{"id":262101,"date":"2022-01-29T10:26:36","date_gmt":"2022-01-29T09:26:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262101"},"modified":"2024-02-04T21:40:35","modified_gmt":"2024-02-04T20:40:35","slug":"linux-microsoft-empfehlung-zum-enforcement-mode-gegen-active-directory-bernahme-kann-probleme-machen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/29\/linux-microsoft-empfehlung-zum-enforcement-mode-gegen-active-directory-bernahme-kann-probleme-machen\/","title":{"rendered":"Linux: Microsoft Empfehlung zum Enforcement Mode gegen Active Directory-&Uuml;bernahme kann Probleme machen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/01\/29\/linux-microsoft-empfehlung-zum-enforcement-mode-gegen-active-directory-bernahme-kann-probleme-machen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft empfiehlt als Schutz gegen eine Dom\u00e4nen\u00fcbernahme durch die Schwachstellen <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-42287\" target=\"_blank\" rel=\"noopener\">CVE-2021-42287<\/a> und <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-42278\" target=\"_blank\" rel=\"noopener\">CVE-2021-42278<\/a> nicht nur die Installation der November 2021-Sicherheitsupdates auf Windows Servern, die als DC arbeiten. Es wird auch empfohlen, den sogenannten Enforcement Mode zum Schutz gegen die \u00dcbernahme auf allen Active Directory-Dom\u00e4nencontrollern zu aktivieren. Ein Blog-Leser wies mich nun aber darauf hin, dass dies Kollateralsch\u00e4den verursacht und sich Linux-Client oft nicht mehr an der Dom\u00e4ne anmelden k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es beim Enforcement Mode?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/8785905fe6104fae8dfaf28a544d902b\" alt=\"\" width=\"1\" height=\"1\" \/>Im November 2021 wurden zum Patchday die Schwachstellen CVE-2021-42287 und CVE-2021-42278 durch Windows-Updates beseitigt. Diese Schwachstellen k\u00f6nnen zur \u00dcbernahme einer Active Directory Domain missbraucht werden. Am 20. Dezember 2021 hat Microsoft das Ganze nochmals im Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/security-compliance-and-identity\/sam-name-impersonation\/ba-p\/3042699\" target=\"_blank\" rel=\"noopener\">SAM Name impersonation<\/a> aufgegriffen und warnt vor der Gefahr, dass ungesicherte Server es einem Angreifer erm\u00f6glichen, einen Dom\u00e4nenadministrator-Benutzer in einer Active Directory-Umgebung zu erstellen. Es reicht, einen normalen Benutzer in der Dom\u00e4ne zu kompromittieren, um sich die Berechtigungen eines Dom\u00e4nenadministrators zu verschaffen.<\/p>\n<p>Um eine Umgebung mit einem Domain Controller zu sch\u00fctzen und Ausf\u00e4lle zu vermeiden, m\u00fcssen Administratoren folgende Daten im Hinterkopf behalten bzw. folgenden Schritte durchf\u00fchren:<\/p>\n<ul>\n<li>Alle Ger\u00e4te, die die Active Directory-Dom\u00e4nencontroller-Rolle hosten, auf das kumulative Sicherheits-Update vom 9. November 2021 (oder sp\u00e4ter) aktualisieren.<\/li>\n<li>Nachdem das Update f\u00fcr mindestens 7 Tage auf allen Active Directory-Dom\u00e4nencontrollern installiert wurde, empfiehlt Microsoft dringend, den Enforcement-Modus auf allen Active Directory-Dom\u00e4nencontrollern zu aktivieren.<\/li>\n<\/ul>\n<p>Microsoft hat zudem angek\u00fcndigt, dass mit dem Enforcement-Phase-Update am 12. Juli 2022 der Enforcement-Modus auf allen Windows-Dom\u00e4nencontrollern zwangsweise aktiviert werde. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/22\/microsoft-warnung-vor-active-directory-domain-bernahme-wegen-nicht-gepatchter-schwachstellen\/\">Microsoft-Warnung vor Active Directory Domain-\u00dcbernahme wegen nicht gepatchter Schwachstellen<\/a> auf diesen Sachverhalt hingewiesen und auf die betreffenden Microsoft-Seiten verlinkt.