PowerScale:Netlogon RPC 特权提升漏洞 (CVE-2022-38023)
概要: CVE-2022-38023 对 PowerScale 客户端没有功能影响。OneFS 应升级到 9.5 或更高版本,以便对 Netlogon 使用 AES 加密。
この記事は次に適用されます:
この記事は次には適用されません:
現象
PowerScale OneFS 使用 Netlogon 作为与 Active Directory 通信的安全通道。本文提供有关 CVE-2022-38023 对 PowerScale OneFS 的影响的一些信息。
以下是针对 CVE-2022-38023 Netlogon RPC 特权提升漏洞
Microsoft 于 2022 年 11 月 8 日发布的更新,其中引入了以下系统注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
这有三个值:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
默认情况下,PowerScale OneFS 会签署并密封 Netlogon 安全通道连接由于 CVE-2022-38023 而要求 Netlogon 密封 不会 影响 PowerScale OneFS。
您可能会看到域控制器的 Windows 事件查看器中记录以下事件:
| 事件 ID | 5840 |
| 事件文本 | Netlogon 服务使用 RC4 创建了与客户端的安全通道。 |
新事件 ID 5840 是使用运行 OneFS 版本 9.4.x 及更低版本的 PowerScale 客户端创建的, 这些客户端默认将 RC4 用于 NTLM Netlogon 安全通道。
新事件 ID 5840 不是 使用运行版本 9.5.0 及更高版本的 PowerScale OneFS 客户端创建的。PowerScale OneFS 9.5.0 使用 AES 加密进行 NTLM Netlogon。
原因
Microsoft 引入了一种分阶段方法,要求密封 Netlogon 通信。
解決方法
Microsoft 为解决 CVE-2022-38023 而对 Windows 的这些更新对运行自 7.x 以来任何受支持版本的 PowerScale OneFS 客户端 没有 功能影响。
要在 OneFS 中利用 NTLM Netlogon 安全通道的 AES 加密,请升级到 PowerScale OneFS 版本 9.5.0 或更高版本。
对 NTLM Netlogon 安全通道的 AES 加密支持不会向后移植到 PowerScale OneFS 版本 9.4.x 及更低版本。
相关资源
以下是可能您感兴趣的与此主题相关的推荐资源:
- 戴尔文章 152189:PowerScale OneFS 信息中心
- 戴尔文章 184794,PowerScale OneFS 当前修补程序
- 戴尔文章 63022,PowerScale:OneFS:NFS 客户端设置的最佳实践
その他の情報
默认情况下,以下注册表值不适用,除非有意启用,否则不会导致任何身份验证失败:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
如果特意将该值设置为 TRUE (1),这 会导致 OneFS 版本 9.4.x 及更早版本上的 NTLM 身份验证失败。
通过运行以下 PowerShell 命令验证设置:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
启用它的输出示例:
对于 OneFS 9.4 及更低版本,如果 RejectMd5Clients 值已启用,您会在 /var/log/lsassd.log 中看到与失败的 NTLM 身份验证类似的错误:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295
文書のプロパティ
文書番号: 000207527
文書の種類: Solution
最終更新: 01 5月 2024
バージョン: 7
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。