[面向IT管理员] 请确认Active Directory安全强化措施
自2021年11月安全更新程序起,包含了四项针对Active Directory的安全强化措施以解决漏洞。其中部分强化措施考虑到现有环境的兼容性影响,默认未启用。建议您评估对自身环境的影响,尽早启用设置以保护组织免受漏洞威胁。为确保所有Active Directory环境得到保护,微软计划在后续更新程序中强制启用这些安全强化设置。
这些安全强化修复的漏洞在2021年11月安全更新发布时,漏洞详情及利用代码均未公开。但自安全更新发布以来,漏洞分析不断深入,可能存在广泛利用的风险。
Active Directory管理员请务必再次确认安全信息,评估启用安全强化对自身环境的影响,尽早启用设置以保护组织免受漏洞威胁。请注意,这些漏洞影响Active Directory,不影响Azure Active Directory。
概要
2021年11月安全更新包含以下四项安全强化措施。其中,保护CVE-2021-42297的安全强化(KB008380)和保护CVE-2021-42291的安全强化(KB5008383)默认未启用。请评估对自身环境的影响,尽早启用设置以保护组织免受漏洞威胁。微软计划在后续更新程序中强制启用这些安全强化。
| 安全强化内容 | 修复的漏洞CVE | 说明详细信息的支持技术文章(KB) | 安全强化启用计划 |
|---|---|---|---|
| Active Directory安全账户管理器更改强化 | CVE-2021-42278 Active Directory域服务特权提升漏洞 | KB5008102 | 安装2021年11月及之后的安全更新后,安全强化功能引入并启用 |
| 用户主体名、服务主体名、服务主体名别名的唯一性验证 | CVE-2021-42282 Active Directory域服务特权提升漏洞 | KB5008382 | 安装2021年11月及之后的安全更新后,安全强化功能引入并启用 |
| 认证更新 | CVE-2021-42287 Active Directory域服务特权提升漏洞 | KB5008380 | 安装2021年11月及之后的安全更新后,安全强化功能引入但默认未启用。计划2022年7月13日及之后发布的更新中功能启用并强制 |
| Active Directory权限更新 | CVE-2021-42291 Active Directory域服务特权提升漏洞 | KB5008383 | 安装2021年11月及之后的安全更新后,安全强化功能引入但默认未启用。计划2022年7月13日及之后发布的更新中默认启用 |
Active Directory安全账户管理器更改强化(CVE-2021-42278 / KB5008102)
漏洞概要
CVE-2021-42278是允许安全功能绕过的Active Directory安全账户管理器相关漏洞。此漏洞被利用时,攻击者可通过冒充计算机账户的sAMAccountName来冒充域控制器。
为修复漏洞,对Active Directory中的安全账户管理器(SAM)实施了安全强化。漏洞修复应用后,Active Directory将在非管理员用户创建或修改计算机账户的sAMAccountName及UserAccountControl时执行验证,不满足特定条件时返回ACCESS_DENIED错误代码并拒绝操作。此时,系统事件日志将记录Directory-Services-SAM事件ID16990。详情请参阅KB5008102。
应用漏洞修复的方法
在所有域控制器上应用2021年11月9日(美国时间)及之后发布的Windows更新程序。这将保护Active Directory免受漏洞威胁。
确认应用漏洞修复影响的方法
如果因对象类和UserAccountControl验证导致创建或修改被阻止,系统事件日志将记录Directory-Services-SAM事件ID16990。如果因SAM账户名验证被阻止,将记录Directory-Services-SAM事件ID16991。此外,创建或修改成功时也会记录事件。详情请参阅KB5008102。
用户主体名、服务主体名、服务主体名别名的唯一性验证(CVE-2021-42282 / KB5008382)
漏洞概要
CVE-2021-42282是允许特权提升的Active Directory域服务相关漏洞。
为修复此漏洞,对Active Directory中使用的属性添加了以下两项验证:
- 用户主体名(UPN)和服务主体名(SPN)的唯一性:漏洞修复应用后,SPN将在林内保证唯一,无法在计算机和域控制器上注册重复的SPN。此要求自Windows 8.1及之后版本引入。详情请参阅SPN and UPN uniqueness。
- SPN别名的唯一性:漏洞修复应用后,非管理员用户创建的SPN别名将保证唯一。所有Windows版本此前均无此唯一性要求。
应用漏洞修复的方法
应用2021年11月9日(美国时间)及之后发布的Windows更新程序后,Active Directory中使用的用户主体名(UPN)和服务主体名(SPN)的唯一性以及SPN别名的唯一性将得到验证。
考虑到兼容性问题,添加了可更改这些安全强化行为的属性dSHeuristics。但更改后将无法受到漏洞保护,因此不推荐更改。详情请参阅KB5008382。
确认应用漏洞修复影响的方法
