Share via

Les mises à jour Windows ajoutent de nouvelles protections d’authentification directe NTLM pour CVE-2022-21857

  • Article

Numéro de la base de connaissances d’origine : 5010576

Après avoir installé les mises à jour Windows du 11 janvier 2022 ou les mises à jour Windows ultérieures contenant des protections pour CVE-2022-21857, les contrôleurs de domaine appliquent de nouvelles vérifications de sécurité pour les demandes d’authentification directe NTLM envoyées par un domaine d’approbation sur un domaine ou une approbation de forêt, ou envoyées par un contrôleur de domaine en lecture seule (RODC) sur une approbation de canal sécurisé. Les nouvelles vérifications de sécurité nécessitent que le domaine ou le client en cours d’authentification soit approprié pour l’approbation utilisée. Plus précisément, les vérifications de sécurité appropriées pour le type d’approbation utilisé rejettent la demande d’authentification directe NTLM si les conditions suivantes ne sont pas satisfaites :

  • Les requêtes sur une approbation de domaine doivent utiliser le même nom de domaine que le domaine d’approbation.
  • Les requêtes sur une approbation de forêt doivent utiliser un nom de domaine qui est membre de la forêt d’approbation et qui n’a pas de collision de noms avec d’autres forêts.
  • Les demandes transférées par un contrôleur de domaine en lecture seule doivent utiliser un nom de client pour lequel le contrôleur de domaine en lecture seule a été précédemment autorisé à mettre en cache les secrets.

Pour prendre en charge les validations d’approbation de domaine et de forêt, le contrôleur de domaine principal (PDC) du domaine racine dans chaque forêt est mis à jour pour émettre régulièrement des requêtes LDAP (Lightweight Directory Access Protocol). Les requêtes sont émises toutes les huit heures pour tous les noms de domaine dans chaque forêt d’approbation, ce qui est appelé « analyse d’approbation ». Ces noms de domaine sont stockés dans l’attribut msDS-TrustForestTrustInfo de l’objet de domaine approuvé (TDO) correspondant.

Prerequisites

À mesure que de nouveaux comportements d’analyse d’approbation sont ajoutés par les mises à jour, tout ce qui bloque le trafic d’activité LDAP, l’authentification et l’autorisation du contrôleur de domaine principal d’une forêt approuvée vers la forêt d’approbation provoque un problème :

  • Si des pare-feu sont utilisés, les ports TCP et UDP 389 doivent être autorisés entre le contrôleur de domaine principal approuvé et les contrôleurs de domaine d’approbation, ainsi que la communication pour faire fonctionner l’approbation (résolution de noms, RPC pour NTLM et port 88 pour Kerberos).
  • Le contrôleur de domaine principal de la forêt approuvée a également besoin du droit d’utilisateur Accéder à cet ordinateur à partir du réseau pour s’authentifier auprès des contrôleurs de domaine de domaine d’approbation. Par défaut, les « utilisateurs authentifiés » ont le droit d’utilisateur qui inclut le contrôleur de domaine approuvé.
  • Le contrôleur de domaine principal dans le domaine approuvé doit disposer d’autorisations de lecture suffisantes sur le conteneur de partitions de forêt d’approbation dans le contrôleur de réseau de configuration et les objets enfants. Par défaut, les « utilisateurs authentifiés » ont l’accès, qui s’applique au contrôleur de domaine approuvé appelant.
  • Lorsque l’authentification sélective est activée, le contrôleur de domaine principal de la forêt approuvée doit disposer de l’autorisation Autorisé à s’authentifier sur les comptes d’ordinateur du contrôleur de domaine de la forêt d’approbation pour protéger les forêts d’approbation.

Si une forêt d’approbation ne permet pas à la forêt approuvée d’interroger les informations d’approbation, la forêt d’approbation peut être exposée à des attaques de relais NTLM.

Par exemple, la forêt A approuve la forêt B et la forêt C approuve la forêt B. Si la forêt A refuse d’autoriser l’authentification ou l’activité LDAP à partir du domaine racine dans la forêt B, la forêt A risque d’une attaque de relais NTLM à partir d’une forêt C malveillante ou compromise.

