Uppdaterad 2024-03-20 – LDS-referenser har lagts till
Sammanfattning
CVE-2021-42291 åtgärdar en säkerhetsrisk som gör att vissa användare kan ange godtyckliga värden på säkerhetskänsliga attribut för specifika objekt som lagras i Active Directory (AD) eller Lightweight Directory Service (LDS). För att kunna utnyttja den här säkerhetsrisken måste en användare ha tillräcklig behörighet för att skapa ett dator härlett objekt, till exempel en användare som beviljats CreateChild-behörigheter för datorobjekt. Användaren kan skapa ett datorkonto med hjälp av LDAP (Lightweight Directory Access Protocol) Lägg till anrop som tillåter alltför tillåtande åtkomst till attributet securityDescriptor . Dessutom kan skapare och ägare ändra säkerhetskänsliga attribut när de har skapat ett konto. Detta kan utnyttjas för att utföra en rättighetsökning i vissa scenarier.
ObserveraLDS loggar händelser 3050, 3053, 3051 och 3054 om status för implicit åtkomst till objekt, precis som AD gör.
Lösningar i CVE-2021-42291 består av:
-
Ytterligare auktoriseringsverifiering när användare utan domän- eller LDS-administratörsbehörighet försöker utföra en LDAP-tilläggsåtgärd för ett datorbaserat objekt. Detta inkluderar ett granskningsläge som standard som granskar när sådana försök inträffar utan att störa begäran och ett tvingande läge som blockerar sådana försök.
-
Tillfällig borttagning av implicita ägarbehörigheter när användare utan domänadministratörsrättigheter försöker utföra en LDAP-ändringsåtgärd på attributet securityDescriptor . En verifiering utförs för att bekräfta om användaren skulle tillåtas att skriva säkerhetsbeskrivning utan implicit ägarbehörighet. Detta inkluderar även ett granskningsläge som standard som granskar när sådana försök inträffar utan att störa begäran och ett tvingande läge som blockerar sådana försök.
Vidta åtgärder
Följ anvisningarna nedan för att skydda din miljö och undvika avbrott:
-
Uppdatera alla enheter som har Active Directory-domänkontrollanten eller LDS Server-rollen genom att installera de senaste Windows-uppdateringarna. DCs som har uppdateringarna från 9 november 2021 eller senare kommer som standard att ha ändringarna i granskningsläge.
-
Övervaka händelseloggen för katalogtjänsten eller LDS för 3044-3056-händelser på domänkontrollanter och LDS-servrar som har Windows-uppdateringarna från 9 november 2021 eller senare. Loggade händelser indikerar att en användare kan ha överdriven behörighet att skapa datorkonton med godtyckliga säkerhetskänsliga attribut. Rapportera oväntade scenarier till Microsoft med ett Premier- eller Unified Support-ärende eller Feedbackhubben. (Ett exempel på dessa händelser finns i avsnittet Nytillkomna händelser.)
-
Om granskningsläget inte upptäcker några oväntade behörigheter under en tillräckligt lång tid växlar du till tvingande läge för att säkerställa att inga negativa resultat uppstår. Rapportera oväntade scenarier till Microsoft med ett Premier- eller Unified Support-ärende eller Feedbackhubben.
Tidsinställning för Windows-uppdateringar
Dessa Windows-uppdateringar kommer att släppas i två faser:
-
Inledande distribution – Introduktion av uppdateringen, inklusive Granskning som standard, Tillämpning eller Inaktivera lägen som kan konfigureras med hjälp av attributet dSHeuristics .
-
Slutlig distribution – tillämpning som standard.
9 november 2021: Inledande distributionsfas
Den första distributionsfasen börjar med Windows-uppdateringen som släpptes 9 november 2021. Den här versionen lägger till granskning av behörigheter som angetts av användare utan domänadministratörsrättigheter när en dator eller datorbaserade objekt skapas eller ändras. Det lägger också till en tillämpning och ett inaktivera läge. Du kan ställa in läget globalt för varje Active Directory-skog med hjälp av attributet dSHeuristics .
