Gli aggiornamenti di Windows aggiungono nuove protezioni di autenticazione pass-through NTLM per CVE-2022-21857
Numero KB originale: 5010576
Dopo aver installato l'11 gennaio 2022, gli aggiornamenti di Windows o versioni successive contenenti protezioni per CVE-2022-21857, i controller di dominio applicano nuovi controlli di sicurezza per le richieste di autenticazione pass-through NTLM inviate da un dominio attendibile su un trust di dominio o foresta oppure inviati da un controller di dominio di sola lettura (RODC) su un trust del canale sicuro. I nuovi controlli di sicurezza richiedono che il dominio o il client autenticato sia appropriato per l'attendibilità in uso. In particolare, i controlli di sicurezza appropriati per il tipo di trust usato rifiuteranno la richiesta di autenticazione pass-through NTLM se i requisiti seguenti non sono soddisfatti:
- Le richieste su un trust di dominio devono usare lo stesso nome di dominio del dominio attendibile.
- Le richieste su un trust tra foreste devono usare un nome di dominio membro della foresta trusting e non ha un conflitto di nomi da altre foreste.
- Le richieste inoltrate da un controller di dominio di sola lettura devono usare un nome client per il quale il controller di dominio di sola lettura è stato precedentemente autorizzato a memorizzare nella cache i segreti.
Per supportare le convalide di trust tra domini e foreste, il controller di dominio primario (PDC) del dominio radice in ogni foresta viene aggiornato per eseguire periodicamente query LDAP (Lightweight Directory Access Protocol). Le query vengono eseguite ogni otto ore per tutti i nomi di dominio in ogni foresta trusting, denominata "analisi trust". Questi nomi di dominio vengono archiviati nell'attributo msDS-TrustForestTrustInfo
dell'oggetto TDO (Trusted Domain Object) corrispondente.
Prerequisiti
Man mano che vengono aggiunti nuovi comportamenti di analisi attendibilità dagli aggiornamenti, qualsiasi elemento che blocca il traffico di attività LDAP, l'autenticazione e l'autorizzazione dal PDC di una foresta attendibile alla foresta trusting causerà un problema:
- Se vengono usati firewall, le porte TCP e UDP 389 devono essere consentite tra i controller di dominio pdc attendibili e i controller di dominio attendibili, nonché la comunicazione per gestire l'attendibilità (risoluzione dei nomi, RPC per NTLM e porta 88 per Kerberos).
- Il PDC della foresta attendibile richiede anche il diritto Di accedere al computer dall'utente di rete per eseguire l'autenticazione ai controller di dominio attendibili. Per impostazione predefinita, "utenti autenticati" hanno il diritto utente che include il PDC del dominio attendibile.
- Il PDC nel dominio attendibile deve disporre di autorizzazioni di lettura sufficienti per il contenitore delle partizioni della foresta trusting nel controller di rete di configurazione e negli oggetti figlio. Per impostazione predefinita, "utenti autenticati" dispongono dell'accesso, che si applica al PDC del dominio attendibile chiamante.
- Quando è abilitata l'autenticazione selettiva, al PDC nella foresta attendibile deve essere concessa l'autorizzazione Consentita per l'autenticazione per gli account computer del controller di dominio della foresta attendibili per proteggere le foreste attendibili.
Se una foresta trusting non consente alla foresta attendibile di eseguire query sulle informazioni di attendibilità, la foresta trusting potrebbe essere a rischio di attacchi di inoltro NTLM.
Ad esempio, la foresta A considera attendibile la foresta B e la foresta C considera attendibile la foresta B. Se la foresta A rifiuta di consentire l'autenticazione o l'attività LDAP dal dominio radice nella foresta B, la foresta A è a rischio di un attacco di inoltro NTLM da una foresta C dannosa o compromessa.
Nuovi eventi
Gli eventi seguenti vengono aggiunti come parti delle protezioni per CVE-2022-21857 e vengono registrati nel registro eventi di sistema.
Eventi correlati al servizio Netlogon
Per impostazione predefinita, il servizio Netlogon limita gli eventi per gli avvisi e le condizioni di errore, il che significa che non registra avvisi per richiesta o eventi di errore. Gli eventi di riepilogo (ID evento Netlogon 5832 e Netlogon event ID 5833) vengono invece registrati una volta al giorno per le autenticazioni pass-through NTLM bloccate dai nuovi controlli di sicurezza introdotti in questo aggiornamento oppure sono state bloccate ma sono state consentite a causa della presenza di un flag di esenzione configurato dall'amministratore.
Se viene registrato l'ID evento Netlogon 5832 o Netlogon event ID 5833 e sono necessarie altre informazioni, disabilitare la limitazione degli eventi creando e impostando il ThrottleNTLMPassThroughAuthEvents
valore REG_DWORD su zero nel percorso del Registro di sistema seguente:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Note
Questa impostazione diventa effettiva immediatamente senza un riavvio del sistema o del servizio e non è sotto il controllo di un oggetto Criteri di gruppo.This setting takes effect immediately without a system or service restart, and it't under the control of a Group Policy Object (GPO).
ID evento Netlogon | Testo del messaggio di evento | Note |
---|---|---|
5832 | Il servizio Netlogon ha consentito una o più richieste di autenticazione NTLM pass-through non sicure da domini attendibili e/o foreste durante la finestra di limitazione degli eventi più recente. Queste richieste non sicure vengono normalmente bloccate, ma sono state autorizzate a procedere a causa della configurazione di attendibilità corrente. Avviso: se si consentono richieste di autenticazione pass-through non sicure, la foresta Active Directory verrà esposta agli attacchi. Per altre informazioni su questo problema, visitare https://go.microsoft.com/fwlink/?linkid=276811 .Numero di richieste non protette consentite a causa dell'override amministrativo: <Numero di conteggio> |
Questo evento di avviso registra il numero di autenticazioni pass-through non sicure consentite a causa della presenza di un flag di esenzione configurato dall'amministratore. |
5833 | Il servizio Netlogon ha bloccato una o più richieste di autenticazione NTLM pass-through non sicure da client, domini e/o foreste attendibili durante la finestra di limitazione degli eventi più recente. Per altre informazioni su questo problema, tra cui come abilitare la registrazione più dettagliata, visitare https://go.microsoft.com/fwlink/?linkid=276811 .Numero di richieste non protette bloccate: <Numero conteggio> |
Questo evento di avviso registra il numero di autenticazioni pass-through non sicure bloccate. |
5834 | Il servizio Netlogon ha consentito una richiesta di autenticazione NTLM pass-through non protetta da un client, un dominio o una foresta attendibili. Questa richiesta non protetta viene normalmente bloccata, ma è stata consentita l'esecuzione a causa della configurazione dell'attendibilità corrente. Avviso: se si consentono richieste di autenticazione pass-through non sicure, la foresta Active Directory verrà esposta agli attacchi. Per altre informazioni su questo problema, visitare https://go.microsoft.com/fwlink/?linkid=276811 .Nome account: <Nome account> Nome attendibilità: <Nome attendibilità> Tipo di attendibilità: <tipo di attendibilità> Indirizzo IP client: <indirizzo IP client> Motivo blocco: <Motivo blocco> Nome Netbios del server di risorse: <Nome Netbios del server di risorse> Nome DNS del server di risorse: <nome DNS del server di risorse> Nome Netbios dominio risorsa: <Nome Netbios dominio risorsa> Nome DNS del dominio delle risorse: <Nome DNS dominio risorse> |
Questo evento di avviso viene registrato solo quando la limitazione degli eventi Netlogon è stata disabilitata. Registra una richiesta di autenticazione pass-through specifica consentita a causa di un flag di esenzione configurato dall'amministratore. |
5835 | Il servizio Netlogon ha bloccato una richiesta di autenticazione NTLM pass-through non protetta da un client, un dominio o una foresta attendibili. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=276811 .Nome account: <Nome account> Nome attendibilità: <Nome attendibilità> Tipo di attendibilità: <tipo di attendibilità> Indirizzo IP client: <indirizzo IP client> Motivo blocco: <Motivo blocco> Nome Netbios del server di risorse: <Nome Netbios del server di risorse> Nome DNS del server di risorse: <nome DNS del server di risorse> Nome Netbios dominio risorsa: <Nome Netbios dominio risorsa> Nome DNS del dominio delle risorse: <Nome DNS dominio risorse> |
Questo evento di avviso viene registrato solo quando la limitazione degli eventi Netlogon è stata disabilitata. Registra una richiesta di autenticazione pass-through specifica bloccata. |
Eventi correlati all'autorità di sicurezza locale (LSA)
Note
Questi eventi non sono limitati.
ID evento LSA | Testo del messaggio di evento | Note |
---|---|---|
6148 | Il PDC ha completato un'operazione di analisi automatica dei trust per tutti i trust senza errori. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089 . |
Questo evento informativo dovrebbe essere visualizzato periodicamente ogni otto ore. |
6149 | Il PDC ha completato un'operazione di analisi automatica dei trust per tutti i trust e ha rilevato almeno un errore. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089 . |
Questo evento di avviso deve essere analizzato, soprattutto se viene visualizzato ogni otto ore. |
6150 | Il PDC ha completato un'operazione di analisi dell'attendibilità richiesta dall'amministratore per il trust '<Trust Name>' senza errori. Altre informazioni sono disponibili all'indirizzo https://go.microsoft.com/fwlink/?linkid=2162089. |
Questo evento informativo viene usato per tenere traccia quando gli amministratori richiamano manualmente lo scanner di attendibilità PDC usando il netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet . |
6151 | Il PDC non è riuscito a trovare l'attendibilità specificata '<Trust Name>' per l'analisi. Il trust non esiste o non è né un trust in ingresso o bidirezionale. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089 . |
Questo evento di avviso tiene traccia quando gli amministratori richiamano manualmente lo scanner di attendibilità PDC usando un nome di foresta non valido. |
6152 | Il PDC ha completato un'operazione di analisi dell'attendibilità richiesta dall'amministratore per il trust '<Trust Name>' e ha rilevato un errore. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089 . |
Questo evento di avviso tiene traccia quando gli amministratori richiamano manualmente lo scanner di attendibilità PDC (per tutti i trust) eseguendo il netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet e l'operazione non riesce. |
6153 | Il PDC ha rilevato un errore durante il tentativo di analizzare l'attendibilità denominata. Trust: Trust Name>Error: <<Error Message>More information can be found at https://go.microsoft.com/fwlink/?linkid=2162089 . |
Questo evento di avviso è un complemento all'evento precedente e include un codice di errore. Viene registrato durante le analisi di attendibilità pianificate che si verificano ogni otto ore. |
Quando un codice di errore viene incluso in alcuni degli eventi correlati all'errore, è necessario abilitare la traccia per ulteriori indagini.
Miglioramenti alla registrazione Netlogon e alla registrazione LSA
La registrazione netlogon (%windir%\debug\netlogon.log) e la registrazione LSA (lsp.log) vengono aggiornate per supportare i miglioramenti apportati agli aggiornamenti.
