Frissítve: 2024. 03. 20. – LDS-hivatkozások hozzáadva
Összefoglalás
A CVE-2021-42291 egy biztonsági megkerülő biztonsági rést old meg, amely lehetővé teszi bizonyos felhasználók számára, hogy tetszőleges értékeket állítsanak be az Active Directoryban (AD) vagy lightweight directory szolgáltatásban (LDS) tárolt bizonyos objektumok biztonsági szempontból érzékeny attribútumaira. A biztonsági rés kihasználásához a felhasználónak megfelelő jogosultságokkal kell rendelkeznie egy számítógépből származtatott objektum létrehozásához, például egy felhasználó CreateChild engedélyekkel kell rendelkeznie a számítógép-objektumokhoz. Ez a felhasználó létrehozhat egy számítógépfiókot egy Lightweight Directory Access Protocol (LDAP) Add hívással, amely túlzottan megengedő hozzáférést biztosít a securityDescriptor attribútumhoz. Emellett a létrehozók és a tulajdonosok módosíthatják a biztonsági szempontból érzékeny attribútumokat a fiók létrehozása után. Ez bizonyos helyzetekben jogosultságszint-emelés végrehajtására használható.
MegjegyzésAz LDS az AD-hez hasonlóan naplózza a 3050-as, 3053-as, 3051-ös és 3054-as eseményeket az objektumokhoz való implicit hozzáférés állapotáról.
A CVE-2021-42291-ben a kockázatcsökkentések a következőkből állnak:
-
További engedélyezési ellenőrzés, ha a tartomány- vagy LDS-rendszergazdai jogosultságokkal nem rendelkező felhasználók megkísérelnek LDAP-hozzáadási műveletet végrehajtani egy számítógép által származtatott objektumhoz. Ez magában foglal egy alapértelmezett naplózási módot, amely naplóz, ha ilyen kísérlet történik anélkül, hogy zavarná a kérést, és egy kényszerítési mód, amely blokkolja az ilyen kísérleteket.
-
Az implicit tulajdonosi jogosultságok ideiglenes eltávolítása, ha a tartományi rendszergazdai jogosultságokkal nem rendelkező felhasználók ldAP-módosítási műveletet kísérelnek meg a securityDescriptor attribútumon. Egy ellenőrzés ellenőrzi, hogy a felhasználónak engedélyezve lenne-e a biztonsági leíró írása implicit tulajdonosi jogosultságok nélkül. Ez magában foglal egy alapértelmezett naplózási módot is, amely naplóz, ha ilyen kísérlet történik anélkül, hogy zavarná a kérést, és egy kényszerítési mód, amely blokkolja az ilyen kísérleteket.
Művelet végrehajtása
A környezet védelme és a szolgáltatáskimaradások elkerülése érdekében hajtsa végre az alábbi lépéseket:
-
Frissítse az Active Directory-tartományvezérlő vagy LDS-kiszolgáló szerepkört futtató összes eszközt a legújabb Windows-frissítések telepítésével. A 2021. november 9-i vagy újabb frissítéssel rendelkező nic-k alapértelmezés szerint naplózási módban módosítják a módosításokat.
-
A Címtárszolgáltatás vagy LDS eseménynaplójának figyelése a 3044–3056-os eseményekhez azon tartományvezérlők és LDS-kiszolgálók esetében, amelyeken a Windows 2021. november 9-i vagy újabb frissítései találhatók. A naplózott események azt jelzik, hogy a felhasználó túlzott jogosultságokkal rendelkezhet tetszőleges biztonsági szempontból érzékeny attribútumokkal rendelkező számítógépfiókok létrehozásához. Jelentse a váratlan forgatókönyveket a Microsoftnak premier vagy egyesített támogatási eset vagy a Visszajelzési központ használatával. (Ezekre az eseményekre az Újonnan hozzáadott események szakaszban talál példát.)
-
Ha a naplózási mód nem észlel megfelelő ideig váratlan jogosultságokat, váltson kényszerítési módra, hogy ne történjen negatív eredmény. Jelentse a váratlan forgatókönyveket a Microsoftnak premier vagy egyesített támogatási eset vagy a Visszajelzési központ használatával.
A Windows-frissítések időzítése
Ezek a Windows-frissítések két fázisban jelennek meg:
-
Kezdeti üzembe helyezés – A frissítés bemutatása, beleértve a dSHeuristics attribútummal konfigurálható naplózási, kényszerítési vagy letiltási módokat.
-
Végső üzembe helyezés – Kényszerítés alapértelmezés szerint.
