Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ringkasan

Microsoft menyadari bahwa PetitPotam dapat berpotensi digunakan untuk serangan pengontrol domain Windows atau server Windows lain. PetitPotam adalah NTLM Relay Attack klasik, dan serangan tersebut sebelumnya telah didokumentasikan oleh Microsoft bersama dengan berbagai opsi mitigasi untuk melindungi pelanggan. Misalnya: Microsoft Security Advisory 974926.  

Untuk mencegah NtLM Relay Attacks pada jaringan dengan NTLM yang diaktifkan, administrator domain harus memastikan bahwa layanan yang mengizinkan autentikasi NTLM menggunakan autentikasi seperti Extended Protection for Authentication (EPA) atau fitur penandatanganan seperti penandatanganan SMB. PetitPotam memanfaatkan server di mana Active Directory Certificate Services (AD CS) tidak dikonfigurasi dengan proteksi untuk NtLM Relay Attacks. Mitigasi di bawah ini menguraikan cara melindungi server AD CS mereka dari serangan tersebut.   

Anda mungkin rentan terhadap serangan ini jika Anda menggunakan Active Directory Certificate Services (AD CS) dengan salah satu layanan berikut ini: 

  • Pendaftaran Web Otoritas Sertifikat

  • Layanan Web Pendaftaran Sertifikat

Mitigasi

Jika lingkungan Anda berpotensi terpengaruh, kami menyarankan mitigasi berikut:

Mitigasi utama

Kami menyarankan untuk mengaktifkan EPA dan menonaktifkan HTTP di server AD CS. Buka Manajer Layanan Informasi Internet Bisnis (IIS) dan lakukan hal berikut ini:

  1. Enable EPA for Certificate Authority Web Enrollment, Required being the more secure and recommended option:

    Dialog Pendaftaran Web Otoritas Sertifikat

  2. Enable EPA for Certificate Enrollment Web Service, Required being the more secure and recommended option:

    Dialog Layanan Web Pendaftaran Sertifikat

    Setelah mengaktifkan EPA di UI, file Web.config yang dibuat oleh peran CES di <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config juga harus diperbarui dengan menambahkan <extendedProtectionPolicy> yang diatur dengan nilai baik Saat Didukung atau Selalu bergantung pada opsi Perlindungan diperluas yang dipilih di UI IIS di atas.

    Catatan: Pengaturan Selalu digunakan ketika UI diatur ke Diperlukan,yang merupakan opsi yang disarankan dan paling aman.

    Untuk informasi selengkapnya tentang opsi yang tersedia untuk extendedProtectionPolicy, lihat<transport> dari <basicHttpBinding>. Pengaturan yang paling sering digunakan adalah sebagai berikut:

    <binding name="TransportWithHeaderClientAuth">
     <security mode="Transport">
         <transport clientCredentialType="Windows">
         <extendedProtectionPolicy policyEnforcement="Always" />
         </transport>
         <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
     </security>
     <readerQuotas maxStringContentLength="131072" />
</binding>

  3. Aktifkan Minta SSL,yang hanya akan mengaktifkan koneksi HTTPS.

    HTTP

Penting: Setelah menyelesaikan langkah-langkah di atas, Anda perlu memulai ulang IIS untuk memuat perubahan. Untuk memulai ulang IIS, buka jendela Prompt Perintah yang ditinggikan, ketikkan perintah berikut, lalu tekan ENTER:

iisreset /restart

Catatan Perintah ini akan menghentikan semua layanan IIS yang sedang berjalan, lalu memulai ulang layanan tersebut.

Mitigasi tambahan

Selain mitigasi utama, kami menyarankan Anda menonaktifkan autentikasi NTLM jika memungkinkan. Mitigasi berikut dicantumkan agar dari yang lebih aman menjadi kurang aman:

  • Nonaktifkan Autentikasi NTLM pada Windows pengontrol domain Anda. Ini bisa diselesaikan dengan mengikuti dokumentasi di keamanan jaringan: Membatasi NTLM: autentikasi NTLM di domain ini.

  • Menonaktifkan NTLM pada Server AD CS apa pun di domain Anda menggunakan keamanan jaringan kebijakan grup: Restrict NTLM: Lalu lintas NtLM masuk. Untuk mengonfigurasi GPO ini, buka Kebijakan Grup dan masuk ke Konfigurasi Komputer ->Windows Pengaturan -> Keamanan Pengaturan -> Kebijakan Lokal -> Opsi Keamanan dan atur Keamanan jaringan: Batasi NTLM: Lalu lintas NTLM masuk untuk Menolak Semua Akun atau Tolak Semua akun domain.  Jika diperlukan, Anda bisa menambahkan pengecualian sebagaimana diperlukan menggunakan pengaturan Keamanan jaringan: Batasi NTLM: Tambahkan pengecualian server di domain ini.

  • Nonaktifkan NTLM for Layanan Informasi Internet (IIS) di Server AD CS di domain Anda menjalankan layanan "Pendaftaran Web Otoritas Sertifikat" atau "Layanan Web Pendaftaran Sertifikat".

Untuk melakukannya, buka UI Manajer IIS, atur autentikasi Windows Negosiasi:Kerberos

Tampilan dialog UI Manajer IIS

Tampilan alternatif UI Manajer IIS

Penting: Setelah menyelesaikan langkah-langkah di atas, Anda perlu memulai ulang IIS untuk memuat perubahan. Untuk memulai ulang IIS, buka jendela Prompt Perintah yang ditinggikan, ketikkan perintah berikut, lalu tekan ENTER:

iisreset /restart

Catatan Perintah ini akan menghentikan semua layanan IIS yang sedang berjalan, lalu memulai ulang layanan tersebut.

Untuk informasi selengkapnya, silakan lihat AdV210003 Penasihat Keamanan Microsoft

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×