[English]Microsoft empfiehlt als Schutz gegen eine Domänenübernahme durch die Schwachstellen CVE-2021-42287 und CVE-2021-42278 nicht nur die Installation der November 2021-Sicherheitsupdates auf Windows Servern, die als DC arbeiten. Es wird auch empfohlen, den sogenannten Enforcement Mode zum Schutz gegen die Übernahme auf allen Active Directory-Domänencontrollern zu aktivieren. Ein Blog-Leser wies mich nun aber darauf hin, dass dies Kollateralschäden verursacht und sich Linux-Client oft nicht mehr an der Domäne anmelden können.
Anzeige
Worum geht es beim Enforcement Mode?
Im November 2021 wurden zum Patchday die Schwachstellen CVE-2021-42287 und CVE-2021-42278 durch Windows-Updates beseitigt. Diese Schwachstellen können zur Übernahme einer Active Directory Domain missbraucht werden. Am 20. Dezember 2021 hat Microsoft das Ganze nochmals im Techcommunity-Beitrag SAM Name impersonation aufgegriffen und warnt vor der Gefahr, dass ungesicherte Server es einem Angreifer ermöglichen, einen Domänenadministrator-Benutzer in einer Active Directory-Umgebung zu erstellen. Es reicht, einen normalen Benutzer in der Domäne zu kompromittieren, um sich die Berechtigungen eines Domänenadministrators zu verschaffen.
Um eine Umgebung mit einem Domain Controller zu schützen und Ausfälle zu vermeiden, müssen Administratoren folgende Daten im Hinterkopf behalten bzw. folgenden Schritte durchführen:
- Alle Geräte, die die Active Directory-Domänencontroller-Rolle hosten, auf das kumulative Sicherheits-Update vom 9. November 2021 (oder später) aktualisieren.
- Nachdem das Update für mindestens 7 Tage auf allen Active Directory-Domänencontrollern installiert wurde, empfiehlt Microsoft dringend, den Enforcement-Modus auf allen Active Directory-Domänencontrollern zu aktivieren.
Microsoft hat zudem angekündigt, dass mit dem Enforcement-Phase-Update am 12. Juli 2022 der Enforcement-Modus auf allen Windows-Domänencontrollern zwangsweise aktiviert werde. Ich hatte im Blog-Beitrag Microsoft-Warnung vor Active Directory Domain-Übernahme wegen nicht gepatchter Schwachstellen auf diesen Sachverhalt hingewiesen und auf die betreffenden Microsoft-Seiten verlinkt.
Probleme mit dem Enforcement Mode
Blog-Leser Marco D. ist auf den Blog-Beitrag Microsoft-Warnung vor Active Directory Domain-Übernahme wegen nicht gepatchter Schwachstellen gestoßen und hat mich diese Woche per Mail kontaktiert. In der Mail hat er mich darauf hingewiesen (danke dafür), dass die Microsoft-Empfehlung, den Enforcement-Modus auf allen Windows-Domänencontrollern zu aktivieren, problematisch sein kann. Dazu schrieb er mir:
Anzeige
Microsoft empfiehlt, den Enforcement Mode zu setzen. Das haben wir getan und festgestellt, dass Linux Clients sich nicht mehr dem AD hinzufügen lassen und dass CNO-Konten (Konten für Cluster-Objekte, z.B. SQL Server) ihr Passwort nicht mehr erneuern können.
Nachdem wir den Enforcement Mode deaktivierten, klappte beides wieder.
Vielleicht ist das einen Hinweis für alle Leser wert, denn gerade letzteres bemerkt man ohne gezieltes Monitoring oder Log-Auswertung wohl erst, wenn wirklich Probleme auftreten.
Marco hat mich dann noch auf den Technet-Forenbeitrag KB5008380 Kerberos PAC – Password Changes auf CNOs hingewiesen. Dort schreibt jemand, dass neben Linux AD Joins, welche bei einigen Distris nach dem Enforcement Mode nicht mehr möglich waren, der SCOM nun auch Fehler betreffend Computer Passwort Updates bei virtuellen Failover Cluster Objekten (CNOs) melde:
The computer object associated with the cluster network name resource 'Cluster Name' could not be updated in domain 'domain.com during the Password change operation.
The cluster identity 'Cluster Host' may lack permissions required to update the object
Auch bei Redhat gibt es einen Diskussionsbeitrag Microsoft CVE-2021-42287 and PacRequestorEnforcement: Unable to join Linux instance to Active Directory domain vom 17. Januar 2022, der auf die Probleme mit dem Windows Update KB5008380 und den Enforcement-Mode hinweist.
Ergänzung: Auf Facebook habe ich noch die Rückmeldung erhalten, dass es die Probleme mit dem AD Domain Join unter Linux nur mit SSSD ( System Security Services Daemon) gebe. Samba mit Winbind sollte funktionieren. Vielleicht hilft das noch weiter.
Ähnliche Artikel:
Patchday: Windows 11 Updates (9. November 2021)
Windows 10/Windows Server: Sonderupdates korrigieren DC-Authentifizierungsfehler (14.11.2021)
November 2021 Patchday-Probleme: WSUS, DC, Events
Anzeige
Tatsache, das erklärt meine aktuellen Probleme beim Domainjoin unter Ubuntu 20.04 LTS mit SSSD. Habe bisher keine Lösung. (Enforcement Mode deaktivieren gehört nicht dazu) Jemand schon einen Workaround?