Nouveaux événements

Les événements suivants sont ajoutés en tant que parties des protections pour CVE-2022-21857 et sont enregistrés dans le journal des événements système.

Par défaut, le service Netlogon limite les événements pour les avertissements et les conditions d’erreur, ce qui signifie qu’il n’enregistre pas les avertissements par demande ou les événements d’échec. Au lieu de cela, les événements de synthèse (ID d’événement Netlogon 5832 et ID d’événement Netlogon 5833) sont enregistrés une fois par jour pour les authentifications directes NTLM qui sont bloquées par les nouvelles vérifications de sécurité introduites dans cette mise à jour ou qui ont dû être bloquées, mais qui ont été autorisées en raison de la présence d’un indicateur d’exemption configuré par l’administrateur.

Si l’ID d’événement Netlogon 5832 ou l’ID d’événement Netlogon 5833 est enregistré et que vous avez besoin d’informations supplémentaires, désactivez la limitation des événements en créant et en définissant la ThrottleNTLMPassThroughAuthEvents valeur REG_DWORD sur zéro dans le chemin d’accès du Registre suivant :

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Remarque

Ce paramètre prend effet immédiatement sans redémarrage du système ou du service et n’est pas sous le contrôle d’un objet stratégie de groupe (GPO).

ID d’événement Netlogon Texte du message d’événement Remarques
5832 Le service Netlogon a autorisé une ou plusieurs demandes d’authentification NTLM directe non sécurisées provenant de domaines et/ou de forêts approuvés pendant la fenêtre de limitation d’événement la plus récente. Ces demandes non sécurisées sont normalement bloquées, mais sont autorisées à continuer en raison de la configuration d’approbation actuelle.
Avertissement : L’autorisation des demandes d’authentification directe non sécurisées expose votre forêt Active Directory à une attaque.
Pour plus d’informations sur ce problème, consultez https://go.microsoft.com/fwlink/?linkid=276811.
Nombre de demandes non sécurisées autorisées en raison d’une substitution administrative : <Nombre de nombres>		 Cet événement d’avertissement enregistre le nombre d’authentifications directes non sécurisées autorisées en raison de la présence d’un indicateur d’exemption configuré par l’administrateur.
5833 Le service Netlogon a bloqué une ou plusieurs demandes d’authentification NTLM directe non sécurisées provenant de clients, de domaines et/ou de forêts approuvés pendant la fenêtre de limitation d’événement la plus récente. Pour plus d’informations sur ce problème, notamment sur la façon d’activer une journalisation plus détaillée, consultez https://go.microsoft.com/fwlink/?linkid=276811.
Nombre de demandes non sécurisées bloquées : <nombre de requêtes>		 Cet événement d’avertissement enregistre le nombre d’authentifications directes non sécurisées qui ont été bloquées.
5834 Le service Netlogon a autorisé une demande d’authentification NTLM directe non sécurisée à partir d’un client, d’un domaine ou d’une forêt approuvé. Cette demande non sécurisée est normalement bloquée, mais elle est autorisée à continuer en raison de la configuration d’approbation actuelle.
Avertissement : L’autorisation des demandes d’authentification directe non sécurisées expose votre forêt Active Directory à une attaque. Pour plus d’informations sur ce problème, consultez https://go.microsoft.com/fwlink/?linkid=276811.
Nom du compte : <Nom du compte>
Nom de l’approbation : <Nom de l’approbation>
Type d’approbation : <Type d’approbation>
Adresse IP du client : <adresse IP du client>
Raison du blocage : <Raison du blocage>
Nom netbios du serveur de ressources : <Nom netbios du serveur de ressources>
Nom DNS du serveur de ressources : <Nom DNS du serveur de ressources>
Nom netbios du domaine de ressource : <Nom netbios du domaine de la ressource>
Nom DNS du domaine de ressource : <Nom DNS du domaine de la ressource>		 Cet événement d’avertissement est enregistré uniquement lorsque la limitation de l’événement Netlogon a été désactivée. Il enregistre une demande d’authentification directe spécifique qui a été autorisée en raison d’un indicateur d’exemption configuré par l’administrateur.
5835 Le service Netlogon a bloqué une demande d’authentification NTLM directe non sécurisée à partir d’un client, d’un domaine ou d’une forêt approuvé. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=276811.
Nom du compte : <Nom du compte>
Nom de l’approbation : <Nom de l’approbation>
Type d’approbation : <Type d’approbation>
Adresse IP du client : <adresse IP du client>
Raison du blocage : <Raison du blocage>
Nom netbios du serveur de ressources : <Nom netbios du serveur de ressources>
Nom DNS du serveur de ressources : <Nom DNS du serveur de ressources>
Nom netbios du domaine de ressource : <Nom netbios du domaine de la ressource>
Nom DNS du domaine de ressource : <Nom DNS du domaine de la ressource>		 Cet événement d’avertissement est enregistré uniquement lorsque la limitation de l’événement Netlogon a été désactivée. Il enregistre une demande d’authentification directe spécifique qui a été bloquée.

