Condividi tramite

Gli aggiornamenti di Windows aggiungono nuove protezioni di autenticazione pass-through NTLM per CVE-2022-21857

  • Articolo

Numero KB originale: 5010576

Dopo aver installato gli aggiornamenti di Windows dell'11 gennaio 2022 o successivi contenenti protezioni per CVE-2022-21857, i controller di dominio applicano nuovi controlli di sicurezza per le richieste di autenticazione pass-through NTLM inviate da un dominio di trust su un dominio o un trust tra foreste o inviate da un controller di dominio di sola lettura (RODC) su un trust di canale sicuro. I nuovi controlli di sicurezza richiedono che il dominio o il client autenticato sia appropriato per l'attendibilità usata. In particolare, i controlli di sicurezza appropriati per il tipo di trust usato rifiuteranno la richiesta di autenticazione pass-through NTLM se i requisiti seguenti non sono soddisfatti:

  • Le richieste relative a un trust di dominio devono usare lo stesso nome di dominio del dominio di trusting.
  • Le richieste relative a un trust tra foreste devono usare un nome di dominio che è membro della foresta di trusting e non ha un conflitto di nomi da altre foreste.
  • Le richieste inoltrate da un controller di dominio di sola lettura devono usare un nome client per il quale il controller di dominio di sola lettura è stato precedentemente autorizzato a memorizzare nella cache i segreti.

Per supportare le convalide dell'attendibilità di dominio e foresta, il controller di dominio primario (PDC) del dominio radice in ogni foresta viene aggiornato per eseguire periodicamente query LDAP (Lightweight Directory Access Protocol). Le query vengono eseguite ogni otto ore per tutti i nomi di dominio in ogni foresta di trusting, denominata "analisi trust". Questi nomi di dominio vengono archiviati nell'attributo dell'oggetto di dominio attendibile corrispondente.These domain names are stored in the msDS-TrustForestTrustInfo attribute of the corrispondente trusted domain object (TDO).

Prerequisiti

Man mano che vengono aggiunti nuovi comportamenti di analisi dell'attendibilità dagli aggiornamenti, tutto ciò che blocca il traffico delle attività LDAP, l'autenticazione e l'autorizzazione dal data center di una foresta attendibile alla foresta attendibile causerà un problema:

  • Se vengono usati firewall, le porte TCP e UDP 389 devono essere consentite tra il controller primario attendibile e i controller di dominio attendibili, nonché la comunicazione per gestire l'attendibilità (risoluzione dei nomi, RPC per NTLM e porta 88 per Kerberos).
  • Il controller di dominio primario della foresta attendibile deve anche accedere al computer dal diritto dell'utente di rete per eseguire l'autenticazione ai controller di dominio di dominio attendibili. Per impostazione predefinita, gli "utenti autenticati" hanno il diritto utente che include il dominio attendibile PDC.
  • Il controller di dominio primario nel dominio attendibile deve disporre di autorizzazioni di lettura sufficienti per il contenitore di partizioni della foresta attendibile nel controller di rete di configurazione e negli oggetti figlio. Per impostazione predefinita, gli "utenti autenticati" hanno l'accesso, che si applica al data center di dominio attendibile chiamante.
  • Quando l'autenticazione selettiva è abilitata, al controller di dominio primario nella foresta attendibile deve essere concessa l'autorizzazione Consentita per l'autenticazione agli account computer del controller di dominio della foresta attendibile per proteggere le foreste attendibili.

Se una foresta trusting non consente alla foresta attendibile di eseguire query sulle informazioni di attendibilità, la foresta attendibile potrebbe essere a rischio di attacchi di inoltro NTLM.

Ad esempio, la foresta A considera attendibile la foresta B e la foresta C considera attendibile la foresta B. Se la foresta A rifiuta di consentire l'autenticazione o l'attività LDAP dal dominio radice nella foresta B, la foresta A è a rischio di un attacco di inoltro NTLM da una foresta C dannosa o compromessa.

