Samenvatting

Microsoft is op de hoogte van PetitPotam die mogelijk kan worden gebruikt om Windows domeincontrollers of andere Windows aanvallen. PetitPotam is een klassieke NTLM Relay Attack, en dergelijke aanvallen zijn eerder gedocumenteerd door Microsoft, samen met een groot aantal opties om klanten te beschermen. Bijvoorbeeld: Microsoft Security Advisory 974926.  

Als u NTLM-relayaanvallen wilt voorkomen op netwerken met NTLM ingeschakeld, moeten domeinbeheerders ervoor zorgen dat services die NTLM-verificatie toestaan, gebruikmaken van beveiligingen, zoals Uitgebreide beveiliging voor verificatie (EPO) of ondertekeningsfuncties zoals SMB-ondertekening. PetitPotam maakt gebruik van servers waarop Active Directory Certificate Services (AD CS) niet is geconfigureerd met beveiligingen voor NTLM Relay-aanvallen. In de onderstaande oplossingen worden klanten beschreven hoe ze hun AD CS-servers tegen dergelijke aanvallen kunnen beschermen.   

U bent mogelijk kwetsbaar voor deze aanval als u Active Directory Certificate Services (AD CS) gebruikt met een van de volgende services: 

  • Webinschrijving certificeringsinstantie

  • Certificate Enrollment Web Service

Beperking

Als uw omgeving mogelijk wordt beïnvloed, raden we de volgende oplossingen aan:

Primaire beperking

We raden u aan OM EPO in te stellen en HTTP uit te zetten op AD CS-servers. Open de Internet Information Services (IIS) Manager en ga als volgt te werk:

  1. EPO inschakelen voor webinschrijving van certificeringsinstantie, vereist omdat dit de veiligere en aanbevolen optie is:

    Dialoogvenster Webinschrijving certificaatinstantie

  2. EPO inschakelen voor de webservice voor certificaatinschrijving, vereist dat dit de veiligere en aanbevolen optie

    is:

    Dialoogvenster Webservice voor certificaatinschrijving Nadat u EPO hebt ingeschakeld in de gebruikersinterface, moet het Web.config-bestand dat is gemaakt door de CES-rol bij <%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config ook worden bijgewerkt door<extendedProtectionPolicy> set toe te voegen met een waarde van WhenSupported of Altijd, afhankelijk van de optie Uitgebreide beveiliging die is geselecteerd in de bovenstaande IIS-gebruikersinterface.

    Opmerking: De instelling Altijd wordt gebruikt wanneer de gebruikersinterface is ingesteld op Vereist,wat de aanbevolen en veiligste optie is.

    Zie<transport> of <basicHttpBinding>voor meer informatie over de beschikbare opties voor uitgebreideProtectionPolicy. De meest waarschijnlijk gebruikte instellingen zijn als volgt:

    <binding name="TransportWithHeaderClientAuth">
         <security mode="Transport">
             <transport clientCredentialType="Windows">
             <extendedProtectionPolicy policyEnforcement="Always" />
             </transport>
             <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
         </security>
         <readerQuotas maxStringContentLength="131072" />
    </binding>
    
  3. Schakel SSL vereisen in,zodat alleen HTTPS-verbindingen worden ingeschakeld.

    HTTP

Belangrijk: Nadat u de bovenstaande stappen hebt doorlopen, moet u IIS opnieuw starten om de wijzigingen te laden. Als u IIS opnieuw wilt starten, opent u een venster met opdrachtprompt met verhoogde opdracht, typt u de volgende opdracht en drukt u vervolgens op Enter:

iisreset /restart

Opmerking
Met deze opdracht worden alle IIS-services gestopt die worden uitgevoerd en worden ze opnieuw gestart.

Aanvullende beperking

Naast de primaire mitigaties raden we u aan NTLM-verificatie waar mogelijk uit te schakelen. De volgende risico's worden weergegeven in volgorde van veiliger naar minder veilig:

Als u de GEBRUIKERSINTERFACE van IIS Manager wilt openen, stelt u Windows in op Onderhandelen:Kerberos: 

Dialoogvenster WEERGAVE VAN DE GEBRUIKERSINTERFACE VAN IIS Manager

Alternatieve weergave IIS Manager-gebruikersinterface

Belangrijk: Nadat u de bovenstaande stappen hebt doorlopen, moet u IIS opnieuw starten om de wijzigingen te laden. Als u IIS opnieuw wilt starten, opent u een venster met opdrachtprompt met verhoogde opdracht, typt u de volgende opdracht en drukt u vervolgens op Enter:

iisreset /restart

Opmerking
Met deze opdracht worden alle IIS-services gestopt die worden uitgevoerd en worden ze opnieuw gestart.

Zie Microsoft Security Advisory ADV210003 voor meer informatie.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×