2021. november 9.: Kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis a 2021. november 9-én kiadott Windows-frissítéssel kezdődik. Ez a kiadás hozzáadja a tartományi rendszergazdai jogosultságokkal nem rendelkező felhasználók által beállított engedélyek naplózását a számítógép vagy a számítógép által származtatott objektumok létrehozása vagy módosítása során. Emellett egy kényszerítési és egy letiltási módot is hozzáad. A módot globálisan beállíthatja minden Active Directory-erdőhöz a dSHeuristics attribútummal.
(Frissítve: 2023. 12. 15.) Végső üzembe helyezési fázis
A végső üzembe helyezési fázis a Művelet végrehajtása szakaszban felsorolt lépések elvégzése után kezdődhet. A kényszerítési módra való váltáshoz kövesse az Üzembe helyezési útmutató szakaszban található utasításokat a dSHeuristics attribútum 28. és 29. bitjének beállításához. Ezután figyelje a 3044-3046-os eseményeket. Jelentést tesznek arról, ha a kényszerítési mód letiltott egy LDAP hozzáadási vagy módosítási műveletet, amely korábban naplózási módban engedélyezve lehetett.
Üzembe helyezési útmutató
Konfigurációs adatok beállítása
A CVE-2021-42291 telepítése után a dSHeuristics attribútum 28. és 29. karaktere szabályozza a frissítés viselkedését. A dSHeuristics attribútum minden Active Directory-erdőben megtalálható, és a teljes erdő beállításait tartalmazza. A dSHeuristics attribútum a "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) vagy a "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) objektum attribútuma. További információt a 6.1.1.2.4.1.2 dSHeuristics and DS-Heuristics attribútumban talál.
28. karakter – További hitelesítésiZ-ellenőrzések LDAP-hozzáadási műveletekhez
0: Az alapértelmezett naplózási mód engedélyezve van. A rendszer akkor naplóz egy eseményt, ha a tartományi rendszergazdai jogosultságokkal nem rendelkező felhasználók a securityDescriptor vagy más attribútumokat olyan értékekre állítják be, amelyek túlzott engedélyeket biztosíthatnak, ami potenciálisan lehetővé teszi a jövőbeli kihasználtságokat az új, számítógéppel származtatott AD-objektumokon.
1: A kényszerítési mód engedélyezve van. Ez megakadályozza, hogy a tartományi rendszergazdai jogosultsággal nem rendelkező felhasználók a securityDescriptor vagy más attribútumokat olyan értékekre állítsa be, amelyek túlzott engedélyeket adhatnak a számítógép által származtatott AD-objektumokhoz. A rendszer naplóz egy eseményt is, amikor ez történik.
2: Letiltja a frissített naplózást, és nem kényszeríti ki a hozzáadott biztonságot. Nem ajánlott.
Példa: Ha az erdőben nem volt más dSHeuristics beállítás engedélyezve, és a további hitelesítéshez kényszerítési módra szeretne váltani, a dSHeuristics attribútumnak a következőre kell állítania:
"0000000001000000000200000001"
Az ebben az esetben beállított karakterek a következők:
10. karakter: 1 értékre kell állítani, ha a dSHeuristics attribútum legalább 10 karakterből
áll
20. karakter: 2-re kell állítani, ha a dSHeuristics attribútum legalább 20 karakter
28. karakter: A kényszerítési mód engedélyezéséhez 1-et kell beállítani a további hitelesítés ellenőrzéséhez
29. karakter – Az LDAP-módosítási műveletek implicit tulajdonosának ideiglenes eltávolítása
0: Az alapértelmezett naplózási mód engedélyezve van. A rendszer akkor naplóz egy eseményt, ha a tartományi rendszergazdai jogosultságokkal nem rendelkező felhasználók olyan értékekre állítják be a securityDescriptor leírót, amelyek túlzott engedélyeket biztosíthatnak, ami potenciálisan lehetővé teszi a jövőbeli kihasználtságokat a meglévő, számítógéppel származtatott AD-objektumokon.
1: A kényszerítési mód engedélyezve van. Ez megakadályozza, hogy a tartományi rendszergazdai jogosultsággal nem rendelkező felhasználók olyan értékekre állítsák be a securityDescriptor leírót, amelyek túlzott engedélyeket adhatnak a meglévő számítógép által származtatott AD-objektumokhoz. A rendszer naplóz egy eseményt is, amikor ez történik.
2:Letiltja a frissített naplózást, és nem kényszeríti ki a hozzáadott biztonságot. Nem ajánlott.
Példa: Ha az erdőben csak az Additional AuthZ verifications dsHeuristics jelző van beállítva, és ideiglenes implicit tulajdonjog-eltávolítási módra szeretne váltani, a dSHeuristics attribútumnak a következőre kell állítania:
"00000000010000000002000000011"
Az ebben az esetben beállított karakterek a következők:
10. karakter: 1 értékre kell állítani, ha a dSHeuristics attribútum legalább 10 karakterből
áll
20. karakter: 2-re kell állítani, ha a dSHeuristics attribútum legalább 20 karakter
28. karakter: A kényszerítési mód engedélyezéséhez 1-et kell beállítani a további hitelesítés ellenőrzéséhez
29. karakter: 1 értékre kell állítani a kényszerítési mód engedélyezéséhez az implicit tulajdonjog ideiglenes eltávolításához
Újonnan hozzáadott események
A 2021. november 9-i Windows-frissítés új eseménynaplókat is hozzáad.