Remarque

Ces événements ne sont pas limités.

ID d’événement LSA Texte du message d’événement Remarques
6148 Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation automatique pour toutes les approbations sans erreur. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’information doit apparaître régulièrement toutes les huit heures.
6149 Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation automatique pour toutes les approbations et a rencontré au moins une erreur. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’avertissement doit être examiné, en particulier s’il apparaît toutes les huit heures.
6150 Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation demandée par l’administrateur pour l’approbation «< Trust Name> » sans erreur. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’information est utilisé pour suivre quand les administrateurs appellent manuellement l’analyseur d’approbation PDC à l’aide de l’applet de netdom trust <Local Forest> /Domain:* /InvokeTrustScanner commande .
6151 Le contrôleur de domaine principal n’a pas pu trouver le nom<> d’approbation spécifié à analyser. L’approbation n’existe pas ou n’est pas une approbation entrante ou bidirectionnelle. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’avertissement suit quand les administrateurs appellent manuellement l’analyseur d’approbation PDC à l’aide d’un nom de forêt incorrect.
6152 Le contrôleur de domaine principal a terminé une opération d’analyse d’approbation demandée par l’administrateur pour l’approbation «< Trust Name> » et a rencontré une erreur. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’avertissement suit quand les administrateurs appellent manuellement l’analyseur d’approbation PDC (pour toutes les approbations) en exécutant l’applet netdom trust <Local Forest> /Domain:* /InvokeTrustScanner de commande, et l’opération échoue.
6153 Le contrôleur de domaine principal a rencontré une erreur lors de la tentative d’analyse de l’approbation nommée. Approbation : <Erreur de nom>d’approbation : <Message>d’erreur Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2162089. Cet événement d’avertissement est un complément de l’événement précédent et inclut un code d’erreur. Il est journalisé pendant les analyses d’approbation planifiées qui se produisent toutes les huit heures.

Lorsqu’un code d’erreur est inclus dans certains événements liés à l’échec, vous devez activer le suivi pour des investigations supplémentaires.

Améliorations apportées à la journalisation Netlogon et à la journalisation LSA

La journalisation Netlogon (%windir%\debug\netlogon.log) et la journalisation LSA (lsp.log) sont mises à jour pour prendre en charge les améliorations apportées aux mises à jour.

Activer et désactiver la journalisation Netlogon (netlogon.log)

  • Pour activer la journalisation Netlogon, exécutez la commande suivante :

    nltest /dbflag:2080ffff

  • Pour désactiver la journalisation Netlogon après les investigations, exécutez la commande suivante :

    nltest /dbflag:0

Activer et désactiver la journalisation LSA (lsp.log) à l’aide de PowerShell

  • Pour activer la journalisation LSA, exécutez les applets de commande suivantes :

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

  • Pour désactiver la journalisation LSA, exécutez les applets de commande suivantes :

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

Activer et désactiver la journalisation LSA (lsp.log) à l’aide de reg.exe (pour le système d’exploitation hérité sans PowerShell)

  • Pour activer la journalisation LSA, exécutez les commandes reg suivantes :

