Обновления Windows добавляют новые защиты сквозной проверки подлинности NTLM для CVE-2022-21857

Исходный номер базы знаний: 5010576

После установки обновлений Windows от 11 января 2022 г. или более поздних обновлений Windows, содержащих средства защиты для CVE-2022-21857, контроллеры домена (DCs) будут применять новые проверки безопасности для запросов сквозной проверки подлинности NTLM, отправляемых доверенным доменом через домен или лес доверия или контроллером домена только для чтения (RODC) по защищенному каналу доверия. Новые проверки безопасности требуют, чтобы домен или клиент, прошедшие проверку подлинности, соответствовали используемому доверию. В частности, проверки безопасности, соответствующие используемому типу доверия, отклоняют запрос на сквозную проверку подлинности NTLM, если не удовлетворяются следующие требования:

• Запросы по доверенному домену должны использовать то же доменное имя, что и доверенный домен.
• Запросы по доверию леса должны использовать доменное имя, которое является членом доверяющего леса и не имеет конфликта имен из других лесов.
• Запросы, переадресованные RODC, должны использовать имя клиента, для которого RODC ранее был авторизован на кэширование секретов.

Для поддержки проверки доверия между доменами и лесом основной контроллер домена (PDC) корневого домена в каждом лесу обновляется, чтобы периодически выдавать запросы LDAP. Запросы выдаются каждые восемь часов для всех доменных имен в каждом лесу доверия, который называется проверкой доверия. Эти доменные имена хранятся в атрибуте msDS-TrustForestTrustInfo соответствующего доверенного объекта домена (TDO).

Предварительные требования

По мере добавления обновлений новых вариантов проверки доверия все, что блокирует трафик активности LDAP, проверку подлинности и авторизацию из PDC доверенного леса в доверенный лес, вызовет проблему:

• Если используются брандмауэры, необходимо разрешить порты TCP и UDP 389 между доверенным контроллером домена и доверенными контроллерами домена, а также взаимодействие для управления доверием (разрешение имен, RPC для NTLM и порт 88 для Kerberos).
• PDC доверенного леса также требует права доступа к этому компьютеру от сетевого пользователя для проверки подлинности в доверенных контроллерах домена. По умолчанию пользователи, прошедшие проверку подлинности, имеют право пользователя, которое включает в себя доверенный домен PDC.
• PDC в доверенном домене должен иметь достаточные разрешения на чтение для контейнера разделов доверяющего леса в конфигурации NC и дочерних объектов. По умолчанию доступ для пользователей, прошедших проверку подлинности, применяется к PDC вызывающего доверенного домена.
• Если включена выборочная проверка подлинности, PDC в доверенном лесу должно быть предоставлено разрешение Разрешено на проверку подлинности учетным записям компьютеров доверенного леса контроллера домена для защиты доверяющих лесов.

Если доверяющий лес не позволяет доверенному лесу запрашивать сведения о доверии, он может подвергнуться риску атак ретранслятора NTLM.

Например, лес A доверяет лесу B, а лес C — лесУ B. Если лес A отказывается разрешить проверку подлинности или действия LDAP из корневого домена в лесу B, то лес A подвергается риску атаки ретранслятора NTLM из вредоносного или скомпрометированного леса C.

Новые события

Следующие события добавляются в состав средств защиты для CVE-2022-21857 и регистрируются в журнале системных событий.

События, связанные со службой netlogon

По умолчанию служба Netlogon регулирует события для предупреждений и условий ошибок, что означает, что она не регистрирует предупреждения по запросу или события сбоя. Вместо этого сводные события (событие Netlogon с идентификатором 5832 и событие Netlogon с идентификатором 5833) регистрируются один раз в день для сквозной проверки подлинности NTLM, которые либо блокируются новыми проверками безопасности, введенными в это обновление, либо должны были быть заблокированы, но были разрешены из-за наличия флага исключения, настроенного администратором.

Если зарегистрировано событие Netlogon с идентификатором 5832 или событие Netlogon с идентификатором 5833 и вам требуются дополнительные сведения, отключите регулирование событий, создав и задав ThrottleNTLMPassThroughAuthEvents значение REG_DWORD равным нулю в следующем пути реестра:

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Примечание.

Этот параметр вступает в силу немедленно без перезапуска системы или службы и не контролируется объектом групповая политика (GPO).

