Összefoglalás

A Microsoft ismeri a PetitPotamot, amely potenciálisan a tartományvezérlők Windows vagy más Windows támadására használható. A PetitPotam egy klasszikus NTLM-továbbító támadás, amelyet korábban a Microsoft dokumentált, számos kezelési lehetőséggel együtt. Például: Microsoft biztonsági tanácsadó 974926.  

Az NTLM-továbbítási támadások megelőzéséhez a tartománygazdáknak gondoskodniuk kell arról, hogy az NTLM-hitelesítést engedélyező szolgáltatások olyan szolgáltatásokat használjanak, mint az EPA (Extended Protection for Authentication) vagy az aláírási funkciók, például az SMB-aláírás. A PetitPotam kihasználja az olyan kiszolgálókat, amelyeken az Active Directory tanúsítványszolgáltatás (AD CS) nincs konfigurálva az NTLM-továbbító támadások elleni védelemmel. Az alábbi megoldások azt ismertetik, hogy az ügyfelek hogyan védik meg az AD CS-kiszolgálójukat az ilyen támadásokkal szemben.   

Az Active Directory tanúsítványszolgáltatást (AD CS) az alábbi szolgáltatások bármelyikével használva potenciálisan ki van téve ennek a támadásnak: 

  • Hitelesítésszolgáltató webes regisztrációja

  • Tanúsítványregisztrációs webszolgáltatás

Megoldás

Ha az Ön környezete potenciálisan érintett, az alábbi megoldások használatát javasoljuk:

Elsődleges kezelési megoldás

Azt javasoljuk, hogy kapcsolja be az EPA protokollt, és tiltsa le a HTTP protokollt az AD CS-kiszolgálókon. Nyissa meg Internet Information Services (IIS) kezelőt, és tegye a következőket:

  1. Enable EPA for Certificate Authority Web Enrollment, Required being the more secure and recommended option:

    A Hitelesítésszolgáltató webregisztrációs párbeszédpanelje

  2. Enable EPA for Certificate Enrollment Web Service, Required being the more secure and recommended option:

    Certificate Enrollment Web Service dialog

    Miután engedélyezte az EPA-t a felhasználói felületen, <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config helyen létrehozott Web.config-fájlt is frissíteni kell egy extendedProtectionPolicy> értékkel, amelynek értéke<fenti IIS felhasználói felületének Bővített védelem beállításától függően<WhenSupported vagy Always.

    Megjegyzés: A Mindig beállítást akkor használja a rendszer, ha a felhasználói felület Kötelező beállításra van állítva, ez az ajánlott és legbiztonságosabb beállítás.

    A extendedProtectionPolicyelérhető beállításairól további információt az ÁltalánoshttpBinding<> <httpBinding>. A leggyakrabban használt beállítások az alábbiak:

    <binding name="TransportWithHeaderClientAuth">
         <security mode="Transport">
             <transport clientCredentialType="Windows">
             <extendedProtectionPolicy policyEnforcement="Always" />
             </transport>
             <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
         </security>
         <readerQuotas maxStringContentLength="131072" />
    </binding>
    
  3. Engedélyezze az SSL-kapcsolat megkövetelésebeállítását, amely csak a HTTPS-kapcsolatokat engedélyezi.

    HTTP

Fontos: A fenti lépések elvégzése után újra kell indítania az IIS-t a módosítások betöltéséhez. Az IIS újraindításához nyisson meg egy rendszergazda jogú parancssorablakot, írja be a következő parancsot, majd nyomja le az ENTER billentyűt:

iisreset /restart

Megjegyzés:
Ez a parancs leállítja az összes futó IIS-szolgáltatást, majd újraindítja őket.

További kezelési lehetőségek

Az elsődleges kezelési megoldások mellett azt javasoljuk, hogy lehetőség szerint tiltsa le az NTLM-hitelesítést. A következő kezelési lehetőségeket soroljuk fel a biztonságosabbtól a kevésbé biztonságos megoldáshoz sorrendben:

  • Tiltsa le az NTLM-hitelesítést Windows tartományvezérlőn. Ezt a Következő hálózati biztonság: NTLM: NTLM-hitelesítéskorlátozása ebben a tartománybancímű dokumentumban tudja elvégezni.

  • Tiltsa le az NTLM-et a tartomány bármelyik AD CS-kiszolgálója esetén a Következő csoportházirend: Az NTLM korlátozása: Bejövő NTLM-forgalom. A csoportházirend beállításához nyissa meg a csoportházirendet, és nyissa meg a Számítógép konfigurációja ->Windows Gépház -> Security Gépház -> Local Policies -> Security Options (Helyi házirendek ) lehetőséget, és állítsa be a Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom elutasítása vagy Az összes tartományfiók elutasítása lehetőséget.  Szükség esetén szükség szerint felvehet kivételeket a Következő hálózatbiztonság beállítással: NTLM korlátozása:Kiszolgálói kivételek hozzáadása ebben a tartományban.

  • Tiltsa le az NTLM-Internet Information Services (IIS) szolgáltatást a tartomány "Hitelesítésszolgáltatói webregisztráló" vagy "Tanúsítványregisztráló webszolgáltatás" szolgáltatását futtató AD CS-kiszolgálókon.

Az IIS Manager felhasználói felületének megnyitásához állítsa be a hitelesítést Windows: Kerberos: 

Az IIS-kezelő felhasználói felületének nézete párbeszédpanel

Az IIS Manager felhasználói felületének helyettesítő nézete

Fontos: A fenti lépések elvégzése után újra kell indítania az IIS-t a módosítások betöltéséhez. Az IIS újraindításához nyisson meg egy rendszergazda jogú parancssorablakot, írja be a következő parancsot, majd nyomja le az ENTER billentyűt:

iisreset /restart

Megjegyzés:
Ez a parancs leállítja az összes futó IIS-szolgáltatást, majd újraindítja őket.

További információ: Microsoft biztonsági tanácsadó ADV210003

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük a visszajelzését!

×