Módváltási események – További hitelesítésiZ-ellenőrzés LDAP-hozzáadási műveletekhez
Olyan események, amelyek a dSHeuristics attribútum 28-es bitjének módosításakor fordulnak elő, ami megváltoztatja a frissítés LDAP Add műveleti részének további hitelesítésiZ-ellenőrzéseinek módját.
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Információs |
|
Eseményazonosító |
3050 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy attribútumonkénti engedélyezést kényszerítsen az LDAP-hozzáadási műveletek során. Ez a legbiztonságosabb beállítás, és nincs szükség további műveletekre. |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3051 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy ne kényszerítse ki az attribútumonkénti engedélyezést az LDAP-hozzáadási műveletek során. A rendszer naplózza a figyelmeztető eseményeket, de a kérések nem lesznek blokkolva. Ez a beállítás nem biztonságos, és csak ideiglenes hibaelhárítási lépésként használható. Tekintse át a javasolt kockázatcsökkentéseket az alábbi hivatkozáson. |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Hiba |
|
Eseményazonosító |
3052 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy ne kényszerítse ki az attribútumonkénti engedélyezést az LDAP-hozzáadási műveletek során. A rendszer nem naplózza az eseményeket, és nem blokkolja a kéréseket. Ez a beállítás nem biztonságos, és csak ideiglenes hibaelhárítási lépésként használható. Tekintse át a javasolt kockázatcsökkentéseket az alábbi hivatkozáson. |
Módváltási események – Az implicit tulajdonosi jogosultságok ideiglenes eltávolítása
Olyan események, amelyek a dSHeuristics attribútum 29-es bitjének módosításakor fordulnak elő, ami megváltoztatja a frissítés Implicit tulajdonosi jogosultságok részének ideiglenes eltávolításának módját.
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Információs |
|
Eseményazonosító |
3053 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy blokkolja az implicit tulajdonosi jogosultságokat az nTSecurityDescriptor attribútum kezdeti beállításakor vagy módosításakor az LDAP hozzáadási és módosítási műveletei során. Ez a legbiztonságosabb beállítás, és nincs szükség további műveletekre. |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3054 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy implicit tulajdonosi jogosultságokat engedélyezzen az nTSecurityDescriptor attribútum kezdeti beállításakor vagy módosításakor az LDAP hozzáadási és módosítási műveletei során. A rendszer naplózza a figyelmeztető eseményeket, de a kérések nem lesznek blokkolva. Ez a beállítás nem biztonságos, és csak ideiglenes hibaelhárítási lépésként használható. |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Hiba |
|
Eseményazonosító |
3055 |
|
Esemény szövege |
A címtár úgy lett konfigurálva, hogy implicit tulajdonosi jogosultságokat engedélyezzen az nTSecurityDescriptor attribútum kezdeti beállításakor vagy módosításakor az LDAP hozzáadási és módosítási műveletei során. A rendszer nem naplózza az eseményeket, és nem blokkolja a kéréseket. Ez a beállítás nem biztonságos, és csak ideiglenes hibaelhárítási lépésként használható. |
Naplózási mód eseményei
Naplózási módban előforduló események az LDAP hozzáadási vagy módosítási műveletével kapcsolatos lehetséges biztonsági problémák naplózásához.
