อัปเดตเมื่อ 20/03/2024 – การอ้างอิง LDS ที่เพิ่ม
บทสรุป
CVE-2021-42291 แก้ไขปัญหาช่องโหว่การเลี่ยงผ่านการรักษาความปลอดภัยที่อนุญาตให้ผู้ใช้บางรายสามารถตั้งค่าที่กําหนดเองในแอตทริบิวต์ที่ไวต่อความปลอดภัยของวัตถุเฉพาะที่เก็บไว้ใน Active Directory (AD) หรือ Lightweight Directory Service (LDS) เมื่อต้องการใช้ประโยชน์จากช่องโหว่นี้ ผู้ใช้ต้องมีสิทธิ์การใช้งานที่เพียงพอในการสร้างวัตถุที่ได้รับในคอมพิวเตอร์ เช่น ผู้ใช้ได้รับสิทธิ์ CreateChild สําหรับวัตถุคอมพิวเตอร์ ผู้ใช้รายนั้นสามารถสร้างบัญชีคอมพิวเตอร์โดยใช้ Lightweight Directory Access Protocol (LDAP) เพิ่มการเรียกที่อนุญาตให้เข้าถึงแอตทริบิวต์ securityDescriptor ได้มากเกินไป นอกจากนี้ ผู้สร้างและเจ้าของสามารถปรับเปลี่ยนแอตทริบิวต์ที่มีความสําคัญต่อความปลอดภัยหลังจากสร้างบัญชีได้ สิ่งนี้สามารถใช้ประโยชน์จากการดําเนินการยกระดับสิทธิ์ในบางสถานการณ์
หมาย เหตุLDS จะบันทึกเหตุการณ์ 3050, 3053, 3051 และ 3054 เกี่ยวกับสถานะของการเข้าถึงวัตถุโดยนัย เหมือนกับ AD
การลดปัญหาใน CVE-2021-42291 ประกอบด้วย:
-
การตรวจสอบการอนุญาตเพิ่มเติมเมื่อผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบโดเมนหรือ LDS พยายามดําเนินการเพิ่ม LDAP สําหรับวัตถุที่ได้จากคอมพิวเตอร์ ซึ่งรวมถึงโหมดตรวจสอบตามค่าเริ่มต้นที่ตรวจสอบเมื่อความพยายามดังกล่าวเกิดขึ้นโดยไม่รบกวนคําขอและโหมดการบังคับใช้ที่บล็อกความพยายามดังกล่าว
-
การเอาสิทธิ์ของเจ้าของโดยนัยออกชั่วคราวเมื่อผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลโดเมนพยายามดําเนินการปรับเปลี่ยน LDAP บนแอตทริบิวต์ securityDescriptor การตรวจสอบจะเกิดขึ้นเพื่อยืนยันว่าผู้ใช้จะได้รับอนุญาตให้เขียนตัวบอกเกี่ยวกับความปลอดภัยโดยไม่มีสิทธิ์การใช้งานของเจ้าของโดยนัยหรือไม่ ซึ่งรวมถึงโหมดตรวจสอบตามค่าเริ่มต้นที่ตรวจสอบเมื่อความพยายามดังกล่าวเกิดขึ้นโดยไม่รบกวนคําขอและโหมดการบังคับใช้ที่บล็อกความพยายามดังกล่าว
ดำเนิน
เพื่อปกป้องสภาพแวดล้อมของคุณและหลีกเลี่ยงการหยุดทํางาน โปรดทําตามขั้นตอนต่อไปนี้:
-
อัปเดตอุปกรณ์ทั้งหมดที่โฮสต์ตัวควบคุมโดเมน Active Directory หรือบทบาท LDS Server ด้วยการติดตั้งการอัปเดต Windows ล่าสุด ตามค่าเริ่มต้น DC ที่มีการอัปเดตของวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่าจะมีการเปลี่ยนแปลงในโหมดตรวจสอบ
-
ตรวจสอบบันทึกเหตุการณ์ Directory Service หรือ LDS สําหรับเหตุการณ์ 3044-3056 บนตัวควบคุมโดเมนและเซิร์ฟเวอร์ LDS ที่มีการอัปเดต Windows ในวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า เหตุการณ์ที่บันทึกล็อกระบุว่าผู้ใช้อาจมีสิทธิ์มากเกินไปในการสร้างบัญชีคอมพิวเตอร์ที่มีแอททริบิวต์ที่คํานึงถึงความปลอดภัยโดยพลการ รายงานสถานการณ์ที่ไม่คาดคิดใดๆ กับ Microsoft โดยใช้กรณี Premier หรือ Unified Support หรือฮับคําติชม (ตัวอย่างของเหตุการณ์เหล่านี้สามารถพบได้ในส่วน เหตุการณ์ที่เพิ่มใหม่)