Nuovi eventi

Gli eventi seguenti vengono aggiunti come parti delle protezioni per CVE-2022-21857 e vengono registrati nel registro eventi di sistema.

Per impostazione predefinita, il servizio Netlogon limita gli eventi per gli avvisi e le condizioni di errore, il che significa che non registra avvisi per richiesta o eventi di errore. Gli eventi di riepilogo (ID evento Netlogon 5832 e ID evento Netlogon 5833) vengono invece registrati una volta al giorno per le autenticazioni pass-through NTLM bloccate dai nuovi controlli di sicurezza introdotti in questo aggiornamento o che devono essere state bloccate ma consentite a causa della presenza di un flag di esenzione configurato dall'amministratore.

Se viene registrato l'ID evento Netlogon 5832 o Netlogon 5833 e sono necessarie altre informazioni, disabilitare la limitazione degli eventi creando e impostando il ThrottleNTLMPassThroughAuthEvents valore di REG_DWORD su zero nel percorso del Registro di sistema seguente:

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Nota

Questa impostazione ha effetto immediatamente senza un riavvio del sistema o del servizio e non è sotto il controllo di un oggetto Criteri di gruppo Object (GPO).

ID evento Netlogon Testo del messaggio di evento Note
5832 Il servizio Netlogon ha consentito una o più richieste di autenticazione NTLM pass-through non sicure da domini attendibili e/o foreste durante la finestra di limitazione degli eventi più recente. Queste richieste non sicure vengono in genere bloccate, ma possono continuare a causa della configurazione dell'attendibilità corrente.
Avviso: l'abilitazione di richieste di autenticazione pass-through non sicure esporrà la foresta di Active Directory per l'attacco.
Per altre informazioni su questo problema, visitare https://go.microsoft.com/fwlink/?linkid=276811.
Numero di richieste non sicure consentite a causa dell'override amministrativo: <Numero conteggio>		 Questo evento di avviso registra il numero di autenticazioni pass-through non sicure consentite a causa della presenza di un flag di esenzione configurato dall'amministratore.
5833 Il servizio Netlogon ha bloccato una o più richieste di autenticazione NTLM pass-through non sicure da client, domini e/o foreste attendibili durante la finestra di limitazione degli eventi più recente. Per altre informazioni su questo problema, tra cui come abilitare la registrazione più dettagliata, visitare https://go.microsoft.com/fwlink/?linkid=276811.
Numero di richieste non sicure bloccate: <Numero conteggio>		 Questo evento di avviso registra il numero di autenticazioni pass-through non sicure bloccate.
5834 Il servizio Netlogon ha consentito una richiesta di autenticazione NTLM pass-through non protetta da un client, un dominio o una foresta attendibili. Questa richiesta non sicura viene in genere bloccata, ma è possibile procedere a causa della configurazione dell'attendibilità corrente.
Avviso: l'abilitazione di richieste di autenticazione pass-through non sicure esporrà la foresta di Active Directory per l'attacco. Per altre informazioni su questo problema, visitare https://go.microsoft.com/fwlink/?linkid=276811.
Nome account: <Nome account>
Nome attendibilità: <Nome attendibilità>
Tipo di attendibilità: <tipo di attendibilità>
Indirizzo IP client: <indirizzo IP client>
Motivo blocco: <Motivo blocco>
Nome Netbios del server di risorse: <Nome Netbios del server di risorse>
Nome DNS del server di risorse: <Nome DNS del server di risorse>
Nome Netbios del dominio risorsa: <Nome Netbios del dominio risorsa>
Nome DNS dominio risorsa: <Nome DNS dominio risorsa>		 Questo evento di avviso viene registrato solo quando la limitazione dell'evento Netlogon è stata disabilitata. Registra una richiesta di autenticazione pass-through specifica consentita a causa di un flag di esenzione configurato dall'amministratore.
5835 Il servizio Netlogon ha bloccato una richiesta di autenticazione NTLM pass-through non protetta da un client, un dominio o una foresta attendibili. Per altre informazioni, visitare https://go.microsoft.com/fwlink/?linkid=276811.
Nome account: <Nome account>
Nome attendibilità: <Nome attendibilità>
Tipo di attendibilità: <tipo di attendibilità>
Indirizzo IP client: <indirizzo IP client>
Motivo blocco: <Motivo blocco>
Nome Netbios del server di risorse: <Nome Netbios del server di risorse>
Nome DNS del server di risorse: <Nome DNS del server di risorse>
Nome Netbios del dominio risorsa: <Nome Netbios del dominio risorsa>
Nome DNS dominio risorsa: <Nome DNS dominio risorsa>		 Questo evento di avviso viene registrato solo quando la limitazione dell'evento Netlogon è stata disabilitata. Registra una richiesta di autenticazione pass-through specifica bloccata.