(Uppdaterad 2023-12-15) Slutdistributionsfas
Den slutliga distributionsfasen kan börja när du har slutfört stegen i avsnittet Vidta åtgärd. Om du vill gå till tvingande läge följer du anvisningarna i avsnittet Distributionsvägledning för att ange den 28:e och 29:e biten på attributet dSHeuristics . Övervaka sedan händelser 3044-3046. De rapporterar när tvingande läge har blockerat en LDAP-åtgärd för att lägga till eller ändra som tidigare kunde ha tillåtits i granskningsläge.
Distributionsvägledning
Ange konfigurationsinformation
När du har installerat CVE-2021-42291 styr tecken 28 och 29 i attributet dSHeuristics uppdateringens beteende. Attributet dSHeuristics finns i varje Active Directory-skog och innehåller inställningar för hela skogen. Attributet dSHeuristics är ett attribut för objektet "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) eller "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Mer information finns i attributet 6.1.1.2.4.1.2 dSHeuristics och DS-Heuristics .
Tecken 28 – Ytterligare AuthZ-verifieringar för LDAP Add-åtgärder
0: Granskningsläge som standard är aktiverat. En händelse loggas när användare utan domänadministratörsrättigheter anger securityDescriptor eller andra attribut till värden som kan ge överdrivna behörigheter, vilket kan tillåta framtida utnyttjande, för nya AD-objekt som härleds från datorn.
1: Tvingande läge är aktiverat. Det hindrar användare utan domänadministratörsbehörighet från att ange securityDescriptor eller andra attribut till värden som kan ge överdriven behörighet för datorbaserade AD-objekt. En händelse loggas också när detta inträffar.
2: Inaktiverar den uppdaterade granskningen och tillämpar inte den utökade säkerheten. Rekommenderas inte.
Exempel: Om du inte hade några andra dSHeuristics-inställningar aktiverade i skogen och du vill växla till tvingande läge för ytterligare AuthZ-verifiering, ska attributet dSHeuristics anges till:
"0000000001000000000200000001"
De tecken som anges i det här fallet är:
10:e tecken : Måste anges till 1 om attributet dSHeuristics är minst 10 tecken
20:e tecken: Måste anges till 2 om attributet dSHeuristics är minst 20 tecken
28:e tecken: Måste anges till 1 för att aktivera tvingande läge för ytterligare AuthZ-verifiering
Tecken 29 – Tillfällig borttagning av implicit ägare för LDAP-ändringsåtgärder
0: Granskningsläge som standard är aktiverat. En händelse loggas när användare utan domänadministratörsrättigheter ställer in securityDescriptor på värden som kan ge överdrivna behörigheter, vilket kan tillåta framtida utnyttjande, för befintliga AD-objekt som härleds från datorn.
1: Tvingande läge är aktiverat. Det hindrar användare utan domänadministratörsrättigheter från att ange säkerhetsbeskrivningar till värden som kan ge överdriven behörighet för befintliga datorbaserade AD-objekt. En händelse loggas också när detta inträffar.
2:Inaktiverar den uppdaterade granskningen och tillämpar inte den utökade säkerheten. Rekommenderas inte.
Exempel: Om du bara hade flaggan Additional AuthZ verifications dsHeuristics i skogen och du vill växla till tvingande läge för tillfällig borttagning av implicit ägarskap, ska attributet dSHeuristics vara inställt på:
"00000000010000000002000000011"
De tecken som anges i det här fallet är:
10:e tecken: Måste anges till 1 om attributet dSHeuristics är minst 10 tecken
20:e tecken: Måste anges till 2 om attributet dSHeuristics är minst 20 tecken
28:e tecken: Måste anges till 1 för att aktivera tvingande läge för ytterligare AuthZ-verifiering
29:e tecken: Måste vara inställd på 1 för att aktivera tvingande läge för tillfällig implicit ägarskapsborttagning
Nyligen tillagda händelser
Windows-uppdateringen från 9 november 2021 lägger också till nya händelseloggar.
