmastele leevendustele soovitame võimaluse korral keelata NTLM-autentimine. Järgmised leevendusmeetmed on loetletud turvalisemast vähem turvaliseks.

  • Keelake NTLM-autentimine Windows domeenikontrolleris. Selleks tuleb järgida dokumentatsiooni jaotises Võrgu turve: Ntlm-i piiramine: NTLM-autentimine selles domeenis.

  • Keelake NTLM oma domeeni mis tahes AD CS-serverites, kasutades rühmapoliitikat Võrgu turve: Piira NTLM-i: sissetuleva NTLM-i liiklust. Selle GPO konfigureerimiseks avage rühmapoliitika ja valige Arvuti konfiguratsioon -> Windows Sätted -> Security Sätted -> Local Policies -> Security Options (Turbesuvandid) ja määrake Võrguturve: Piira NTLM-i: Sissetuleva NTLM-i liiklus keelab kõik kontod või Keela kõik domeenikontod.  Vajaduse korral saate vajaduse korral lisada erandeid, kasutades sätet Võrgu turve: Piira NTLM-i: lisage selles domeenis serveri erandid.

  • Keelake NTLM Internet Information Services (IIS) jaoks oma domeeni AD CS-serverites, kus töötab teenused "Certificate Authority Web Enrollment" või "Certificate Enrollment Web Service".

Selleks avage IIS-i halduri kasutajaliides, määrake Windows väärtuseks Negotiate:Kerberos: 

IIS-i halduri kasutajaliidese dialoogiboks

IIS-i halduri kasutajaliidese alternatiivvaade

NB!: Pärast ülaltoodud juhiste lõpuleviimist peate muudatuste laadimiseks IIS-i taaskäivitama. IIS-i taaskäivitamiseks avage laiendatud käsuviiba aken, tippige järgmine käsk ja vajutage sisestusklahvi (ENTER):

iisreset /restart

Märkus. See käsk peatab kõik IIS-i teenused, mis töötavad, ja seejärel taaskäivitab need.

Lisateavet leiate teemast Microsoft Security Advisory ADV210003

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×