Nota

Questi eventi non sono limitati.

ID evento LSA Testo del messaggio di evento Note
6148 Il controller di dominio primario ha completato un'operazione di analisi automatica dell'attendibilità per tutti i trust senza errori. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento informativo dovrebbe essere visualizzato periodicamente ogni otto ore.
6149 Il controller di dominio primario ha completato un'operazione di analisi automatica dell'attendibilità per tutti i trust e ha rilevato almeno un errore. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento di avviso deve essere analizzato, soprattutto se viene visualizzato ogni otto ore.
6150 Il controller di dominio primario ha completato un'operazione di analisi dell'attendibilità richiesta dall'amministratore per il trust '<Trust Name>' senza errori. Altre informazioni sono disponibili all'indirizzo https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento informativo viene usato per tenere traccia del momento in cui gli amministratori richiamano manualmente lo scanner di attendibilità PDC usando il netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet .
6151 Il controller di dominio primario non è riuscito a trovare il trust specificato '<Nome> trust' da analizzare. Il trust non esiste o non è né un trust in ingresso né bidirezionale. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento di avviso tiene traccia quando gli amministratori richiamano manualmente lo scanner di attendibilità PDC usando un nome di foresta non valido.
6152 Il controller di dominio primario ha completato un'operazione di analisi dell'attendibilità richiesta dall'amministratore per il trust "<Trust Name>" e ha rilevato un errore. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento di avviso tiene traccia quando gli amministratori richiamano manualmente lo scanner di attendibilità PDC (per tutti i trust) eseguendo il netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet e l'operazione ha esito negativo.
6153 Il controller di dominio primario ha rilevato un errore durante il tentativo di analisi del trust denominato. Trust: Trust Name Error: Error Message (Attendibilità: <Trust Name>Error: <Messaggio di>errore) Altre informazioni sono disponibili in https://go.microsoft.com/fwlink/?linkid=2162089. Questo evento di avviso è un complemento all'evento precedente e include un codice di errore. Viene registrato durante le analisi di attendibilità pianificate che si verificano ogni otto ore.

Quando un codice di errore è incluso in alcuni degli eventi correlati agli errori, è necessario abilitare la traccia per ulteriori indagini.

Miglioramenti alla registrazione netlogon e alla registrazione LSA

La registrazione netlogon (%windir%\debug\netlogon.log) e la registrazione LSA (lsp.log) vengono aggiornate per supportare i miglioramenti negli aggiornamenti.

Abilitare e disabilitare la registrazione netlogon (netlogon.log)

  • Per abilitare la registrazione netlogon, eseguire il comando seguente:

    nltest /dbflag:2080ffff

  • Per disabilitare la registrazione netlogon dopo le indagini, eseguire il comando seguente:

    nltest /dbflag:0

Abilitare e disabilitare la registrazione LSA (lsp.log) tramite PowerShell

  • Per abilitare la registrazione LSA, eseguire i cmdlet seguenti:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

  • Per disabilitare la registrazione LSA, eseguire i cmdlet seguenti:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

Abilitare e disabilitare la registrazione LSA (lsp.log) usando reg.exe (per il sistema operativo legacy senza PowerShell)