Lägesändringshändelser – ytterligare AuthZ-verifiering för LDAP Add-åtgärder
Händelser som inträffar när bit 28 av attributet dSHeuristics ändras, vilket ändrar läget för ytterligare AuthZ-verifieringar för LDAP Add-operationsdelen av uppdateringen.
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Informativt |
|
Händelse-ID |
3050 |
|
Händelsetext |
Katalogen har konfigurerats för att framtvinga auktorisering per attribut under LDAP-tilläggsåtgärder. Det här är den säkraste inställningen och ingen ytterligare åtgärd krävs. |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3051 |
|
Händelsetext |
Katalogen har konfigurerats för att inte framtvinga auktorisering per attribut under LDAP-tilläggsåtgärder. Varningshändelser loggas, men inga begäranden blockeras. Den här inställningen är inte säker och bör endast användas som ett tillfälligt felsökningssteg. Läs de föreslagna lösningarna i länken nedan. |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Fel |
|
Händelse-ID |
3052 |
|
Händelsetext |
Katalogen har konfigurerats för att inte framtvinga auktorisering per attribut under LDAP-tilläggsåtgärder. Inga händelser loggas och inga begäranden blockeras. Den här inställningen är inte säker och bör endast användas som ett tillfälligt felsökningssteg. Läs de föreslagna lösningarna i länken nedan. |
Lägesändringshändelser – tillfällig borttagning av implicita ägarrättigheter
Händelser som inträffar när bit 29 av attributet dSHeuristics ändras, vilket ändrar läget för tillfällig borttagning av delen implicita ägarrättigheter i uppdateringen.
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Informativt |
|
Händelse-ID |
3053 |
|
Händelsetext |
Katalogen har konfigurerats för att blockera implicita ägarbehörigheter när du först anger eller ändrar attributet nTSecurityDescriptor under LDAP-tilläggs- och ändringsåtgärder. Det här är den säkraste inställningen och ingen ytterligare åtgärd krävs. |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3054 |
|
Händelsetext |
Katalogen har konfigurerats för att tillåta implicita ägarbehörigheter när du först anger eller ändrar attributet nTSecurityDescriptor under LDAP-tilläggs- och ändringsåtgärder. Varningshändelser loggas, men inga begäranden blockeras. Den här inställningen är inte säker och bör endast användas som ett tillfälligt felsökningssteg. |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Fel |
|
Händelse-ID |
3055 |
|
Händelsetext |
Katalogen har konfigurerats för att tillåta implicita ägarbehörigheter när du först anger eller ändrar attributet nTSecurityDescriptor under LDAP-tilläggs- och ändringsåtgärder. Inga händelser loggas och inga begäranden blockeras. Den här inställningen är inte säker och bör endast användas som ett tillfälligt felsökningssteg. |
Granskningslägeshändelser
Händelser som inträffar i granskningsläge för att logga potentiella säkerhetsproblem med en LDAP-tilläggs- eller ändringsåtgärd.
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3047 |
|
Händelsetext |
Katalogtjänsten upptäckte en LDAP-tilläggsbegäran för följande objekt som normalt skulle ha blockerats av följande säkerhetsskäl. Klienten hade inte behörighet att skriva ett eller flera attribut som ingick i tilläggsbegäran, baserat på den förvalda kopplade säkerhetsbeskrivaren. Begäran tilläts fortsätta eftersom katalogen för närvarande är konfigurerad för att vara i granskningsläge för den här säkerhetskontrollen. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> Säkerhetsdesc: <den SD som försöktes> |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3048 |
|
Händelsetext |
Katalogtjänsten upptäckte en LDAP-tilläggsbegäran för följande objekt som normalt skulle ha blockerats av följande säkerhetsskäl. Klienten inkluderade ett nTSecurityDescriptor-attribut i tilläggsförfrågan, men hade inte uttrycklig behörighet att skriva en eller flera delar av den nya säkerhetsbeskrivningen, baserat på den förvalda kopplade säkerhetsbeskrivningen. Begäran tilläts fortsätta eftersom katalogen för närvarande är konfigurerad för att vara i granskningsläge för den här säkerhetskontrollen. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3049 |
|
Händelsetext |
Katalogtjänsten upptäckte en LDAP-ändringsförfrågan för följande objekt som normalt skulle ha blockerats av följande säkerhetsskäl. Klienten inkluderade ett nTSecurityDescriptor-attribut i tilläggsförfrågan, men hade inte uttrycklig behörighet att skriva en eller flera delar av den nya säkerhetsbeskrivningen, baserat på den förvalda kopplade säkerhetsbeskrivningen. Begäran tilläts fortsätta eftersom katalogen för närvarande är konfigurerad för att vara i granskningsläge för den här säkerhetskontrollen. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3056 |
|
Händelsetext |
Katalogtjänsten har bearbetat en fråga för attributet sdRightsEffective för objektet som anges nedan. Den returnerade åtkomstmasken innehöll WRITE_DAC, men bara på grund av att katalogen har konfigurerats för att tillåta implicita ägarbehörigheter som inte är en säker inställning. Objekt-DN: <skapade objektets DN-> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> |
Tvingande läge – LDAP Add failures
Händelser som inträffar när en LDAP Add-åtgärd nekas.
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3044 |
|
Händelsetext |
Katalogtjänsten nekade en LDAP-tilläggsförfrågan för följande objekt. Begäran nekades eftersom klienten inte hade behörighet att skriva ett eller flera attribut som ingår i lägg till-begäran, baserat på den förvalda kopplade säkerhetsbeskrivningen. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> Säkerhetsdesc: <den SD som försöktes> |
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3045 |
|
Händelsetext |
Katalogtjänsten nekade en LDAP-tilläggsförfrågan för följande objekt. Begäran nekades eftersom klienten innehöll ett nTSecurityDescriptor-attribut i tilläggsförfrågan men inte hade uttrycklig behörighet att skriva en eller flera delar av den nya säkerhetsbeskrivningen, baserat på den kopplade säkerhetsbeskrivaren som standard. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> |
Tvingande läge – LDAP Ändra fel
Händelser som inträffar när en LDAP-ändringsåtgärd nekas.
|
Händelselogg |
Katalogtjänster |
|
Händelsetyp |
Varning |
|
Händelse-ID |
3046 |
|
Händelsetext |
Katalogtjänsten nekade en LDAP-ändringsförfrågan för följande objekt. Begäran nekades eftersom klienten inkluderade ett nTSecurityDescriptor-attribut i ändringsförfrågan men inte hade uttrycklig behörighet att skriva en eller flera delar av den nya säkerhetsbeskrivningen, baserat på objektets befintliga säkerhetsbeskrivning. Objekt-DN: <skapade objektets DN-> Objektklass: <skapade objektets objektKlass> Användare: <användare som försökte lägga till LDAP-> Klient-IP-adress: <ip-adressen för den som begär> |
Vanliga frågor och svar
F1 Vad händer om jag har en blandning av Active Directory-domänkontrollanter som uppdateras och inte uppdateras?
A1 De DC:er som inte uppdateras loggar inte händelser som är relaterade till den här säkerhetsrisken.
Q2 Vad behöver jag göra för Read-Only domänkontrollanter (RODCs)?
A2 Ingenting; LDAP-åtgärder för att lägga till och ändra kan inte rikta in sig på RODC:er.
Q3 Jag har en produkt eller process från tredje part som misslyckas efter aktivering av tvingande läge. Måste jag bevilja tjänsten eller administratörsbehörigheten för användardomänen?
A3 Vi rekommenderar vanligtvis inte att du lägger till en tjänst eller användare i gruppen Domänadministratörer som första lösning på det här problemet. Undersök händelseloggarna för att se vilken specifik behörighet som krävs och överväg att delegera lämpligt begränsade rättigheter för den användaren på en separat organisationsenhet som tilldelats för det ändamålet.
Kv4 Jag ser granskningshändelserna även för LDS-servrar. Varför händer detta?
A4Allt ovanstående gäller även AD LDS, även om det är mycket ovanligt att ha datorobjekt i LDS. Åtgärdsåtgärder bör också vidtas för att aktivera skyddet för AD LDS när granskningsläget inte identifierar några oväntade behörigheter.
