Sažetak

Microsoft je upoznat s programom PetitPotam koji se potencijalno može koristiti za Windows kontrolere domena ili druge Windows poslužitelje. PetitPotam je klasični NTLM Relay Attack, a takvi su napadi već dokumentirani od strane Microsofta zajedno s brojnim mogućnostima ublažavanja radi zaštite korisnika. Na primjer: Microsoft Security Advisory 974926.  

Da bi spriječili napade NTLM relaya na mrežama s omogućenim NTLM-om, administratori domena moraju osigurati da servisi koji omogućuju provjeru autentičnosti NTLM-om koriste zaštitu kao što su proširena zaštita za provjeru autentičnosti (EPA) ili značajke potpisivanja, kao što je potpisivanje SMB-a. PetitPotam koristi prednosti poslužitelja na kojima servis Active Directory Certificate Services (AD CS) nije konfiguriran sa zaštitom za NTLM Relay Attacks. Ublažavanja u nastavku korisnicima opisuju kako zaštititi svoje AD CS poslužitelje od takvih napada.   

Ako koristite Active Directory Certificate Services (AD CS) s bilo kojim od sljedećih servisa, možda ste podložni tom napadu: 

  • Web-registracija za izdavanje certifikata

  • Web-servis za prijavu certifikata

Ublažiti

Ako na vaše okruženje može utjecati, preporučujemo sljedeće ublažavanje:

Primarno smanjenje

Preporučujemo da omogućite EPA i onemogućite HTTP na AD CS poslužiteljima. Otvorite upravitelj Internet Information Services (IIS) i učinite sljedeće:

  1. Omogućite EPA za web-prijavu za izdavanje certifikata, obavezno je biti sigurnija i preporučena mogućnost:

    Dijaloški okvir Web-registracija za izdavanje certifikata

  2. OmogućiVANJE EPA-a za web-servis za prijavu certifikata, obavezno uz sigurniju i preporučenu mogućnost: Dijaloški okvir Web-servis za prijavu certifikata Kada omogućite EPA u korisničkom suglasju, Web.config datoteku koju je stvorio CES uloga na web-mjestu<%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config trebala bi se ažurirati i dodavanjem<extendedProtectionPolicy> skupa s vrijednošću bilo koje od mogućnosti WhenSupported ili Uvijek, ovisno o mogućnosti Proširena zaštita odabrana u prethodnom IIS korisničkom suglasju.

    Napomena: Postavka Uvijek koristi se kada je UI postavljen naObavezno , što je preporučena i najatrasnija mogućnost.

    Dodatne informacije o mogućnostima koje su dostupne za proširenuzaštitnupolitijupotražite u članku<transport> osnovne <httpbinding>. Najčešće korištene postavke su sljedeće:

    <binding name="TransportWithHeaderClientAuth">
         <security mode="Transport">
             <transport clientCredentialType="Windows">
             <extendedProtectionPolicy policyEnforcement="Always" />
             </transport>
             <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
         </security>
         <readerQuotas maxStringContentLength="131072" />
    </binding>
    
  3. Omogući potreban SSLkoji će omogućiti samo HTTPS veze.HTTP

Važno: Kada dovršite gore navedene korake, morat ćete ponovno pokrenuti IIS da biste učitali promjene. Da biste ponovno pokrenuli IIS, otvorite povišeni prozor naredbenog retka, upišite sljedeću naredbu, a zatim pritisnite ENTER: iisreset /restart Napomena Ta naredba zaustavlja sve pokrenute IIS servise, a zatim ih ponovno pokreće.

Dodatno smanjenje

Osim primarnih ublažavanja, preporučujemo da onemogućite provjeru autentičnosti NTLM-om kada je to moguće. Sljedeća ublažavanja navedena su u redoslijedu od sigurnije do manje sigurne:

Da biste to učinili, otvorite IIS Manager UI, postavite Windows provjere autentičnosti na Negotiate:Kerberos: 

Prikaz dijaloškog okvira UIS manager

Alternativni prikaz UI-ja upravitelja IIS-ja

Važno: Kada dovršite gore navedene korake, morat ćete ponovno pokrenuti IIS da biste učitali promjene. Da biste ponovno pokrenuli IIS, otvorite povišeni prozor naredbenog retka, upišite sljedeću naredbu, a zatim pritisnite ENTER: iisreset /restart Napomena Ta naredba zaustavlja sve pokrenute IIS servise, a zatim ih ponovno pokreće.

Dodatne informacije potražite u članku Microsoft Security Advisory ADV210003

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.