  • Per abilitare la registrazione LSA, eseguire i comandi reg seguenti:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f

  • Per disabilitare la registrazione LSA, eseguire i comandi reg seguenti:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f

Miglioramenti agli strumenti di nltest.exe e netdom.exe

Gli strumentinltest.exe e netdom.exe vengono aggiornati per supportare i miglioramenti apportati a questo aggiornamento.

miglioramenti Nltest.exe

Lo strumento nltest.exe può eseguire query e visualizzare tutti i record in un msDS-TrustForestTrustInfo attributo di un oggetto di dominio attendibile usando il comando seguente:

nltest.exe /lsaqueryfti:<Trusting Forest Name>

Ecco un esempio con l'output:

C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com 
TLN: contoso.com 
Dom: contoso.com 
Scan: contoso.com Sid:(null) Flags:0x0 
The command completed successfully

Nota

Il termine "Analisi" nell'output si riferisce a un nuovo tipo di record "Scanner" che persiste durante le operazioni dello scanner di attendibilità PDC.

miglioramenti Netdom.exe

Lo strumento netdom.exe può avviare le nuove operazioni dello scanner di trust PDC e impostare un flag di esenzione del controllo di sicurezza per un dominio di trusting specifico o un dominio figlio specifico in una foresta di trusting.

  • Avviare le operazioni dello scanner di trust PDC.

    • Per tutte le foreste attendibili, eseguire i comandi seguenti:

      netdom trust <Local Forest> /Domain:* /InvokeTrustScanner

    • Per una foresta di trusting specifica, eseguire i comandi seguenti:

      netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner

      Nota

      Questo comando deve essere eseguito localmente nel controller di dominio primario della foresta locale.

    Questo comando può solo avviare l'operazione. Per scoprire il risultato, cercare i nuovi eventi LSA nel registro eventi di sistema e, se necessario, abilitare la traccia LSA.

Analisi delle autenticazioni pass-through NTLM non riuscite

Nota

Prima di seguire questi passaggi, assicurarsi che la configurazione soddisfi i requisiti come descritto nella sezione Prerequisiti .

Ecco i passaggi di base:

  1. Abilitare la registrazione Netlogon e LSA in tutti i controller di dominio coinvolti.

  2. Riprodurre il problema.

  3. Disabilitare la registrazione netlogon e LSA.

  4. Search i termini seguenti nel file di netlogon.log ed esaminare le voci di log che descrivono gli errori:

    • "LsaIFilterInboundNamespace"
    • "NlpValidateNTLMTargetInfo"
    • "NlpVerifyTargetServerRODCCachability"
    • "ResourceDomainNameCollidesWithLocalForest"

  5. Search per il termine "LsaDbpFilterInboundNamespace" nel file di lsp.log ed esaminare le voci di log che descrivono gli errori.

Nota

Per un'autenticazione non riuscita su un trust tra foreste, usare la nuova opzione nltest.exe per eseguire il dump di tutti i nuovi record resi persistenti dallo scanner di attendibilità PDC.

Analisi delle operazioni dello scanner di trust PDC non riuscite

Nota

Prima di seguire questi passaggi, assicurarsi che la configurazione soddisfi i requisiti come descritto nella sezione Prerequisiti .

Ecco i passaggi di base:

  1. Abilitare la registrazione LSA nel controller di dominio primario.

    Per operazioni specifiche dello scanner di attendibilità, questa traccia può essere limitata al flag TRACE_LEVEL_LSP_FOREST_SCANNER.

  2. Riprodurre il problema usando la nuova funzionalità dinetdom.exe/InvokeTrustScanner .

  3. Disabilitare la registrazione LSA.

  4. Search il file di lsp.log per il termine "fail" o "failed" ed esaminare le voci di log.

Lo scanner di attendibilità potrebbe non riuscire con i motivi seguenti:

  • Autorizzazioni mancanti nel contenitore partizioni.