-
ถ้าโหมดตรวจสอบตรวจไม่พบสิทธิ์การใช้งานที่ไม่คาดคิดในระยะเวลาที่เพียงพอ ให้สลับไปยังโหมดการบังคับใช้เพื่อให้แน่ใจว่าไม่มีผลลัพธ์ที่เป็นลบเกิดขึ้น รายงานสถานการณ์ที่ไม่คาดคิดใดๆ กับ Microsoft โดยใช้กรณี Premier หรือ Unified Support หรือฮับคําติชม
การกําหนดเวลาของการอัปเดต Windows
การอัปเดต Windows เหล่านี้จะเผยแพร่ในสองขั้นตอน:
-
การปรับใช้ครั้งแรก – บทนําของการอัปเดต รวมถึงโหมดตรวจสอบตามค่าเริ่มต้น การบังคับใช้ หรือปิดใช้งานที่สามารถกําหนดค่าได้โดยใช้แอตทริบิวต์ dSHeuristics
-
การปรับใช้ขั้นสุดท้าย – การบังคับใช้โดยค่าเริ่มต้น
9 พฤศจิกายน 2021: ระยะการปรับใช้ครั้งแรก
ระยะการปรับใช้ครั้งแรกเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 รุ่นนี้จะเพิ่มการตรวจสอบสิทธิ์ที่ตั้งค่าโดยผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลโดเมนในระหว่างการสร้างหรือการปรับเปลี่ยนคอมพิวเตอร์หรือวัตถุที่สืบทอดมาจากคอมพิวเตอร์ นอกจากนี้ยังเพิ่มการบังคับใช้และโหมดปิดใช้งานด้วย คุณสามารถตั้งค่าโหมดส่วนกลางสําหรับแต่ละฟอเรสต์ Active Directory โดยใช้แอตทริบิวต์ dSHeuristics ได้
(อัปเดตเมื่อ 15/12/2023) ระยะการปรับใช้ขั้นสุดท้าย
ขั้นตอนการปรับใช้ขั้นสุดท้ายสามารถเริ่มต้นได้เมื่อคุณทําตามขั้นตอนที่แสดงในส่วน ดําเนินการ เสร็จสิ้น เมื่อต้องการย้ายไปยังโหมดการบังคับใช้ ให้ทําตามคําแนะนําในส่วน คําแนะนําการปรับใช้ เพื่อตั้งค่าบิตที่ 28 และ 29 บนแอตทริบิวต์ dSHeuristics จากนั้นตรวจสอบเหตุการณ์ 3044-3046 ซึ่งรายงานเมื่อโหมดการบังคับใช้บล็อกการดําเนินการเพิ่มหรือปรับเปลี่ยน LDAP ที่อาจได้รับอนุญาตก่อนหน้านี้ในโหมดตรวจสอบ
คําแนะนําในการปรับใช้
การตั้งค่าข้อมูลการกําหนดค่า
หลังจากติดตั้ง CVE-2021-42291 อักขระ 28 และ 29 ของแอตทริบิวต์ dSHeuristics จะควบคุมลักษณะการทํางานของการอัปเดต แอตทริบิวต์ dSHeuristics มีอยู่ภายในแต่ละฟอเรสต์ Active Directory และมีการตั้งค่าสําหรับฟอเรสต์ทั้งหมด แอตทริบิวต์ dSHeuristics เป็นแอตทริบิวต์ของ "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) หรือ "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) ดู ที่ 6.1.1.2.4.1.2 dSHeuristics และ แอตทริบิวต์ DS-Heuristics สําหรับข้อมูลเพิ่มเติม
อักขระ 28 – การตรวจสอบ AuthZ เพิ่มเติมสําหรับการดําเนินการเพิ่ม LDAP
0: เปิดใช้งานโหมดตรวจสอบตามค่าเริ่มต้น มีการบันทึกเหตุการณ์เมื่อผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลโดเมนตั้งค่า securityDescriptor หรือแอตทริบิวต์อื่นๆ เป็นค่าที่อาจให้สิทธิ์ที่มากเกินไป ซึ่งอาจทําให้เกิดการใช้ประโยชน์จากในอนาคตในวัตถุ AD ที่ได้จากคอมพิวเตอร์ใหม่
1: เปิดใช้งานโหมดการบังคับใช้ ซึ่งจะป้องกันไม่ให้ผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลระบบโดเมนตั้งค่า securityDescriptor หรือแอตทริบิวต์อื่นๆ เป็นค่าที่อาจให้สิทธิ์มากเกินไปในวัตถุ AD ที่ได้จากคอมพิวเตอร์ เหตุการณ์จะถูกบันทึกด้วยเมื่อเกิดเหตุการณ์นี้ขึ้น
2: ปิดใช้งานการตรวจสอบที่อัปเดตและไม่ได้บังคับใช้ความปลอดภัยที่เพิ่มขึ้น ไม่แนะนํา
ตัว อย่าง เช่น: ถ้าคุณไม่ได้เปิดใช้งานการตั้งค่า dSHeuristics อื่นๆ ในฟอเรสต์ของคุณ และคุณต้องการสลับไปยังโหมดการบังคับใช้สําหรับการตรวจสอบ AuthZ เพิ่มเติม แอตทริบิวต์ dSHeuristics ควรตั้งค่าเป็น:
"0000000001000000000200000001"
อักขระที่ตั้งค่าในกรณีนี้คือ:
10char : ต้องตั้งค่าเป็น 1 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 10 ตัว
20char : ต้องตั้งค่าเป็น 2 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 20 ตัว
28th char: ต้องตั้งค่าเป็น 1 เพื่อเปิดใช้งานโหมดการบังคับใช้สําหรับการตรวจสอบ AuthZ เพิ่มเติม
อักขระ 29 – การลบชั่วคราวของเจ้าของโดยนัยสําหรับการดําเนินการปรับเปลี่ยน LDAP
0: เปิดใช้งานโหมดตรวจสอบตามค่าเริ่มต้น มีการบันทึกเหตุการณ์เมื่อผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลโดเมนตั้งค่า securityDescriptor เป็นค่าที่อาจให้สิทธิ์ที่มากเกินไป ซึ่งอาจทําให้เกิดการใช้ประโยชน์จากในอนาคตบนวัตถุ AD ที่ได้จากคอมพิวเตอร์ที่มีอยู่
1: เปิดใช้งานโหมดการบังคับใช้ ซึ่งป้องกันไม่ให้ผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลระบบโดเมนตั้งค่า securityDescriptor เป็นค่าที่อาจให้สิทธิ์มากเกินไปในวัตถุ AD ที่ได้จากคอมพิวเตอร์ที่มีอยู่ เหตุการณ์จะถูกบันทึกด้วยเมื่อเกิดเหตุการณ์นี้ขึ้น
2:ปิดใช้งานการตรวจสอบที่อัปเดตและไม่ได้บังคับใช้ความปลอดภัยที่เพิ่มขึ้น ไม่แนะนํา
ตัว อย่าง เช่น: ถ้าคุณเพียงมีการตั้งค่าสถานะการตรวจสอบ AuthZ เพิ่มเติม dsHeuristics ในฟอเรสต์ของคุณและคุณต้องการสลับไปยังโหมดการบังคับใช้สําหรับการลบความเป็นเจ้าของโดยนัยชั่วคราว แอตทริบิวต์ dSHeuristics ควรตั้งค่าเป็น:
"00000000010000000002000000011"
อักขระที่ตั้งค่าในกรณีนี้คือ:
10char : ต้องตั้งค่าเป็น 1 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 10 ตัว
20char : ต้องตั้งค่าเป็น 2 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 20 ตัว
28th char: ต้องตั้งค่าเป็น 1 เพื่อเปิดใช้งานโหมดการบังคับใช้สําหรับการตรวจสอบ
AuthZ เพิ่มเติม
29char : ต้องตั้งค่าเป็น 1 เพื่อเปิดใช้งานโหมดการบังคับใช้สําหรับการเอาความเป็นเจ้าของโดยนัยออกชั่วคราว
เหตุการณ์ที่เพิ่มใหม่
การอัปเดต Windows ของวันที่ 9 พฤศจิกายน 2021 จะเพิ่มบันทึกเหตุการณ์ใหม่ด้วย
เหตุการณ์การเปลี่ยนแปลงโหมด – การตรวจสอบ AuthZ เพิ่มเติมสําหรับการดําเนินการเพิ่ม LDAP
เหตุการณ์ที่เกิดขึ้นเมื่อบิต 28 ของแอตทริบิวต์ dSHeuristics มีการเปลี่ยนแปลง ซึ่งจะเปลี่ยนโหมดการตรวจสอบ AuthZ เพิ่มเติมสําหรับส่วนการดําเนินการเพิ่ม LDAP ของการอัปเดต
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
ID เหตุการณ์ |
3050 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้บังคับใช้การอนุญาตตามแอตทริบิวต์ระหว่างการดําเนินการเพิ่ม LDAP นี่คือการตั้งค่าที่ปลอดภัยที่สุด และไม่จําเป็นต้องดําเนินการใดๆ เพิ่มเติม |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3051 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้ไม่บังคับใช้การอนุญาตสําหรับแต่ละแอตทริบิวต์ระหว่างการดําเนินการเพิ่ม LDAP เหตุการณ์คําเตือนจะถูกบันทึกไว้ แต่จะไม่มีการบล็อกคําขอ การตั้งค่านี้ไม่ปลอดภัยและควรใช้เป็นขั้นตอนการแก้ไขปัญหาชั่วคราวเท่านั้น โปรดตรวจสอบการบรรเทาที่แนะนําในลิงก์ด้านล่าง |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
ID เหตุการณ์ |
3052 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้ไม่บังคับใช้การอนุญาตสําหรับแต่ละแอตทริบิวต์ระหว่างการดําเนินการเพิ่ม LDAP จะไม่มีการบันทึกเหตุการณ์ และจะไม่มีการบล็อกคําขอใดๆ การตั้งค่านี้ไม่ปลอดภัยและควรใช้เป็นขั้นตอนการแก้ไขปัญหาชั่วคราวเท่านั้น โปรดตรวจสอบการบรรเทาที่แนะนําในลิงก์ด้านล่าง |
เหตุการณ์การเปลี่ยนแปลงโหมด – การเอาสิทธิ์เจ้าของโดยนัยออกชั่วคราว
เหตุการณ์ที่เกิดขึ้นเมื่อบิต 29 ของแอตทริบิวต์ dSHeuristics มีการเปลี่ยนแปลง ซึ่งจะเปลี่ยนโหมดของการเอาส่วนสิทธิ์ของเจ้าของโดยนัยของการอัปเดตออกชั่วคราว
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
ID เหตุการณ์ |
3053 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้บล็อกสิทธิ์ของเจ้าของโดยนัยเมื่อเริ่มตั้งค่าหรือปรับเปลี่ยนแอตทริบิวต์ nTSecurityDescriptor ระหว่างการเพิ่มและปรับเปลี่ยนการดําเนินการ LDAP นี่คือการตั้งค่าที่ปลอดภัยที่สุด และไม่จําเป็นต้องดําเนินการใดๆ เพิ่มเติม |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3054 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้อนุญาตสิทธิ์ของเจ้าของโดยนัยเมื่อเริ่มตั้งค่าหรือปรับเปลี่ยนแอตทริบิวต์ nTSecurityDescriptor ระหว่างการเพิ่มและปรับเปลี่ยนการดําเนินการ LDAP เหตุการณ์คําเตือนจะถูกบันทึกไว้ แต่จะไม่มีการบล็อกคําขอ การตั้งค่านี้ไม่ปลอดภัยและควรใช้เป็นขั้นตอนการแก้ไขปัญหาชั่วคราวเท่านั้น |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
ID เหตุการณ์ |
3055 |
|
ข้อความเหตุการณ์ |
ไดเรกทอรีได้รับการกําหนดค่าให้อนุญาตสิทธิ์ของเจ้าของโดยนัยเมื่อเริ่มตั้งค่าหรือปรับเปลี่ยนแอตทริบิวต์ nTSecurityDescriptor ระหว่างการเพิ่มและปรับเปลี่ยนการดําเนินการ LDAP จะไม่มีการบันทึกเหตุการณ์ และจะไม่มีการบล็อกคําขอใดๆ การตั้งค่านี้ไม่ปลอดภัยและควรใช้เป็นขั้นตอนการแก้ไขปัญหาชั่วคราวเท่านั้น |
เหตุการณ์ในโหมดตรวจสอบ