Wir hatten bei uns den Enforcement-Mode auch auf 2 gestellt und ihn nach einigen Stunden wieder auf 1 zurück gestellt, weil es diverse Probleme gab, nicht nur mit Linux. Bei MS ist ein Case offen und aus dem Bekanntenkreis weiß ich noch von anderen Fällen, wo bei MS ein Case aufgemacht wurde. Aber nicht nur Microsoft ist hier gefragt, auch die Linux-Communities und diverse Hersteller die ihre Sachen mit dem AD koppeln müssen da wohl noch Anpassungen machen. Die Schwachstelle muss allerdings geschlossen werden, da führt kein Weg daran vorbei. Könnte übrigens auch sein, dass damit ein paar ältere, aus dem Support gefallene Windows-Versionen, die irgendwo vielleicht noch mit laufen, auch hinten runter fallen.
Danke für die Info – ich denke, die Linux-Entwickler dürften vor Sommer 2022 nachziehen. Aktuell ist es mir nur wichtig, dass die Info überhaupt vorhanden ist und die verantwortlichen Admins erreicht – hilft vielleicht Überraschungen zu vermeiden.
Die Meldung finde ich bei uns im HyperV Cluster ebenfalls. Bisher aber noch keine Probleme festgestellt. Läuft seit Anfang Dezember auf dem Enforcement-Mode 2.
Auch hier die gleiche Meldung im HyperV-Cluster.
Mal sehen, was kommt..
Ich dachte der Enforcement Mode ist bereits seit 9.2.21 (bzw. 9.3.21) auf DCs zwangsaktiv?
Siehe https://www.borncity.com/blog/2021/02/07/erinnerung-enforcement-mode-ab-9-feb-2021-bei-windows-server-domain-controllern/
Ich denke, das sind zwei unterschiedliche Sachen. Der von dir verlinkte Fall bezieht sich auf die Netlogon-Schwachstelle. Notfalls die MS-Artikel konsultieren.
No, siehe KB Artikel dazu…
> welche bei einigen Distris nach dem Enforcement Mode nicht mehr möglich waren,
Würde mich wundern wenn es auch nur EINE Linux Distribution gäbe, bei der es noch möglich ist. Bitte ggf. Namen einer solchen posten. Microsoft hat m. E. proprietäre Änderungen vorgenommen, die sich grundsätzlich aus [1] ergeben und im Quellcode diverser Kerberos-Implementationen (u. a. FreeIPA) noch keinen Niederschlag fanden.
[1]
[MS-PAC]: Privilege Attribute Certificate Data Structure
6/25/2021 – 22.0
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-pac/166d8064-c863-41e1-9c23-edaaa5f36962
CentOS 7 funktioniert noch. CentOS 8, alma und Debian wollen nicht mehr. Momentan deaktivieren wir den Enforcement Modus für den Domain Join und aktivieren ihn danach wieder.
> CentOS 7 funktioniert noch.
Bin zu lange vom Thema weg; unter Vorbehalt und eher spekulativ:
Kann es sein, dass dieses in der Logik von 'net rpc join' vs. 'net ads join' gejoined wurde?
Ersteres ist 'NT-style' und funktioniert ohne Kerberos inkl. dessen aktuell Probleme machendem PAC.
Kann jemand berichten ob dadurch vielleicht auch AD joins von NAS betroffen sein könnten?
Wäre interessant bevor ich hier aktiviere und erst dann vor diesem Problem stehe…
Was ist bei "NAS"? Es gibt hunderte System mit noch Implementierungen…
Wie soll man so eine (bescheuerte – sry) Frage vernünftig beantworten…
> ob dadurch vielleicht auch AD joins von NAS betroffen sein könnten?
Mein 'Gefühl': Werden im selben Maße betroffen sein wie Linux/BSD Installationen, da auch ihnen 'Code fehlt', um die neue Situation zu handeln.
Windows Storage Server 2016 basierte NASes wie die DELL Storage NX Familie sollten keine Probleme haben.
Ich finde Deine Frage überhaupt nicht bescheuert.
Zur Selbstbedienung, provided as is:
Diverse OSS-Projekte arbeiten an Codeanpassungen für Nicht-Windows-Systeme, s.:
https://www.mail-archive.com/search?l=all&q=PAC_ATTRIBUTES_INFO
https://www.mail-archive.com/search?l=all&q=PacRequestorEnforcement
https://www.mail-archive.com/search?l=all&q=PAC_REQUESTER_SID
NetApp auch betroffen, s.:
How does Windows Server KB5008380 / CVE-2021-42287 in Enforcement mode impact ONTAP 9 CIFS Operations
Last Updated:1/12/2022, 7:54:25 PM
https://kb.netapp.com/Advice_and_Troubleshooting/Data_Storage_Software/ONTAP_OS/How_does_Windows_Server_KB5008380_CVE-2021-42287_in_Enforcement_mode_impact_ONTAP_9_CIFS_Operations
Das Thema mit den Computerkonten verschwindet, wenn man die offizielle Zeitachse und Reihenfolge einhält. Erst Dword 1, ne Woche warten, dann Dword auf 2. Hatte nur div Warnings bei „1" (Thema Lifetime der Tickets), seitdem Ruhe. Habe SQL, SOFS, IIS, Hyper-V und Exchange Cluster im Einsatz, und etliche Service Accounts als Protected User (Hardening übertrieben..), läuft perfekt. Umgebung 2016 bis 2022 inkl. Insider.
Gruß
Und bei den Computerkonten für die Cluster wurde seit Aktivieren des Enforcement Modes das Kennwort aktualisiert?
Tja die Kollateralschäden wenn Microsoft, dank ihrer gefühlt 1000 Jährigen Downgrade Kompatibilität, dann mal wieder Spontan plötzliche Neuerungen in irgendwelchen Protokollen einführt. Zumeist ist danach so ziemlich jede Fremdhersteller Software zumeist über Monate nicht in der Lage zu funktionieren.