  • Le porte del firewall necessarie tra controller di dominio e tra membri e controller di dominio non sono aperte. Di seguito sono riportate le porte del firewall:

    • UDP+TCP/389
    • TCP/88
    • UDP+TCP/53

Mitigazioni dei problemi

Se le autenticazioni hanno esito negativo a causa di conflitti di nomi di dominio, errori di configurazione o circostanze impreviste, rinominare i domini in conflitto per evitare conflitti per mitigare il problema.

Se le autenticazioni su un'attendibilità del canale sicuro del controller di dominio di sola lettura hanno esito negativo, contattare il supporto tecnico Microsoft per questo problema perché non sono disponibili metodi di mitigazione.

Se lo scanner di attendibilità PDC ha esito negativo, la mitigazione dipende da un contesto specifico. Ad esempio, ai controller di dominio in una foresta attendibile non vengono concesse autorizzazioni di query LDAP al contesto di denominazione della configurazione (NC) della foresta di attendibilità. La mitigazione consiste nel concedere le autorizzazioni.

Domande frequenti

  • D1: La frequenza dello scanner di trust PDC è configurabile?

    A1: No.

  • D2: Lo scanner di trust PDC verrà richiamato automaticamente dopo la creazione di una nuova relazione di trust tra foreste?

    A2: No. Gli amministratori possono richiamarlo manualmente, se necessario, altrimenti la nuova foresta verrà analizzata a intervalli regolari successivi.

  • D3: I nuovi record dello scanner possono essere modificati dagli amministratori di dominio?

    A3: Sì, ma non è consigliato o supportato. Se i record dello scanner vengono creati, modificati o eliminati in modo imprevisto, lo scanner di attendibilità PDC ripristina le modifiche alla successiva esecuzione.

  • D4: Sono sicuro che NTLM non viene usato nell'ambiente in uso. Come è possibile disattivare questo comportamento?

    A4: In generale, i nuovi comportamenti non possono essere disattivati. Le convalide di sicurezza specifiche del controller di dominio di sola lettura non possono essere disabilitate. È possibile impostare un flag di esenzione del controllo di sicurezza per un caso di trust di dominio o un caso di trust tra foreste.

  • D5: È necessario apportare modifiche alla configurazione prima di installare questo aggiornamento?

    A5: Forse. Assicurarsi che la configurazione soddisfi i requisiti descritti nella sezione Prerequisiti .

  • D6: È necessario applicare patch ai controller di dominio in qualsiasi ordine specifico affinché l'aggiornamento abbia effetto?

    A6: sono supportate tutte le varianti dell'ordine di applicazione delle patch. La nuova operazione dello scanner di attendibilità PDC ha effetto solo dopo l'applicazione di patch al controller di dominio primario. Tutti i controller di dominio con patch inizieranno immediatamente ad applicare le restrizioni del controller di dominio di sola lettura. I PDC non patchati non applicano restrizioni pass-through NTLM fino a quando non viene applicata una patch al controller di dominio primario e non inizia a creare nuovi record dello scanner negli attributi msDS-TrustForestTrustInfo. I controller di dominio non patchati (non PDC) ignoreranno i nuovi record dello scanner una volta presenti.

  • D7: Quando la foresta sarà protetta?

    A7: La foresta sarà protetta una volta installato questo aggiornamento in tutti i controller di dominio in tutti i domini. Le foreste di attendibilità saranno protette dopo che lo scanner di attendibilità PDC ha completato almeno un'operazione riuscita e la replica ha avuto esito positivo.

  • D8: Non controllo i domini o le foreste di attendibilità. Come è possibile assicurarsi che la foresta sia protetta?

    A8: Vedere la domanda precedente. La sicurezza della foresta non dipende dallo stato di applicazione delle patch di domini o foreste attendibili. È consigliabile applicare patch ai controller di dominio per tutti i clienti. Modificare inoltre la configurazione descritta nella sezione Prerequisiti .

Riferimenti

Per altre informazioni sui dettagli tecnici specifici, vedere: