Actualización de reserva de conexión NTLM para Microsoft punto de conexión Configuration Manager
Se aplica a: Configuration Manager (rama actual, versiones 2103, 2107, 2111, 2203, 2207)
Resumen de KB15498768
Importante
Esta actualización se sustituye por lo siguiente:
La deshabilitación de la opción Permitir reserva de conexión a NTLM en Propiedades de instalación de inserción de cliente no se respeta en ninguna de las condiciones siguientes:
- Si hay errores de autenticación Kerberos, la cuenta de inserción de cliente intentará una conexión NTLM en su lugar.
- La cuenta de equipo del servidor de sitio intentará una conexión mediante NTLM si se produce un error en la autenticación Kerberos para todas las cuentas de instalación de inserción de cliente definidas.
Esta actualización impide cualquier intento de autenticación NTLM para la instalación de inserción de cliente cuando la opción Permitir reserva de conexión a NTLM está deshabilitada.
La instalación de esta actualización resuelve el siguiente problema de seguridad:
A partir de Configuration Manager rama actual, versión 2207, la opción Permitir reserva de conexión a NTLM está deshabilitada de forma predeterminada en las instalaciones de nuevo sitio.
Se recomienda deshabilitar esta opción en entornos existentes, siempre que sea posible, para aumentar la seguridad.
Consulte los documentos siguientes para obtener más detalles sobre la seguridad del cliente y NTLM:
- Seguridad y privacidad para clientes Configuration Manager
- KB5005413: Mitigación de ataques de retransmisión NTLM en servicios de certificados de Active Directory
- Seguridad de red: Restricción de NTLM: tráfico NTLM saliente a servidores remotos
Se recomienda que los entornos que usan versiones de Configuration Manager rama actual anteriores a 2103 se actualicen a una versión compatible posterior. Los administradores también pueden deshabilitar el uso de métodos de instalación automática y manual de inserción de cliente para eliminar el riesgo de exposición a este problema. Para obtener más información, consulte Compatibilidad con Configuration Manager versiones de rama actuales.
Información de actualización de Microsoft Endpoint Configuration Manager, versiones 2103-2207
Hay disponible una actualización para resolver este problema en el nodo Novedades y mantenimiento de la consola de Configuration Manager para entornos que tengan instaladas las versiones 2103-2207.
Actualización de la información de reemplazo
Esta actualización no reemplaza ninguna actualización publicada anteriormente.
Información de reinicio
Para Configuration Manager versiones 2107 y posteriores, esta actualización no requiere un reinicio del equipo ni un restablecimiento del sitio después de la instalación.
Configuration Manager versión 2103 requerirá un restablecimiento del sitio después de la instalación de la actualización.
Información de instalación adicional
Después de instalar esta actualización en un sitio primario, los sitios secundarios preexistedos deben actualizarse manualmente. Para actualizar un sitio secundario en la consola de Configuration Manager, seleccioneSitios> deconfiguración> del sitio de administración>Recuperar sitio secundario y, a continuación, seleccione el sitio secundario. A continuación, el sitio primario vuelve a instalar ese sitio secundario mediante los archivos actualizados. Esta reinstalación no afecta a las configuraciones y la configuración del sitio secundario. Los sitios secundarios nuevos, actualizados y reinstalados en ese sitio primario reciben automáticamente esta actualización.
Ejecute el siguiente comando SQL Server en la base de datos del sitio para comprobar si la versión de actualización de un sitio secundario coincide con la de su sitio primario primario:
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
Si se devuelve el valor 1, el sitio está actualizado, con todas las revisiones aplicadas en su sitio primario primario.
Si se devuelve el valor 0, el sitio no ha instalado todas las correcciones que se aplican al sitio primario y debe usar la opción Recuperar sitio secundario para actualizar el sitio secundario.
Información de versión
No se actualiza ningún componente principal con esta versión.
Información de archivo
La información de archivo está disponible en las siguientes listas de archivos específicas de la versión (KB15498768_FileList.txt):
- Configuration Manager 2103
- Configuration Manager 2107
- Configuration Manager 2111
- Configuration Manager 2203
- Configuration Manager 2207
Historial de publicaciones
- 20 de septiembre de 2022: versión de revisión inicial
- 30 de septiembre de 2022: se agregó información de sustitución para kb 15599094