เหตุการณ์ที่เกิดขึ้นในโหมดตรวจสอบเพื่อบันทึกข้อกังวลด้านความปลอดภัยที่อาจเกิดขึ้นกับการดําเนินการเพิ่มหรือปรับเปลี่ยน LDAP
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3047 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีตรวจพบการร้องขอการเพิ่ม LDAP สําหรับวัตถุต่อไปนี้ที่ปกติจะถูกบล็อกด้วยเหตุผลด้านความปลอดภัยต่อไปนี้ ไคลเอ็นต์ไม่มีสิทธิ์ในการเขียนแอตทริบิวต์อย่างน้อยหนึ่งแอตทริบิวต์ที่รวมอยู่ในการร้องขอการเพิ่ม โดยยึดตามตัวบอกเกี่ยวกับความปลอดภัยที่ผสานเริ่มต้น การร้องขอได้รับอนุญาตให้ดําเนินการต่อเนื่องจากไดเรกทอรีถูกกําหนดค่าให้อยู่ในโหมดตรวจสอบเท่านั้นสําหรับการตรวจสอบความปลอดภัยนี้ วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ ข้อมูลความปลอดภัย: <SD ที่พยายาม> |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3048 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีตรวจพบการร้องขอการเพิ่ม LDAP สําหรับวัตถุต่อไปนี้ที่ปกติจะถูกบล็อกด้วยเหตุผลด้านความปลอดภัยต่อไปนี้ ไคลเอ็นต์มีแอตทริบิวต์ nTSecurityDescriptor ในคําขอเพิ่ม แต่ไม่มีสิทธิ์ที่ชัดเจนในการเขียนอย่างน้อยหนึ่งส่วนของตัวบอกเกี่ยวกับความปลอดภัยใหม่ ตามตัวบอกเกี่ยวกับความปลอดภัยที่ผสานเริ่มต้น การร้องขอได้รับอนุญาตให้ดําเนินการต่อเนื่องจากไดเรกทอรีถูกกําหนดค่าให้อยู่ในโหมดตรวจสอบเท่านั้นสําหรับการตรวจสอบความปลอดภัยนี้ วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3049 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีตรวจพบการร้องขอการปรับเปลี่ยน LDAP สําหรับวัตถุต่อไปนี้ที่ปกติจะถูกบล็อกด้วยเหตุผลด้านความปลอดภัยต่อไปนี้ ไคลเอ็นต์มีแอตทริบิวต์ nTSecurityDescriptor ในคําขอเพิ่ม แต่ไม่มีสิทธิ์ที่ชัดเจนในการเขียนอย่างน้อยหนึ่งส่วนของตัวบอกเกี่ยวกับความปลอดภัยใหม่ ตามตัวบอกเกี่ยวกับความปลอดภัยที่ผสานเริ่มต้น การร้องขอได้รับอนุญาตให้ดําเนินการต่อเนื่องจากไดเรกทอรีถูกกําหนดค่าให้อยู่ในโหมดตรวจสอบเท่านั้นสําหรับการตรวจสอบความปลอดภัยนี้ วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3056 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีประมวลผลคิวรีสําหรับแอตทริบิวต์ sdRightsEffective บนวัตถุที่ระบุด้านล่าง รูปแบบการเข้าถึงที่ส่งกลับมี WRITE_DAC รวมอยู่ด้วย แต่เฉพาะเนื่องจากไดเรกทอรีได้รับการกําหนดค่าให้อนุญาตสิทธิ์การใช้งานของเจ้าของโดยนัยซึ่งไม่ใช่การตั้งค่าที่ปลอดภัย วัตถุ DN: <> DN ของวัตถุที่สร้าง ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ |
โหมดการบังคับใช้ - การเพิ่ม LDAP ล้มเหลว
เหตุการณ์ที่เกิดขึ้นเมื่อการดําเนินการเพิ่ม LDAP ถูกปฏิเสธ
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3044 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีปฏิเสธการร้องขอการเพิ่ม LDAP สําหรับวัตถุต่อไปนี้ การร้องขอถูกปฏิเสธเนื่องจากไคลเอ็นต์ไม่มีสิทธิ์ในการเขียนแอตทริบิวต์อย่างน้อยหนึ่งแอตทริบิวต์ที่รวมอยู่ในการร้องขอการเพิ่ม โดยยึดตามตัวบอกเกี่ยวกับความปลอดภัยที่ผสานเริ่มต้น วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ ข้อมูลความปลอดภัย: <SD ที่พยายาม> |