请确认KB5008382中记载的常见问题。
认证更新(CVE-2021-42287 / KB5008380)
漏洞概要
CVE-2021-42287是允许安全功能绕过的Kerberos认证相关漏洞。此漏洞被利用时,攻击者可冒充目标域控制器。为利用此漏洞,攻击者从先前入侵的域账户向作为域控制器功能一部分的密钥分发中心(KDC)请求创建具有更高权限的Kerberos认证服务票据。此时,通过阻止KDC识别所请求服务票据的目标账户来成功攻击。
为修复此漏洞,引入了更强大的认证流程。修复后的流程中,Kerberos认证使用的Kerberos票据授予票据(TGT)的Kerberos特权属性证书(PAC)将包含原始请求方。修复后的流程在生成Kerberos认证服务票据时,会确认服务票据请求方账户与请求TGT的账户相同。
应用漏洞修复的方法
在所有域控制器(包括RODC)上应用2021年11月9日(美国时间)及之后发布的Windows更新程序。这将使所有Active Directory域账户使用的TGT包含PAC。
仅应用更新程序时,域控制器仍会认证不包含PAC的TGT,与之前相同。
应用更新程序后,系统事件日志将记录Microsoft-Windows-Kerberos-Key-Distribution-Center ID 35、36、37、38。这表示在验证不包含PAC的票据时,域控制器未来切换到拒绝认证不包含请求方PAC的行为时存在认证问题。
在所有域控制器上应用2021年11月9日(美国时间)及之后发布的Windows更新程序后,请至少正常运行7天以上。这将使默认设置下的TGT票据过期,切换到包含PAC的票据。
确认域控制器切换到拒绝认证不包含请求方PAC的行为没有问题后,将KB5008380中记载的注册表PacRequestorEnforcement的值更改为2。这将使域控制器拒绝认证不包含请求方PAC的行为,从而受到漏洞保护。
强制启用漏洞修复的更新发布计划
为确保所有Active Directory环境得到保护,微软计划在后续更新程序中强制启用这些安全强化设置。
应用计划于2022年7月12日(美国时间)发布的更新程序后,域控制器将必须添加请求方到PAC并发行TGT。如果PacRequestorEnforcement的值设置为0(不添加PAC),该值效果将被忽略。
应用计划于2022年10月11日(美国时间)发布的更新程序后,域控制器将拒绝认证不包含请求方PAC的行为,从而受到漏洞保护。此外,PacRequestorEnforcement注册表将被删除,无论设置何值均无效。
确认应用漏洞修复影响的方法
在所有域控制器(包括RODC)上应用2021年11月9日(美国时间)及之后发布的Windows更新程序,并至少经过7天后,确认在验证不包含PAC的票据时,域控制器未来切换到拒绝认证不包含请求方PAC的行为时,是否记录了表示认证问题的事件Microsoft-Windows-Kerberos-Key-Distribution-Center ID 35、36、37、38。
详情请参阅KB5008380以及支持团队博客CVE-2021-42287中添加的事件消息ID 35、37与漏洞应对流程。
Active Directory权限更新(CVE-2021-42291 / KB5008383)
漏洞概要
CVE-2021-42291是允许安全功能绕过的Active Directory属性相关漏洞。为利用此漏洞,攻击者需具备创建计算机账户所需的权限。
为修复此漏洞,引入了更强大的对象创建时权限验证。
修复后的流程中,非域管理员用户尝试通过LDAP Add创建计算机对象时,将记录事件或阻止操作。
非域管理员用户尝试对securityDescriptor属性进行LDAP Modify操作时,将临时移除隐式所有者特权,验证用户是否在无隐式所有者特权的情况下被允许写入安全描述符。
应用漏洞修复的方法
在所有域控制器(包括RODC)上应用2021年11月9日(美国时间)及之后发布的Windows更新程序。这将引入更强大的对象创建时权限验证。但此时,不满足要求的对象创建不会被阻止,而是会在事件日志中记录相应事件。
确认阻止不满足要求的对象创建没有问题后,将KB5008383中记载的属性值dSHeuristics更改为强制模式。这将阻止不满足要求的对象创建,从而受到漏洞保护。
强制启用漏洞修复的更新发布计划
为确保所有Active Directory环境得到保护,微软计划在后续更新程序中强制启用这些安全强化设置。
应用计划于2022年7月12日(美国时间)及之后发布的更新程序后,将强制阻止不满足要求的对象创建。此外,dSHeuristics将更改为强制模式,禁用模式将被删除。
确认应用漏洞修复影响的方法
通过确认KB5008383中记载的事件,可以评估影响。详情请参阅KB5008383。
为维护更安全、安心的环境,Active Directory管理员请务必再次确认安全信息,评估启用安全强化对自身环境的影响,尽早启用设置以保护组织免受漏洞威胁。
垣内由梨香 安全项目经理 安全响应团队
更新历史 2022年4月12日:更改认证更新(CVE-2021-42287 / KB5008380)的漏洞修复强制启用更新发布计划 2022年4月14日:更改Active Directory权限更新(CVE-2021-42291 / KB5008383)的漏洞修复强制启用更新发布计划