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3047 |
|
Esemény szövege |
A címtárszolgáltatás LDAP-hozzáadási kérést észlelt a következő objektumra vonatkozóan, amely a következő biztonsági okokból általában le lett volna tiltva. Az ügyfél nem rendelkezik engedéllyel a hozzáadási kérelemben szereplő egy vagy több attribútum írásához az alapértelmezett egyesített biztonsági leíró alapján. A kérés tovább folytatódhatott, mert a címtár jelenleg csak naplózási módra van konfigurálva ehhez a biztonsági ellenőrzéshez. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> Biztonsági desc: <a> megkísérelt SD-t |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3048 |
|
Esemény szövege |
A címtárszolgáltatás LDAP-hozzáadási kérést észlelt a következő objektumra vonatkozóan, amely a következő biztonsági okokból általában le lett volna tiltva. Az ügyfél tartalmazott egy nTSecurityDescriptor attribútumot a hozzáadási kérelemben, de nem rendelkezik explicit engedéllyel az új biztonsági leíró egy vagy több részének írásához az alapértelmezett egyesített biztonsági leíró alapján. A kérés tovább folytatódhatott, mert a címtár jelenleg csak naplózási módra van konfigurálva ehhez a biztonsági ellenőrzéshez. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3049 |
|
Esemény szövege |
A címtárszolgáltatás LDAP-módosítási kérést észlelt a következő objektumra vonatkozóan, amely általában a következő biztonsági okokból blokkolva lett volna. Az ügyfél tartalmazott egy nTSecurityDescriptor attribútumot a hozzáadási kérelemben, de nem rendelkezik explicit engedéllyel az új biztonsági leíró egy vagy több részének írásához az alapértelmezett egyesített biztonsági leíró alapján. A kérés tovább folytatódhatott, mert a címtár jelenleg csak naplózási módra van konfigurálva ehhez a biztonsági ellenőrzéshez. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3056 |
|
Esemény szövege |
A címtárszolgáltatás feldolgozta az sdRightsEffective attribútum lekérdezését az alább megadott objektumon. A visszaadott hozzáférési maszk WRITE_DAC tartalmazott, de csak azért, mert a címtár úgy lett konfigurálva, hogy implicit tulajdonosi jogosultságokat engedélyezzen, ami nem biztonságos beállítás. Objektum DN:<létrehozott objektum DN-> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> |
Kényszerítési mód – LDAP-hozzáadási hibák
Olyan események, amelyek akkor fordulnak elő, ha egy LDAP-hozzáadási művelet le van tiltva.
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3044 |
|
Esemény szövege |
A címtárszolgáltatás megtagadta a következő objektum LDAP-hozzáadási kérését. A kérést a rendszer megtagadta, mert az ügyfélnek nem volt engedélye a hozzáadási kérelemben szereplő egy vagy több attribútum írására az alapértelmezett egyesített biztonsági leíró alapján. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> Biztonsági desc: <a> megkísérelt SD-t |
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3045 |
|
Esemény szövege |
A címtárszolgáltatás megtagadta a következő objektum LDAP-hozzáadási kérését. A kérés megtagadva, mert az ügyfél tartalmazott egy nTSecurityDescriptor attribútumot a hozzáadási kérelemben, de nem rendelkezik explicit engedéllyel az új biztonsági leíró egy vagy több részének írásához az alapértelmezett egyesített biztonsági leíró alapján. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> |
Kényszerítési mód – LDAP-módosítási hibák
Az LDAP-módosítási művelet megtagadásakor előforduló események.
|
Eseménynapló |
Címtárszolgáltatások |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményazonosító |
3046 |
|
Esemény szövege |
A címtárszolgáltatás elutasította a következő objektum LDAP-módosítási kérését. A kérés megtagadva, mert az ügyfél tartalmazott egy nTSecurityDescriptor attribútumot a módosítási kérelemben, de nem rendelkezik explicit engedéllyel az új biztonsági leíró egy vagy több részének írásához az objektum meglévő biztonsági leírója alapján. Objektum DN:<létrehozott objektum DN-> Objektumosztály: <létrehozott objektum objectClass> Felhasználó: <LDAP-t megkísérlő felhasználó> Ügyfél IP-címe: a kérelmező IP-címének <> |
Gyakori kérdések
1. kérdés: Mi történik, ha olyan Active Directory-tartományvezérlők keverékével rendelkezem, amelyek frissítve vannak, és nem frissülnek?
A1 A nem frissített kodekek nem naplóznak a biztonsági réshez kapcsolódó eseményeket.
2. kérdés: Mit kell tennem Read-Only tartományvezérlők (RODC-k) esetében?
A2 Semmi; Az LDAP hozzáadási és módosítási műveletei nem célozhatnak írásvédett írásvédett tartományvezérlőket.
3. negyedév: Van egy harmadik féltől származó termék vagy folyamat, amely meghiúsul a Kényszerítési mód engedélyezése után. Meg kell adnom a szolgáltatás vagy a felhasználói tartomány rendszergazdai jogosultságát?
A3 Általában nem javasoljuk, hogy a probléma első megoldásaként adjon hozzá egy szolgáltatást vagy felhasználót a Tartományi rendszergazdák csoporthoz. Vizsgálja meg az eseménynaplókat, hogy lássa, milyen konkrét engedélyre van szükség, és fontolja meg a felhasználó megfelelő korlátozott jogosultságainak delegálását egy erre a célra kijelölt különálló szervezeti egységben.
4. negyedév Látom az LDS-kiszolgálók naplózási eseményeit is. Miért van erre szükség?
A4A fentiek mindegyike az AD LDS-re is vonatkozik, bár nagyon szokatlan, hogy a számítógép-objektumok LDS-ben vannak. A kockázatcsökkentési lépéseket is meg kell tenni az AD LDS védelmének engedélyezéséhez, ha a naplózási mód nem észlel váratlan jogosultságokat.