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3045 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีปฏิเสธการร้องขอการเพิ่ม LDAP สําหรับวัตถุต่อไปนี้ คําขอถูกปฏิเสธเนื่องจากไคลเอ็นต์มีแอตทริบิวต์ nTSecurityDescriptor ในคําขอเพิ่ม แต่ไม่ได้รับอนุญาตอย่างชัดเจนให้เขียนส่วนใดส่วนหนึ่งหรือมากกว่าของตัวบอกเกี่ยวกับความปลอดภัยใหม่ โดยยึดตามตัวบอกเกี่ยวกับความปลอดภัยที่ผสานเริ่มต้น วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ |
โหมดการบังคับใช้ - การปรับเปลี่ยน LDAP ล้มเหลว
เหตุการณ์ที่เกิดขึ้นเมื่อการดําเนินการปรับเปลี่ยน LDAP ถูกปฏิเสธ
|
บันทึกเหตุการณ์ |
บริการไดเรกทอรี |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
ID เหตุการณ์ |
3046 |
|
ข้อความเหตุการณ์ |
บริการไดเรกทอรีปฏิเสธการร้องขอการปรับเปลี่ยน LDAP สําหรับวัตถุต่อไปนี้ คําขอถูกปฏิเสธเนื่องจากไคลเอ็นต์มีแอตทริบิวต์ nTSecurityDescriptor ในคําขอปรับเปลี่ยน แต่ไม่ได้รับอนุญาตอย่างชัดเจนให้เขียนส่วนใดส่วนหนึ่งหรือมากกว่าของตัวบอกเกี่ยวกับความปลอดภัยใหม่ โดยยึดตามตัวบอกเกี่ยวกับความปลอดภัยที่มีอยู่ของวัตถุ วัตถุ DN: <> DN ของวัตถุที่สร้าง คลาสวัตถุ: <> objectClass ของวัตถุที่สร้างขึ้น ผู้ใช้: <ผู้ใช้ที่พยายามเพิ่ม> LDAP ที่อยู่ IP ไคลเอ็นต์: <IP ของ> ผู้ร้องขอ |
คำถามที่ถามบ่อย
คําถามที่ 1 จะเกิดอะไรขึ้นถ้าฉันมีตัวควบคุมโดเมน Active Directory หลายตัวผสมกันซึ่งได้รับการอัปเดตและไม่ได้รับการอัปเดต
A1 DC ที่ไม่ปรับปรุงจะไม่บันทึกเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่นี้
คําถามที่ 2 ฉันต้องทําอย่างไรกับตัวควบคุมโดเมน (RODC) Read-Only
A2 อะไร; LDAP Add and Modify operations cannot target RODCs.
Q3 ฉันมีผลิตภัณฑ์หรือกระบวนการของบริษัทอื่นที่ล้มเหลวหลังจากเปิดใช้งานโหมดการบังคับใช้ ฉันจําเป็นต้องให้สิทธิ์ของผู้ดูแลระบบโดเมนหรือบริการนี้หรือไม่
A3 โดยทั่วไปแล้วเราไม่แนะนําให้เพิ่มบริการหรือผู้ใช้ลงในกลุ่มผู้ดูแลโดเมนเป็นวิธีแรกในการแก้ไขปัญหานี้ ตรวจสอบบันทึกเหตุการณ์เพื่อดูสิทธิ์ที่เฉพาะเจาะจงที่จําเป็น และพิจารณาการมอบหมายสิทธิ์ที่จํากัดอย่างเหมาะสมสําหรับผู้ใช้รายนั้นในหน่วยขององค์กรแยกต่างหากที่กําหนดไว้สําหรับวัตถุประสงค์นั้น
Q4 ฉันเห็นเหตุการณ์การตรวจสอบสําหรับเซิร์ฟเวอร์ LDS ด้วย ทำไมเหตุการณ์เช่นนี้จึงเกิดขึ้น
A4ทั้งหมดข้างต้นยังนําไปใช้กับ AD LDS แม้ว่าจะเป็นเรื่องผิดปกติมากที่มีวัตถุคอมพิวเตอร์ใน LDS ขั้นตอนการลดปัญหาควรดําเนินการเพื่อเปิดใช้งานการป้องกัน AD LDS เมื่อโหมดตรวจสอบตรวจไม่พบสิทธิ์การใช้งานที่ไม่คาดคิดใดๆ