Abilitare e disabilitare la registrazione netlogon (netlogon.log)
Per abilitare la registrazione netlogon, eseguire il comando seguente:
nltest /dbflag:2080ffff
Per disabilitare la registrazione netlogon dopo le indagini, eseguire il comando seguente:
nltest /dbflag:0
Abilitare e disabilitare la registrazione LSA (lsp.log) tramite PowerShell
Per abilitare la registrazione LSA, eseguire i cmdlet seguenti:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
Per disabilitare la registrazione LSA, eseguire i cmdlet seguenti:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Abilitare e disabilitare la registrazione LSA (lsp.log) usando reg.exe (per il sistema operativo legacy senza PowerShell)
Per abilitare la registrazione LSA, eseguire i comandi reg seguenti:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f
Per disabilitare la registrazione LSA, eseguire i comandi reg seguenti:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
Miglioramenti agli strumenti di nltest.exe e netdom.exe
Gli strumenti nltest.exe e netdom.exe vengono aggiornati per supportare i miglioramenti in questo aggiornamento.
miglioramenti Nltest.exe
Lo strumento nltest.exe può eseguire query e visualizzare tutti i record in un msDS-TrustForestTrustInfo
attributo di un oggetto dominio attendibile usando il comando seguente:
nltest.exe /lsaqueryfti:<Trusting Forest Name>
Ecco un esempio con l'output:
C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com
TLN: contoso.com
Dom: contoso.com
Scan: contoso.com Sid:(null) Flags:0x0
The command completed successfully
Note
Il termine "Analisi" nell'output fa riferimento a un nuovo tipo di record "Scanner" che persiste durante le operazioni dello scanner di attendibilità PDC.
miglioramenti Netdom.exe
Lo strumento netdom.exe può avviare le nuove operazioni dello scanner di attendibilità PDC e impostare un flag di esenzione del controllo di sicurezza per un dominio attendibile specifico o un dominio figlio specifico in una foresta trusting.
Avviare le operazioni dello scanner di attendibilità PDC.
Per tutte le foreste attendibili, eseguire i comandi seguenti:
netdom trust <Local Forest> /Domain:* /InvokeTrustScanner
Per una foresta trusting specifica, eseguire i comandi seguenti:
netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner
Note
Questo comando deve essere eseguito localmente nel PDC della foresta locale.
Questo comando può avviare l'operazione solo. Per individuare il risultato, cercare nel registro eventi di sistema i nuovi eventi LSA e abilitare la traccia LSA, se necessario.
Analisi delle autenticazioni pass-through NTLM non riuscite
Note
Prima di seguire questa procedura, assicurarsi che la configurazione soddisfi i requisiti, come descritto nella sezione Prerequisiti .
I passaggi principali sono indicati di seguito.
Abilitare la registrazione netlogon e LSA in tutti i controller di dominio coinvolti.
Riprodurre il problema.
Disabilitare la registrazione netlogon e LSA.
Cercare i termini seguenti nel file di netlogon.log ed esaminare le voci di log che descrivono gli errori:
- "LsaIFilterInboundNamespace"
- "NlpValidateNTLMTargetInfo"
- "NlpVerifyTargetServerRODCCachability"
- "ResourceDomainNameCollidesWithLocalForest"
Cercare il termine "LsaDbpFilterInboundNamespace" nel file lsp.log ed esaminare le voci di log che descrivono gli errori.
Note
Per un'autenticazione con failover su un trust tra foreste, usare la nuova opzione nltest.exe per eseguire il dump di tutti i nuovi record salvati in modo permanente dallo scanner di attendibilità PDC.
Analisi delle operazioni dello scanner di attendibilità PDC non riuscite
Note
Prima di seguire questa procedura, assicurarsi che la configurazione soddisfi i requisiti, come descritto nella sezione Prerequisiti .
I passaggi principali sono indicati di seguito.
Abilitare la registrazione LSA nel PDC.
Per operazioni specifiche dello scanner di attendibilità, questa traccia può essere limitata al flag TRACE_LEVEL_LSP_FOREST_SCANNER.
Riprodurre il problema usando la nuova funzionalità di netdom.exe
/InvokeTrustScanner
.Disabilitare la registrazione LSA.
Cercare il termine "fail" o "failed" nel file di lsp.log ed esaminare le voci del log.
