PowerScale OneFS verwendet Netlogon als sicheren Kanal für die Kommunikation mit Active Directory. Dieser Artikel enthält einige Informationen zu den Auswirkungen von CVE-2022-38023 auf PowerScale OneFS.
Ankündigung der Microsoft-Sicherheitslücke CVE-2022-38023, Sicherheitslücke bezüglich der Erhöhung von Berechtigungen durch Netlogon RPC Microsoft
hat am 8. November 2022 ein Update veröffentlicht, mit dem der folgende Systemregistrierungsschlüssel eingeführt wurde:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
Das hat drei Werte:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
PowerScale OneFS signiert und versiegelt standardmäßig die sichere Kanalverbindung von Netlogon Die Anforderung der Netlogon-Versiegelung aufgrund von CVE-2022-38023 hat keine Auswirkungen auf PowerScale OneFS.
Möglicherweise werden die folgenden Ereignisse in der Windows-Ereignisanzeige der Domänencontroller protokolliert:
Ereignis-ID | 5840 |
Ereignistext | Der Netlogon-Service hat einen sicheren Kanal mit einem Client mit RC4 erstellt. |
Eine neue Ereignis-ID 5840 wird mit PowerScale-Clients erstellt, auf denen OneFS-Versionen 9.4.x und früher ausgeführt werden, die standardmäßig RC4 für NTLM Netlogon Secure Channel verwenden.
Eine neue Ereignis-ID 5840 wird nicht mit PowerScale OneFS-Clients erstellt, auf denen Version 9.5.0 und höher ausgeführt wird. PowerScale OneFS 9.5.0 verwendet AES-Kryptografie für NTLM Netlogon.
Diese Updates für Windows von Microsoft zur Umsetzung von CVE-2022-38023 haben keine funktionalen Auswirkungen auf PowerScale OneFS-Clients, auf denen eine unterstützte Version seit 7.x ausgeführt wird.
Um die Vorteile der AES-Verschlüsselung für NTLM Netlogon Secure Channel in OneFS zu nutzen, führen Sie ein Upgrade auf PowerScale OneFS Version 9.5.0 oder höher durch.
Die Unterstützung der AES-Verschlüsselung für NTLM Netlogon Secure Channel wird nicht auf PowerScale OneFS-Versionen 9.4.x und früher zurückportiert.
Verwandte Ressourcen
Hier sind empfohlene Ressourcen zu diesem Thema, die möglicherweise von Interesse sind:
Der folgende Registrierungswert gilt nicht standardmäßig und verursacht keine Authentifizierungsfehler, es sei denn, er wurde absichtlich aktiviert:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
Wenn der Wert absichtlich auf TRUE (1) festgelegt wird , führt dies zu NTLM-Authentifizierungsfehlern auf OneFS-Versionen 9.4.x und früher.
Überprüfen Sie die Einstellung, indem Sie den folgenden PowerShell-Befehl ausführen:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
Beispielausgabe der Aktivierung:
Für OneFS 9.4 und früher und wenn die RejectMd5Clients
aktiviert ist, werden ähnliche Fehler in /var/log/lsassd.log für eine fehlgeschlagene NTLM-Authentifizierung angezeigt:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295