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f

  • Pour désactiver la journalisation LSA, exécutez les commandes reg suivantes :

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f

Améliorations apportées aux outils nltest.exe et netdom.exe

Les outils nltest.exe et netdom.exe sont mis à jour pour prendre en charge les améliorations apportées à cette mise à jour.

améliorations Nltest.exe

L’outilnltest.exe peut interroger et afficher tous les enregistrements dans un msDS-TrustForestTrustInfo attribut d’un objet de domaine approuvé à l’aide de la commande suivante :

nltest.exe /lsaqueryfti:<Trusting Forest Name>

Voici un exemple avec la sortie :

C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com 
TLN: contoso.com 
Dom: contoso.com 
Scan: contoso.com Sid:(null) Flags:0x0 
The command completed successfully

Remarque

Le terme « Scan » dans la sortie fait référence à un nouveau type d’enregistrement « Scanneur » qui persiste pendant les opérations du scanneur de confiance PDC.

améliorations Netdom.exe

L’outil netdom.exe peut lancer les nouvelles opérations de l’analyseur d’approbation PDC et définir un indicateur d’exemption de case activée de sécurité pour un domaine d’approbation spécifique ou un domaine enfant spécifique dans une forêt d’approbation.

  • Lancez les opérations de l’analyseur d’approbation PDC.

    • Pour toutes les forêts d’approbation, exécutez les commandes suivantes :

      netdom trust <Local Forest> /Domain:* /InvokeTrustScanner

    • Pour une forêt d’approbation spécifique, exécutez les commandes suivantes :

      netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner

      Remarque

      Cette commande doit être exécutée localement sur le contrôleur de domaine principal de la forêt locale.

    Cette commande peut uniquement lancer l’opération. Pour connaître le résultat, recherchez dans le journal des événements système les nouveaux événements LSA et activez le suivi LSA si nécessaire.

Examen des échecs d’authentification directe NTLM

Remarque

Avant de suivre ces étapes, assurez-vous que votre configuration répond aux exigences décrites dans la section Prérequis.

Voici les étapes de base :

  1. Activez la journalisation Netlogon et LSA sur tous les contrôleurs de domaine impliqués.

  2. Reproduisez le problème.

  3. Désactivez la journalisation Netlogon et LSA.

  4. Recherche les termes suivants dans le fichier netlogon.log et passez en revue les entrées de journal qui décrivent les échecs :

    • « LsaIFilterInboundNamespace »
    • « NlpValidateNTLMTargetInfo »
    • « NlpVerifyTargetServerRODCCachability »
    • « ResourceDomainNameCollidesWithLocalForest »

  5. Recherche le terme « LsaDbpFilterInboundNamespace » dans le fichier lsp.log et passez en revue les entrées de journal qui décrivent les échecs.

Remarque

Pour une authentification ayant échoué sur une approbation de forêt, utilisez la nouvelle option nltest.exe pour vider tous les nouveaux enregistrements conservés par l’analyseur d’approbation PDC.

Examen des échecs des opérations de l’analyseur d’approbation PDC

Remarque

Avant de suivre ces étapes, assurez-vous que votre configuration répond aux exigences décrites dans la section Prérequis.

Voici les étapes de base :

  1. Activez la journalisation LSA sur le contrôleur de domaine principal.

    Pour des opérations d’analyse d’approbation spécifiques, ce suivi peut être limité à l’indicateur TRACE_LEVEL_LSP_FOREST_SCANNER.

  2. Reproduisez le problème à l’aide de la nouvelle fonctionnalité netdom.exe/InvokeTrustScanner .

  3. Désactivez la journalisation LSA.

  4. Recherche le fichier lsp.log pour le terme « échec » ou « échec », puis passez en revue les entrées du journal.

L’analyseur d’approbation peut échouer pour les raisons suivantes :

  • Les autorisations sont manquantes sur le conteneur de partitions.