<\/p>\n<h2>Probleme mit dem Enforcement Mode<\/h2>\n<p>Blog-Leser Marco D. ist auf den Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/22\/microsoft-warnung-vor-active-directory-domain-bernahme-wegen-nicht-gepatchter-schwachstellen\/\">Microsoft-Warnung vor Active Directory Domain-\u00dcbernahme wegen nicht gepatchter Schwachstellen<\/a>\u00a0 gesto\u00dfen und hat mich diese Woche per Mail kontaktiert. In der Mail hat er mich darauf hingewiesen (danke daf\u00fcr), dass die Microsoft-Empfehlung, den Enforcement-Modus auf allen Windows-Dom\u00e4nencontrollern zu aktivieren, problematisch sein kann. Dazu schrieb er mir:<\/p>\n<blockquote><p>Microsoft empfiehlt, den Enforcement Mode zu setzen. Das haben wir getan und festgestellt, dass Linux Clients sich nicht mehr dem AD hinzuf\u00fcgen lassen und dass CNO-Konten (Konten f\u00fcr Cluster-Objekte, z.B. SQL Server) ihr Passwort nicht mehr erneuern k\u00f6nnen.<\/p>\n<p>Nachdem wir den Enforcement Mode deaktivierten, klappte beides wieder.<\/p>\n<p>Vielleicht ist das einen Hinweis f\u00fcr alle Leser wert, denn gerade letzteres bemerkt man ohne gezieltes Monitoring oder Log-Auswertung wohl erst, wenn wirklich Probleme auftreten.<\/p><\/blockquote>\n<p>Marco hat mich dann noch auf den Technet-Forenbeitrag KB5008380 Kerberos PAC &#8211; Password Changes auf CNOs hingewiesen. Dort schreibt jemand, dass neben Linux AD Joins, welche bei einigen Distris nach dem Enforcement Mode nicht mehr m\u00f6glich waren, der SCOM nun auch Fehler betreffend Computer Passwort Updates bei virtuellen Failover Cluster Objekten (CNOs) melde:<\/p>\n<blockquote><p><em>The computer object associated with the cluster network name resource 'Cluster Name' could not be updated in domain 'domain.com during the Password change operation.<\/em><\/p>\n<p><em>The cluster identity 'Cluster Host' may lack permissions required to update the object<\/em><\/p><\/blockquote>\n<p>Auch bei Redhat gibt es einen Diskussionsbeitrag <a href=\"https:\/\/access.redhat.com\/discussions\/6645871#comment-now\" target=\"_blank\" rel=\"noopener\">Microsoft CVE-2021-42287 and PacRequestorEnforcement: Unable to join Linux instance to Active Directory domain<\/a> vom 17. Januar 2022, der auf die Probleme mit dem Windows Update KB5008380 und den Enforcement-Mode hinweist.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Auf Facebook habe ich noch die R\u00fcckmeldung erhalten, dass es die Probleme mit dem AD Domain Join unter Linux nur mit SSSD ( System Security Services Daemon) gebe. Samba mit Winbind sollte funktionieren. Vielleicht hilft das noch weiter.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-11-updates-9-november-2021\/\">Patchday: Windows 11 Updates (9. November 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/15\/windows-10-windows-server-sonderupdates-korrigieren-dc-authentifizierungsfehler-14-11-2021\/\">Windows 10\/Windows Server: Sonderupdates korrigieren DC-Authentifizierungsfehler (14.11.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/11\/november-2021-patchday-probleme-wsus-dc-events\/\">November 2021 Patchday-Probleme: WSUS, DC, Events<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft empfiehlt als Schutz gegen eine Dom\u00e4nen\u00fcbernahme durch die Schwachstellen CVE-2021-42287 und CVE-2021-42278 nicht nur die Installation der November 2021-Sicherheitsupdates auf Windows Servern, die als DC arbeiten. Es wird auch empfohlen, den sogenannten Enforcement Mode zum Schutz gegen die \u00dcbernahme &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/29\/linux-microsoft-empfehlung-zum-enforcement-mode-gegen-active-directory-bernahme-kann-probleme-machen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426,2557],"tags":[4305,4328,4364],"class_list":["post-262101","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","category-windows-server","tag-linux","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262101"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262101\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}