Systém PowerScale OneFS používá protokol Netlogon jako zabezpečený kanál pro komunikaci se službou Active Directory. Tento článek obsahuje informace o dopadu chyby CVE-2022-38023 na systém PowerScale OneFS.
Zde je oznámení o chybě zabezpečení společnosti Microsoft pro CVE-2022-38023, ohrožení zabezpečení zabezpečení Netlogon RPC Elevation of Privilege Vulnerability
Společnost Microsoft vydala 8. listopadu 2022 aktualizaci, která zavedla následující klíč systémového registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
To má tři hodnoty:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
Systém PowerScale OneFS ve výchozím nastavení označí a zapečetí připojení zabezpečeného kanálu Netlogon Vyžadování zapečetění Netlogon kvůli chybě CVE-2022-38023 nemá vliv na systém PowerScale OneFS.
V Prohlížeči událostí systému Windows řadičů domény se mohou zobrazit následující události:
ID události | 5840 |
Text události | Služba Netlogon vytvořila zabezpečený kanál s klientem s RC4. |
Nová událost s ID 5840 je vytvořena s klienty PowerScale se systémem OneFS verze 9.4.x a staršími, které ve výchozím nastavení používají RC4 pro zabezpečený kanál NTLM Netlogon.
U klientů PowerScale OneFS s verzemi 9.5.0 a novějšími se nevytvoří nová událost s ID 5840. Systém PowerScale OneFS 9.5.0 používá pro přihlášení NTLM do sítě kryptografii AES.
Tyto aktualizace systému Microsoft pro systém Windows, které řeší chybu CVE-2022-38023, nemají žádný vliv na fungování klientů PowerScale OneFS s jakoukoli podporovanou verzí od verze 7.x.
Chcete-li využívat kryptografii AES pro zabezpečený kanál NTLM Netlogon v systému OneFS, proveďte upgrade na systém PowerScale OneFS verze 9.5.0 nebo novější.
Podpora kryptografie AES pro zabezpečený kanál NTLM Netlogon není zpětně portována do systému PowerScale OneFS verze 9.4.x a starší.
Související zdroje
Zde jsou doporučené zdroje související s tímto tématem, které by vás mohly zajímat:
Následující hodnota registru neplatí ve výchozím nastavenía nezpůsobuje žádné chyby ověřování, pokud není záměrně povolena:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
Pokud je hodnota záměrně nastavena na hodnotu TRUE (1 ), dojde u systému OneFS verze 9.4.x a starších k selhání ověřování NTLM.
Ověřte nastavení spuštěním následujícího příkazu PowerShellu:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
Příklad výstupu povolení:
U systému OneFS 9.4 a staršího a pokud RejectMd5Clients
, zobrazí se podobné chyby v /var/log/lsassd.log případě selhání ověřování NTLM:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295