  • Les ports de pare-feu nécessaires entre les contrôleurs de domaine et entre les membres et les contrôleurs de domaine ne sont pas ouverts. Voici les ports de pare-feu :

    • UDP+TCP/389
    • TCP/88
    • UDP+TCP/53

Atténuations des problèmes

Si les authentifications échouent en raison de collisions de noms de domaine, d’une mauvaise configuration ou de circonstances imprévues, renommez le ou les domaines en conflit pour éviter la collision afin d’atténuer le problème.

Si les authentifications sur une approbation de canal sécurisé rodc échouent, contactez le support Microsoft pour ce problème, car il n’existe aucune méthode d’atténuation.

Si l’analyseur d’approbation PDC échoue, l’atténuation dépend du contexte spécifique. Par exemple, les contrôleurs de domaine d’une forêt approuvée ne reçoivent pas d’autorisations de requête LDAP sur le contexte d’affectation de noms de configuration (NC) de la forêt d’approbation. L’atténuation consiste à accorder les autorisations.

Forum aux questions (FAQ)

  • Q1 : La fréquence du scanneur d’approbation PDC est-elle configurable ?

    A1 : Non.

  • Q2 : L’analyseur d’approbation PDC sera-t-il automatiquement appelé lors de la création d’une approbation de forêt ?

    A2 : Non. Les administrateurs peuvent l’appeler manuellement si nécessaire, sinon la nouvelle forêt sera analysée à intervalle régulier suivant.

  • Q3 : Les nouveaux enregistrements scanneurs peuvent-ils être modifiés par les administrateurs de domaine ?

    R3 : Oui, mais ce n’est pas recommandé ou pris en charge. Si les enregistrements du scanneur sont créés, modifiés ou supprimés de manière inattendue, l’analyseur d’approbation PDC annule les modifications lors de sa prochaine exécution.

  • Q4 : Je suis sûr que NTLM n’est pas utilisé dans mon environnement. Comment puis-je désactiver ce comportement ?

    A4 : En général, les nouveaux comportements ne peuvent pas être désactivés. Les validations de sécurité spécifiques du contrôleur de domaine en lecture seule ne peuvent pas être désactivées. Vous pouvez définir un indicateur d’exemption de sécurité case activée pour un cas d’approbation de domaine ou de forêt.

  • Q5 : Dois-je apporter des modifications de configuration avant d’installer cette mise à jour ?

    A5 : Peut-être. Assurez-vous que votre configuration répond aux exigences décrites dans la section Prérequis.

  • Q6 : Dois-je corriger mes contrôleurs de domaine dans un ordre spécifique pour que cette mise à jour prenne effet ?

    A6 : Toutes les variantes de l’ordre de mise à jour corrective sont prises en charge. La nouvelle opération d’analyse d’approbation de contrôleur de domaine principal prend effet uniquement une fois que le contrôleur de domaine principal a été corrigé. Tous les contrôleurs de domaine corrigés commencent immédiatement à appliquer les restrictions du contrôleur de domaine en lecture seule. Les non-PDC corrigés n’appliquent pas les restrictions directes NTLM tant que le contrôleur de domaine principal n’est pas corrigé et commence à créer de nouveaux enregistrements de scanneur dans les attributs msDS-TrustForestTrustInfo. Les contrôleurs de domaine non corrigés (non-PDC) ignorent les nouveaux enregistrements du scanneur une fois présents.

  • Q7 : Quand ma forêt sera-t-elle sécurisée ?

    A7 : Votre forêt sera sécurisée une fois que toutes les contrôleurs de domaine de tous les domaines auront cette mise à jour installée. Les forêts d’approbation sont sécurisées une fois que l’analyseur d’approbation PDC a effectué au moins une opération réussie et que la réplication a réussi.

  • Q8 : Je ne contrôle pas mes domaines ou forêts d’approbation. Comment puis-je m’assurer que ma forêt est sécurisée ?

    A8 : Consultez la question précédente. La sécurité de votre forêt ne dépend pas de la mise à jour corrective status des domaines ou forêts d’approbation. Nous recommandons à tous les clients de corriger leurs contrôleurs de domaine. En outre, modifiez la configuration décrite dans la section Prérequis .

References

Pour plus d’informations sur les détails techniques spécifiques, consultez :