PowerScale OneFS використовує Netlogon як безпечний канал зв'язку з Active Directory. У цій статті наведено деяку інформацію про вплив CVE-2022-38023 на PowerScale OneFS.
Ось оголошення про вразливість системи безпеки Microsoft для CVE-2022-38023, Netlogon RPC Elevation of Privilege Vulnerability
8 листопада 2022 року корпорація Майкрософт випустила оновлення, яке представило такий ключ системного реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
Це має три значення:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
PowerScale OneFS за замовчуванням підписує та запечатує безпечне з'єднання каналу Netlogon Вимога герметизації Netlogon через CVE-2022-38023 не впливає на PowerScale OneFS.
У засобі перегляду подій Windows контролерів домену можуть відображатися такі події:
Ідентифікатор події | 5840 |
Текст події | Сервіс Netlogon створив захищений канал з клієнтом з RC4. |
Новий ідентифікатор події 5840 створюється за допомогою клієнтів PowerScale під керуванням OneFS версій 9.4.x і старіших версій, які за замовчуванням використовують RC4 для захищеного каналу NTLM Netlogon.
Новий ідентифікатор події 5840 не створюється для клієнтів PowerScale OneFS, які працюють у випусках 9.5.0 або новіших версіях. PowerScale OneFS 9.5.0 використовує криптографію AES для NTLM Netlogon.
Ці оновлення Windows від корпорації Майкрософт для вирішення проблеми CVE-2022-38023 не мають функціонального впливу на клієнти PowerScale OneFS, які працюють у будь-якому підтримуваному випуску, починаючи з версії 7.x.
Щоб скористатися перевагами криптографії AES для захищеного каналу NTLM Netlogon у OneFS, оновіть OneFS до PowerScale версії 9.5.0 або новішої.
Підтримка криптографії AES для захищеного каналу NTLM Netlogon не портується на PowerScale OneFS у версіях 9.4.x і старіших версіях.
Пов'язані ресурси
Ось рекомендовані ресурси, пов'язані з цією темою, які можуть зацікавити:
Наведене нижче значення реєстру не застосовується за замовчуваннямі не спричиняє жодних помилок автентифікації, якщо його навмисно не ввімкнено:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
Якщо навмисно встановлено значення TRUE (1 ), це призведе до помилок автентифікації NTLM у версіях OneFS 9.4.x і старіших версіях.
Перевірте налаштування, виконавши таку команду PowerShell:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
Приклад виведення, коли його ввімкнено:
Для OneFS 9.4 і більш ранніх версій, а також якщо RejectMd5Clients
значення увімкнено, ви бачите подібні помилки в /var/log/lsassd.log для невдалої автентифікації NTLM:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295