Lo scanner di attendibilità potrebbe non riuscire con i motivi seguenti:
Autorizzazioni mancanti nel contenitore delle partizioni.
Le porte del firewall necessarie tra i controller di dominio e tra membri e controller di dominio non sono aperte. Ecco le porte del firewall:
- UDP+TCP/389
- TCP/88
- UDP+TCP/53
Mitigazioni dei problemi
Se le autenticazioni non riescono a causa di conflitti di nomi di dominio, configurazione errata o circostanze impreviste, rinominare i domini in collisione per evitare conflitti per mitigare il problema.
Se le autenticazioni su un trust del canale protetto del controller di dominio di sola lettura hanno esito negativo, contattare il supporto tecnico Microsoft per questo problema perché non sono disponibili metodi di mitigazione.
Se lo scanner di attendibilità PDC ha esito negativo, la mitigazione dipende da un contesto specifico. Ad esempio, ai controller di dominio in una foresta attendibile non vengono concesse autorizzazioni di query LDAP per il contesto di denominazione della configurazione della foresta trusting. La mitigazione consiste nel concedere le autorizzazioni.
Domande frequenti
D1: La frequenza dello scanner di attendibilità PDC è configurabile?
A1: No.
D2: Lo scanner di attendibilità PDC verrà richiamato automaticamente al momento della creazione di un nuovo trust tra foreste?
A2: No. Gli amministratori possono richiamarlo manualmente, se necessario, altrimenti la nuova foresta verrà analizzata al successivo intervallo regolare.
D3: I nuovi record scanner possono essere modificati dagli amministratori di dominio?
A3: Sì, ma non è consigliato o supportato. Se i record scanner vengono creati, modificati o eliminati in modo imprevisto, lo scanner di attendibilità PDC ripristina le modifiche alla successiva esecuzione.
D4: Sono sicuro che NTLM non viene usato nell'ambiente. Come posso disattivare questo comportamento?
A4: In generale, i nuovi comportamenti non possono essere disattivati. Le convalide di sicurezza specifiche del controller di dominio di sola lettura non possono essere disabilitate. È possibile impostare un flag di esenzione del controllo di sicurezza per un caso di attendibilità del dominio o un caso di trust tra foreste.
D5: È necessario apportare modifiche alla configurazione prima di installare questo aggiornamento?
A5: Forse. Assicurarsi che la configurazione soddisfi i requisiti, come descritto nella sezione Prerequisiti .
D6: È necessario applicare patch ai controller di dominio in un ordine specifico per rendere effettivo l'aggiornamento?
A6: sono supportate tutte le varianti dell'ordine di applicazione di patch. La nuova operazione dello scanner di attendibilità PDC diventa effettiva solo dopo l'applicazione di patch al PDC. Tutti i controller di dominio con patch inizieranno immediatamente ad applicare le restrizioni del controller di dominio di sola lettura. I controller non PDC con patch non applicano restrizioni pass-through NTLM finché il PDC non viene patchato e inizia a creare nuovi record scanner negli attributi msDS-TrustForestTrustInfo. I controller di dominio non con patch (non PDC) ignoreranno i nuovi record dello scanner una volta presenti.
D7: Quando la foresta sarà sicura?
A7: la foresta sarà sicura dopo che tutti i controller di dominio in tutti i domini hanno installato questo aggiornamento. Le foreste attendibili saranno protette dopo che lo scanner di attendibilità PDC ha completato almeno un'operazione riuscita e la replica è riuscita.
D8: Non è possibile controllare i domini o le foreste attendibili. Come è possibile assicurarsi che la foresta sia sicura?
A8: Vedere la domanda precedente. La sicurezza della foresta non dipende dallo stato di applicazione di patch di domini o foreste attendibili. Consigliamo a tutti i clienti di applicare patch ai controller di dominio. Modificare inoltre la configurazione descritta nella sezione Prerequisiti .
Riferimenti
Per altre informazioni sui dettagli tecnici specifici, vedere: