Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Yhteenveto

Microsoft on tietoinen Mistä tahansa, jota voidaan mahdollisesti käyttää toimialueen ohjauskoneeseen Windows tai muihin Windows palvelimiin. AgentPotam on perinteinen NTLM:n välityshyökkäys, ja Microsoft on aiemmin dokumentoinut tällaisia hyökkäyksiä sekä useita riskien lieventämisvaihtoehtoja asiakkaiden suojaamiseksi. Esimerkki: Microsoft Security Advisory 974926.  

Jos haluat estää NTLM:n välityksen hyökkäykset verkoissa, joissa on käytössä NTLM, toimialueen järjestelmänvalvojien on varmistettava, että palvelut, jotka sallivat NTLM-todennuksen, käyttävät suojauksia, kuten EPA:n laajennettua suojausta tai allekirjoitustoimintoja, kuten SMB-allekirjoitusta. HakemistoPotam hyödyntää palvelimia, joissa Active Directory Certificate Services (AD CS) -palveluita ei ole määritetty NTLM:n välityshyökkäysten suojausten avulla. Alla olevat riskien lieventämiset on esitetty asiakkaille, miten AD CS -palvelimia voidaan suojata tällaisiin hyökkäyksiin.   

Olet mahdollisesti alttiina tälle hyökkäykselle, jos käytät Active Directory -varmennepalveluja (AD CS) jossakin seuraavista palveluista: 

  • Varmenteen myöntäjän Verkko-rekisteröinti

  • Varmenteiden rekisteröinti -verkkopalvelu

Riskien lieventäminen

Jos ympäristösi saattaa vaikuttaa, suosittelemme seuraavia vaikutuksia:

Ensisijainen riskien lieventäminen

On suositeltavaa ottaa EPA käyttöön ja poistaa HTTP käytöstä AD CS -palvelimissa. Avaa Internet Information Services (IIS) -hallinta ja tee seuraavat toimet:

  1. Ota EPA varmenteiden myöntäjän verkkorekisteröinti käyttöön. Tämä on turvallisempi ja suositeltava vaihtoehto:

    Varmenteen myöntäjän Www-rekisteröinti -valintaikkuna

  2. EPA:n käyttöönotto varmenteiden rekisteröinnin verkkopalvelussa Edellyttää turvallisempaa ja suositeltavampaa vaihtoehtoa:

    Varmenteen rekisteröinti -verkkopalvelun valintaikkuna

    Kun EPA on käytössä käyttöliittymässä, CES-roolin luoma Web.config-tiedosto < >\systemdata\CES\<CA:n nimi>_CES_Kerberos\web.configon päivitettävä myös lisäämällä<extendedProtectionPolicy>, jonka arvo on joko WhenSupported tai Always yllä olevassa IIS-käyttöliittymässä valitun laajennetun suojauksen mukaan.

    Huomautus:  Aina-asetusta käytetään, kun käyttöliittymän asetuksena on Pakollinen, joka on suositeltu ja turvallisin vaihtoehto.

    Lisätietoja extendedProtectionPolicy-vaihtoehdoistaon kohdassa<> <httpBinding>. Todennäköisimmät asetukset ovat seuraavat:

    <binding name="TransportWithHeaderClientAuth">
     <security mode="Transport">
         <transport clientCredentialType="Windows">
         <extendedProtectionPolicy policyEnforcement="Always" />
         </transport>
         <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
     </security>
     <readerQuotas maxStringContentLength="131072" />
</binding>

  3. Ota käyttöön Edellytä SSL:ää- asetus, joka ottaa käyttöön vain HTTPS-yhteydet.

    HTTP

Tärkeää: Kun olet suorittanut edellä kuvaukset, sinun on käynnistettävä IIS uudelleen muutosten lataamista varten. Käynnistä IIS uudelleen avaamalla järjestelmänvalvojan oikeuksin määritetty komentokehoteikkuna, kirjoittamalla seuraava komento ja painamalla sitten ENTER-näppäintä:

iisreset /restart

Huomautus Tämä komento pysäyttää kaikki käynnissä olevat IIS-palvelut ja käynnistää ne uudelleen.

Lisä lieventäminen

Ensisijaisten riskien lieventämisen lisäksi suosittelemme poistamaan NTLM-todennuksen käytöstä mahdollisuuksien mukaan. Seuraavat riskien lieventämiset on lueteltu turvallisesta vähemmän turvalliseen:

  • Poista NTLM-todennus käytöstä Windows toimialueen ohjauskoneessa. Tämän voi tehdä noudattamalla ohjeita kohdassa Verkon suojaus: Rajoita NTLM: NTLM-todennusta tässä toimialueessa.

  • Poista NTLM käytöstä toimialueesi KAIKISSA AD CS -palvelimissa ryhmäkäytännön Verkon suojaus: Rajoita NTLM:n saapuvaa NTLM-liikennettä. Jos haluat määrittää tämän ryhmäkäytäntöobjektin, avaa ryhmäkäytäntö ja valitse Tietokoneen määritykset ->Windows Asetukset -> Security Asetukset -> Local Policies -> Security Options ja määritä verkon suojaus: Rajoita NTLM:n saapuvaa NTLM-liikennettä niin, että se estää kaikki tilit tai estä kaikki toimialuetilit.  Tarvittaessa voit tarvittaessa lisätä poikkeuksia käyttämällä asetusta Verkon suojaus: Rajoita NTLM:tä: Lisää palvelimen poikkeuksia tähän toimialueeseen.

  • Poista NTLM käytöstä Internet Information Services (IIS) -palvelussa toimialueen AD CS -palvelimissa, joissa on käytössä Varmenteen myöntäjän verkko-rekisteröinti- tai Varmenteiden rekisteröinti -verkkopalvelu.

Avaa IIS Manager -käyttöliittymä asettamalla todennus Windows:Kerberos: 

IIS-hallintakäyttöliittymän valintaikkuna

IIS Manager -käyttöliittymän vaihtoehtoinen näkymä

Tärkeää: Kun olet suorittanut edellä kuvaukset, sinun on käynnistettävä IIS uudelleen muutosten lataamista varten. Käynnistä IIS uudelleen avaamalla järjestelmänvalvojan oikeuksin määritetty komentokehoteikkuna, kirjoittamalla seuraava komento ja painamalla sitten ENTER-näppäintä:

iisreset /restart

Huomautus Tämä komento pysäyttää kaikki käynnissä olevat IIS-palvelut ja käynnistää ne uudelleen.

Lisätietoja on kohdassa Microsoft Security Advisory ADV210003

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×