Идентификатор события netlogon	Текст сообщения о событии	Заметки
5832	Служба Netlogon разрешала один или несколько небезопасных запросов проверки подлинности NTLM сквозной передачи из доверенных доменов и (или) лесов в течение последнего окна регулирования событий. Эти небезопасные запросы обычно блокируются, но им разрешено продолжать работу из-за текущей конфигурации доверия. Предупреждение. Если разрешить небезопасные запросы сквозной проверки подлинности, лес Active Directory будет подвергаться атакам. Дополнительные сведения об этой проблеме см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Число небезопасных запросов, разрешенных из-за административного переопределения: <Count Number>	Это предупреждение регистрирует количество небезопасных сквозных аутентификаций, которые были разрешены из-за наличия флага исключения, настроенного администратором.
5833	Служба Netlogon заблокировала один или несколько небезопасных запросов сквозной проверки подлинности NTLM от доверенных клиентов, доменов и (или) лесов в течение последнего периода регулирования событий. Дополнительные сведения об этой проблеме, включая включение более подробного ведения журнала, см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Число заблокированных небезопасных запросов: <число>	Это событие предупреждения регистрирует количество небезопасных сквозных аутентификаций, которые были заблокированы.
5834	Служба Netlogon разрешила небезопасный запрос сквозной проверки подлинности NTLM от доверенного клиента, домена или леса. Этот небезопасный запрос обычно блокируется, но ему разрешено продолжить из-за текущей конфигурации доверия. Предупреждение. Если разрешить небезопасные запросы сквозной проверки подлинности, лес Active Directory будет подвергаться атакам. Дополнительные сведения об этой проблеме см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Имя учетной записи: <имя учетной записи> Имя доверия: <имя доверия> Тип доверия: <Тип доверия> IP-адрес клиента: <IP-адрес клиента> Причина блокировки: <причина блокировки> Netbios-имя сервера ресурсов: <Имя netbios сервера ресурсов> DNS-имя сервера ресурсов: <DNS-имя сервера ресурсов> Имя netbios домена ресурсов: <имя netbios домена ресурса> DNS-имя домена ресурса: <DNS-имя домена ресурса>	Это событие предупреждения регистрируется только в том случае, если регулирование событий Netlogon отключено. Он регистрирует конкретный запрос сквозной проверки подлинности, который был разрешен из-за флага исключения, настроенного администратором.
5835	Служба Netlogon заблокировала небезопасный запрос сквозной проверки подлинности NTLM от доверенного клиента, домена или леса. Дополнительные сведения см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Имя учетной записи: <имя учетной записи> Имя доверия: <имя доверия> Тип доверия: <Тип доверия> IP-адрес клиента: <IP-адрес клиента> Причина блокировки: <причина блокировки> Netbios-имя сервера ресурсов: <Имя netbios сервера ресурсов> DNS-имя сервера ресурсов: <DNS-имя сервера ресурсов> Имя netbios домена ресурсов: <имя netbios домена ресурса> DNS-имя домена ресурса: <DNS-имя домена ресурса>	Это событие предупреждения регистрируется только в том случае, если регулирование событий Netlogon отключено. Он регистрирует конкретный запрос сквозной проверки подлинности, который был заблокирован.

События, связанные с локальным центром безопасности (LSA)

Примечание.

Эти события не регулируются.

Идентификатор события LSA	Текст сообщения о событии	Заметки
6148	PDC завершил автоматическую проверку доверия для всех доверия без ошибок. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2162089.	Ожидается, что это информационное событие будет периодически отображаться каждые восемь часов.
6149	PDC завершил автоматическую проверку доверия для всех доверия и обнаружил по крайней мере одну ошибку. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение следует исследовать, особенно если оно отображается каждые восемь часов.
6150	PDC завершил запрошенную администратором операцию проверки доверия для доверия "<Имя> доверия" без ошибок. Дополнительные сведения см. по адресу https://go.microsoft.com/fwlink/?linkid=2162089.	Это информационное событие используется для отслеживания того, когда администраторы вручную вызывают сканер доверия PDC с помощью командлета netdom trust <Local Forest> /Domain:* /InvokeTrustScanner .
6151	PDC не удалось найти указанное доверие "<Имя> доверия" для сканирования. Доверие либо не существует, либо не является ни входящим, ни двунаправленным доверием. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2162089.	Это событие предупреждения отслеживает, когда администраторы вручную вызывают средство проверки доверия PDC с использованием неправильного имени леса.
6152	PDC завершил запрошенную администратором операцию проверки доверия для доверия "<Имя> доверия" и обнаружил ошибку. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2162089.	Это событие предупреждения отслеживает, когда администраторы вручную вызывают сканер доверия PDC (для всех доверенных), выполнив netdom trust <Local Forest> /Domain:* /InvokeTrustScanner командлет, и операция завершается сбоем.
6153	PDC обнаружил ошибку при попытке проверить именованное доверие. Доверие: <ошибка имени>доверия: <сообщение>об ошибке Дополнительные сведения можно найти на странице https://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение является дополнением к предыдущему событию и содержит код ошибки. Он регистрируется во время запланированных проверок доверия, которые выполняются каждые восемь часов.

Если код ошибки включается в некоторые события, связанные со сбоем, необходимо включить трассировку для дальнейшего исследования.

Улучшения ведения журнала netlogon и ведения журнала LSA

Ведение журнала netlogon (%windir%\debug\netlogon.log) и ведение журнала LSA (lsp.log) обновлены для поддержки улучшений в обновлениях.

Включение и отключение ведения журнала netlogon (netlogon.log)

• Чтобы включить ведение журнала Netlogon, выполните следующую команду:

  nltest /dbflag:2080ffff
  

• Чтобы отключить ведение журнала netlogon после исследований, выполните следующую команду:

  nltest /dbflag:0
  

Включение и отключение ведения журнала LSA (lsp.log) с помощью PowerShell

• Чтобы включить ведение журнала LSA, выполните следующие командлеты:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force 
  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
  
  

• Чтобы отключить ведение журнала LSA, выполните следующие командлеты:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
  
  

Включение и отключение ведения журнала LSA (lsp.log) с помощью reg.exe (для устаревшей операционной системы без PowerShell)

• Чтобы включить ведение журнала LSA, выполните следующие команды reg:

  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f 
  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f
  

• Чтобы отключить ведение журнала LSA, выполните следующие команды reg:

  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f 
  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
  

Улучшения средств nltest.exe и netdom.exe

Средства nltest.exe и netdom.exe обновлены для поддержки улучшений в этом обновлении.

улучшения Nltest.exe

Средство nltest.exe может запрашивать и отображать все записи в msDS-TrustForestTrustInfo атрибуте объекта доверенного домена с помощью следующей команды:

nltest.exe /lsaqueryfti:<Trusting Forest Name>

Ниже приведен пример с выходными данными:

C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com 
TLN: contoso.com 
Dom: contoso.com 
Scan: contoso.com Sid:(null) Flags:0x0 
The command completed successfully

Примечание.

Термин "Сканирование" в выходных данных относится к новому типу записи "Сканер", который сохраняется во время операций проверки доверия PDC.

улучшения Netdom.exe

Средство netdom.exe может инициировать новые операции проверки доверия PDC и задать флаг исключения проверка безопасности для определенного доверенного домена или определенного дочернего домена в доверенном лесу.

• Инициируйте операции проверки доверия КЦП.

  • Для всех доверяющих лесов выполните следующие команды:

    netdom trust <Local Forest> /Domain:* /InvokeTrustScanner
    

  • Для определенного леса доверия выполните следующие команды:

    netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner
    

    Примечание.

    Эта команда должна выполняться локально в PDC локального леса.

  Эта команда может только инициировать операцию. Чтобы узнать результат, найдите в журнале системных событий новые события LSA и при необходимости включите трассировку LSA.

Исследование неудачной сквозной проверки подлинности NTLM

Примечание.

Прежде чем выполнять эти действия, убедитесь, что конфигурация соответствует требованиям, описанным в разделе Предварительные требования .

Ниже приведены основные шаги.

1. Включите ведение журнала Netlogon и LSA для всех участвующих контроллеров домена.

2. Воспроизведите проблему.

3. Отключите ведение журнала netlogon и LSA.

4. Поиск следующие термины в файле netlogon.log и просмотрите все записи журнала, описывающие сбои:

   • "LsaIFilterInboundNamespace"
   • NlpValidateNTLMTargetInfo
   • "NlpVerifyTargetServerRODCCachability"
   • ResourceDomainNameCollidesWithLocalForest

5. Поиск для термина "LsaDbpFilterInboundNamespace" в файле lsp.log и просмотрите все записи журнала, описывающие сбои.

Примечание.

Для неудачной проверки подлинности через доверие леса используйте новый параметр nltest.exe для дампа всех новых записей, сохраненных сканером доверия PDC.

Исследование неудачных операций проверки доверия PDC

Примечание.

Прежде чем выполнять эти действия, убедитесь, что конфигурация соответствует требованиям, описанным в разделе Предварительные требования .

Ниже приведены основные шаги.

1. Включите ведение журнала LSA в PDC.

   Для определенных операций проверки доверия эта трассировка может быть ограничена флагом TRACE_LEVEL_LSP_FOREST_SCANNER.

2. Воспроизведите проблему с помощью новой функцииnetdom.exe/InvokeTrustScanner .

3. Отключите ведение журнала LSA.

4. Поиск файл lsp.log для термина "fail" или "failed" и просмотрите записи журнала.

Проверка доверия может завершиться ошибкой по следующим причинам:

• В контейнере секций отсутствуют разрешения.

• Порты брандмауэра, необходимые между контроллерами домена, а также между членами и контроллерами домена, не открыты. Ниже приведены порты брандмауэра:

  • UDP+TCP/389
  • TCP/88
  • UDP+TCP/53

Устранение проблем

Если проверка подлинности завершается ошибкой из-за конфликтов доменных имен, неправильной настройки или непредвиденных обстоятельств, переименуйте домены, сталкивающиеся, чтобы предотвратить конфликт для устранения проблемы.

Если проверка подлинности по защищенному каналу RODC завершается ошибкой, обратитесь в службу поддержки Майкрософт по этой проблеме, так как нет методов устранения этой проблемы.

Если средство проверки доверия PDC завершается сбоем, устранение рисков зависит от конкретного контекста. Например, контроллерам домена в доверенном лесу не предоставляются разрешения на запрос LDAP для контекста именования конфигурации (NC) доверяющего леса. Устранение рисков заключается в предоставлении разрешений.

Часто задаваемые вопросы

• В1. Можно ли настроить частоту проверки доверия PDC?

  A1: Нет.

• В2. Будет ли автоматически вызываться сканер доверия PDC при создании нового доверия леса?

  A2: Нет. При необходимости администраторы могут вызвать его вручную, в противном случае новый лес будет проверяться через следующий регулярный интервал.

• Вопрос 3. Могут ли администраторы домена изменить новые записи сканера?

  Ответ 3. Да, но он не рекомендуется и не поддерживается. Если записи сканера создаются, изменяются или удаляются неожиданно, средство проверки доверия PDC отменить изменения изменения при следующем запуске.

• Вопрос 4. Я уверен, что NTLM не используется в моей среде. Как отключить это поведение?

  A4. Как правило, новые варианты поведения не могут быть отключены. Не удается отключить определенные проверки безопасности RODC. Вы можете задать флаг исключения проверка безопасности для случая доверия к домену или леса.

• Вопрос 5. Нужно ли вносить изменения в конфигурацию перед установкой этого обновления?

  A5: Может быть. Убедитесь, что конфигурация соответствует требованиям, описанным в разделе Предварительные требования .

• Вопрос 6. Нужно ли исправлять контроллеры домена в определенном порядке, чтобы это обновление войло в силу?

  A6. Поддерживаются все варианты порядка исправлений. Новая операция проверки доверия PDC вступает в силу только после установки исправлений PDC. Все контроллеры домена с исправлением немедленно начнут применять ограничения RODC. Исправленные не pdf-файлы не будут применять ограничения сквозной передачи NTLM до тех пор, пока PDC не будет исправлен и не начнет создавать новые записи сканера в атрибутах msDS-TrustForestTrustInfo. Контроллеры домена без исправлений (без PDC) будут игнорировать новые записи сканера после их создания.

• В7. Когда мой лес будет защищен?

  A7. Ваш лес будет защищен после установки этого обновления для всех контроллеров домена во всех доменах. Леса доверия будут защищены после того, как средство проверки доверия PDC завершит по крайней мере одну успешную операцию и репликация будет успешно выполнена.

• Вопрос 8. Я не контролирую свои доверенные домены или леса. Как обеспечить безопасность леса?

  A8: См. предыдущий вопрос. Безопасность леса не зависит от состояния установки исправлений для доменов или лесов с доверием. Мы рекомендуем всем клиентам устанавливать исправления для своих контроллеров домена. Кроме того, измените конфигурацию, описанную в разделе Предварительные требования .

Ссылки

Дополнительные сведения о конкретных технических сведениях см. в следующих разделах:

• [MS-ADTS]: Техническая спецификация Active Directory
• [MS-LSAD]: удаленный протокол локального центра безопасности (политики домена)
• [MS-NRPC]: удаленный протокол netlogon