Las actualizaciones de Windows agregan nuevas protecciones de autenticación de paso a través NTLM para CVE-2022-21857
Número de KB original: 5010576
Después de instalar las actualizaciones de Windows del 11 de enero de 2022 o posteriores actualizaciones de Windows que contienen protecciones para CVE-2022-21857, los controladores de dominio (CONTROLADORES de dominio) aplicarán nuevas comprobaciones de seguridad para las solicitudes de autenticación de paso a través de NTLM enviadas por un dominio de confianza a través de un dominio o confianza de bosque, o enviadas por un controlador de dominio de solo lectura (RODC) a través de una confianza de canal seguro. Las nuevas comprobaciones de seguridad requieren que el dominio o el cliente que se autentique sean adecuados para la confianza que se usa. En concreto, las comprobaciones de seguridad adecuadas para el tipo de confianza que se usa rechazarán la solicitud de autenticación de paso a través NTLM si no se cumplen los siguientes requisitos:
- Las solicitudes a través de una confianza de dominio deben usar el mismo nombre de dominio que el dominio de confianza.
- Las solicitudes a través de una confianza de bosque deben usar un nombre de dominio que sea miembro del bosque de confianza y no tenga una colisión de nombres de otros bosques.
- Las solicitudes reenviadas por un RODC deben usar un nombre de cliente para el que el RODC se haya autorizado previamente para almacenar en caché los secretos.
Para admitir las validaciones de confianza de dominio y bosque, el controlador de dominio principal (PDC) del dominio raíz de cada bosque se actualiza para emitir periódicamente consultas del Protocolo ligero de acceso a directorios (LDAP). Las consultas se emiten cada ocho horas para todos los nombres de dominio de cada bosque de confianza, lo que se denomina "examen de confianza". Estos nombres de dominio se almacenan en el msDS-TrustForestTrustInfo atributo del objeto de dominio de confianza (TDO) correspondiente.
Requisitos previos
A medida que las actualizaciones agregan nuevos comportamientos de examen de confianza, todo lo que bloquee el tráfico de actividad LDAP, la autenticación y la autorización del PDC de un bosque de confianza al bosque de confianza provocará un problema:
- Si se usan firewalls, es necesario permitir los puertos TCP y UDP 389 entre el PDC de confianza y los controladores de dominio de confianza, así como la comunicación para operar la confianza (resolución de nombres, RPC para NTLM y puerto 88 para Kerberos).
- El PDC del bosque de confianza también necesita acceder a este equipo desde el derecho de usuario de red para autenticarse en los controladores de dominio de confianza. De forma predeterminada, "usuarios autenticados" tienen el derecho de usuario que incluye el PDC de dominio de confianza.
- El PDC del dominio de confianza debe tener permisos de lectura suficientes para el contenedor de particiones de bosque de confianza en el NC de configuración y los objetos secundarios. De forma predeterminada, "usuarios autenticados" tienen acceso, que se aplica al PDC del dominio de confianza que realiza la llamada.
- Cuando se habilita la autenticación selectiva, se debe conceder al PDC del bosque de confianza el permiso Permitido para autenticar las cuentas de equipo del controlador de dominio del bosque de confianza para proteger los bosques de confianza.
Si un bosque de confianza no permite que el bosque de confianza consulte información de confianza, el bosque de confianza puede estar en riesgo de ataques de retransmisión NTLM.
Por ejemplo, el bosque A confía en el bosque B y el bosque C confía en el bosque B. Si el bosque A se niega a permitir la autenticación o la actividad LDAP desde el dominio raíz del bosque B, el bosque A corre el riesgo de un ataque de retransmisión NTLM de un bosque C malintencionado o comprometido.
Nuevos eventos
Los siguientes eventos se agregan como partes de las protecciones para CVE-2022-21857 y se registran en el registro de eventos del sistema.
Eventos relacionados con el servicio Netlogon
De forma predeterminada, el servicio Netlogon limita los eventos de las advertencias y las condiciones de error, lo que significa que no registra las advertencias por solicitud ni los eventos de error. En su lugar, los eventos de resumen (id. de evento de Netlogon 5832 y el id. de evento de Netlogon 5833) se registran una vez al día para las autenticaciones de paso a través ntlm que están bloqueadas por las nuevas comprobaciones de seguridad introducidas en esta actualización, o deben haberse bloqueado, pero que se permitieron debido a la presencia de una marca de exención configurada por el administrador.
Si se registra el identificador de evento de Netlogon 5832 o el identificador de evento 5833 de Netlogon y necesita más información, deshabilite la limitación de eventos mediante la creación y establecimiento del ThrottleNTLMPassThroughAuthEvents valor de REG_DWORD en cero en la siguiente ruta de acceso del Registro:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Nota:
Esta configuración surte efecto inmediatamente sin reiniciar el sistema o el servicio y no está bajo el control de un objeto de directiva de grupo (GPO).
| Identificador de evento de Netlogon | Texto del mensaje del evento | Notas |
|---|---|---|
| 5832 | El servicio Netlogon permitió una o varias solicitudes de autenticación NTLM de paso a través no seguras de dominios de confianza o bosques durante la ventana de limitación de eventos más reciente. Estas solicitudes no seguras normalmente se bloquearían, pero se permitían continuar debido a la configuración de confianza actual. Advertencia: permitir solicitudes de autenticación de paso a través no seguras expondrá el bosque de Active Directory para atacar. Para obtener más información sobre este problema, visite https://go.microsoft.com/fwlink/?linkid=276811.Recuento de solicitudes no seguras permitidas debido a la invalidación administrativa: <Número de recuento> |
Este evento de advertencia registra el número de autenticaciones de paso a través no seguras permitidas debido a la presencia de una marca de exención configurada por el administrador. |
| 5833 | El servicio Netlogon bloqueó una o varias solicitudes de autenticación NTLM de paso a través no seguras de clientes, dominios o bosques de confianza durante la ventana de limitación de eventos más reciente. Para obtener más información sobre este problema, incluido cómo habilitar el registro más detallado, visite https://go.microsoft.com/fwlink/?linkid=276811.Recuento de solicitudes no seguras bloqueadas: <Número de recuento> |
Este evento de advertencia registra el número de autenticaciones de paso a través no seguras bloqueadas. |
| 5834 | El servicio Netlogon permitió una solicitud de autenticación NTLM de paso a través no segura de un cliente, dominio o bosque de confianza. Esta solicitud no segura normalmente se bloquearía, pero se permitía continuar debido a la configuración de confianza actual. Advertencia: permitir solicitudes de autenticación de paso a través no seguras expondrá el bosque de Active Directory para atacar. Para obtener más información sobre este problema, visite https://go.microsoft.com/fwlink/?linkid=276811.Nombre de cuenta: <Nombre de cuenta> Nombre de confianza: <Nombre de confianza> Tipo de confianza: <Tipo de confianza> Dirección IP del cliente: <dirección IP del cliente> Motivo del bloqueo: <Motivo del bloqueo> Nombre de Netbios del servidor de recursos: <Nombre de Netbios del servidor de recursos> Nombre DNS del servidor de recursos: <nombre DNS del servidor de recursos> Nombre de Netbios del dominio de recursos: <Nombre de netbios del dominio de recursos> Nombre DNS del dominio de recursos: <nombre DNS de dominio de recurso> |
Este evento de advertencia solo se registra cuando se ha deshabilitado la limitación de eventos de Netlogon. Registra una solicitud de autenticación de paso a través específica que se permitió debido a una marca de exención configurada por el administrador. |
| 5835 | El servicio Netlogon bloqueó una solicitud de autenticación NTLM de paso a través no segura de un cliente, dominio o bosque de confianza. Para más información, visite https://go.microsoft.com/fwlink/?linkid=276811.Nombre de cuenta: <Nombre de cuenta> Nombre de confianza: <Nombre de confianza> Tipo de confianza: <Tipo de confianza> Dirección IP del cliente: <dirección IP del cliente> Motivo del bloqueo: <Motivo del bloqueo> Nombre de Netbios del servidor de recursos: <Nombre de Netbios del servidor de recursos> Nombre DNS del servidor de recursos: <nombre DNS del servidor de recursos> Nombre de Netbios del dominio de recursos: <Nombre de netbios del dominio de recursos> Nombre DNS del dominio de recursos: <nombre DNS de dominio de recurso> |
Este evento de advertencia solo se registra cuando se ha deshabilitado la limitación de eventos de Netlogon. Registra una solicitud de autenticación de paso a través específica que se bloqueó. |
Eventos relacionados con la autoridad de seguridad local (LSA)
Nota:
Estos eventos no están limitados.
| Identificador de evento LSA | Texto del mensaje del evento | Notas |
|---|---|---|
| 6148 | El PDC completó una operación de examen de confianza automática para todas las confianzas sin errores. Dispone de más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Se espera que este evento informativo se muestre periódicamente cada ocho horas. |
| 6149 | El PDC completó una operación de examen de confianza automática para todas las confianzas y encontró al menos un error. Dispone de más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Este evento de advertencia debe investigarse, especialmente si se muestra cada ocho horas. |
| 6150 | El PDC completó una operación de examen de confianza solicitada por el administrador para la confianza "<Nombre> de confianza" sin errores. Puede encontrar más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Este evento informativo se usa para realizar un seguimiento cuando los administradores invocan manualmente el analizador de confianza de PDC mediante el netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet . |
| 6151 | El PDC no pudo encontrar la confianza especificada "<Nombre> de confianza" para examinar. La confianza no existe o no es una confianza entrante o bidireccional. Dispone de más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Este evento de advertencia realiza un seguimiento cuando los administradores invocan manualmente el analizador de confianza de PDC mediante un nombre de bosque incorrecto. |
| 6152 | El PDC completó una operación de examen de confianza solicitada por el administrador para la confianza "<Nombre> de confianza" y encontró un error. Dispone de más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Este evento de advertencia realiza un seguimiento cuando los administradores invocan manualmente el analizador de confianza de PDC (para todas las confianzas) ejecutando el netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet y se produce un error en la operación. |
| 6153 | El PDC encontró un error al intentar examinar la confianza con nombre. Confianza: <Error de nombre>de confianza: <Mensaje de>error Puede encontrar más información en https://go.microsoft.com/fwlink/?linkid=2162089. |
Este evento de advertencia es un complemento para el evento anterior e incluye un código de error. Se registra durante los exámenes de confianza programados que se producen cada ocho horas. |
Cuando se incluye un código de error en algunos de los eventos relacionados con errores, debe habilitar el seguimiento para realizar más investigaciones.
Mejoras en el registro de Netlogon y el registro de LSA
El registro de Netlogon (%windir%\debug\netlogon.log) y el registro de LSA (lsp.log) se actualizan para admitir las mejoras en las actualizaciones.
Habilitación y deshabilitación del registro de Netlogon (netlogon.log)
Para habilitar el registro de Netlogon, ejecute el siguiente comando:
nltest /dbflag:2080ffffPara deshabilitar el registro de Netlogon después de las investigaciones, ejecute el siguiente comando:
nltest /dbflag:0
Habilitación y deshabilitación del registro de LSA (lsp.log) mediante PowerShell
Para habilitar el registro de LSA, ejecute los siguientes cmdlets:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePara deshabilitar el registro de LSA, ejecute los siguientes cmdlets:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Habilite y deshabilite el registro de LSA (lsp.log) mediante reg.exe (para el sistema operativo heredado sin PowerShell)
Para habilitar el registro de LSA, ejecute los siguientes comandos reg:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /fPara deshabilitar el registro de LSA, ejecute los siguientes comandos reg:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
Mejoras en las herramientas de nltest.exe y netdom.exe
Las herramientas nltest.exe y netdom.exe se actualizan para admitir las mejoras de esta actualización.
mejoras de Nltest.exe
La herramienta nltest.exe puede consultar y mostrar todos los registros de un msDS-TrustForestTrustInfo atributo de un objeto de dominio de confianza mediante el siguiente comando:
nltest.exe /lsaqueryfti:<Trusting Forest Name>
Este es un ejemplo con la salida:
C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com
TLN: contoso.com
Dom: contoso.com
Scan: contoso.com Sid:(null) Flags:0x0
The command completed successfully
Nota:
El término "Scan" en la salida hace referencia a un nuevo tipo de registro "Scanner" que persiste durante las operaciones del analizador de confianza de PDC.
mejoras de Netdom.exe
La herramienta netdom.exe puede iniciar las nuevas operaciones del analizador de confianza de PDC y establecer una marca de exención de comprobación de seguridad para un dominio de confianza específico o un dominio secundario específico en un bosque de confianza.
Inicie las operaciones del analizador de confianza de PDC.
Para todos los bosques de confianza, ejecute los siguientes comandos:
netdom trust <Local Forest> /Domain:* /InvokeTrustScannerPara un bosque de confianza específico, ejecute los siguientes comandos:
netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScannerNota:
Este comando debe ejecutarse localmente en el PDC del bosque local.
Este comando solo puede iniciar la operación. Para averiguar el resultado, busque en el registro de eventos del sistema los nuevos eventos LSA y habilite el seguimiento de LSA si es necesario.
Investigación de las autenticaciones de paso a través de NTLM con errores
Nota:
Antes de seguir estos pasos, asegúrese de que la configuración cumple los requisitos como se describe en la sección Requisitos previos .
Estos son los pasos básicos:
Habilite el registro de Netlogon y LSA en todos los controladores de dominio implicados.
Reproduce el problema.
Deshabilite el registro de Netlogon y LSA.
Busque los siguientes términos en el archivo netlogon.log y revise las entradas de registro que describen los errores:
- "LsaIFilterInboundNamespace"
- "NlpValidateNTLMTargetInfo"
- "NlpVerifyTargetServerRODCCachability"
- "ResourceDomainNameCollidesWithLocalForest"
Busque el término "LsaDbpFilterInboundNamespace" en el archivo lsp.log y revise las entradas de registro que describen los errores.
Nota:
Para una autenticación con error en una relación de confianza de bosque, use la nueva opción de nltest.exe para volcar todos los registros nuevos guardados por el analizador de confianza de PDC.
Investigación de las operaciones con errores del analizador de confianza de PDC
Nota:
Antes de seguir estos pasos, asegúrese de que la configuración cumple los requisitos como se describe en la sección Requisitos previos .
Estos son los pasos básicos:
Habilite el registro de LSA en el PDC.
En el caso de las operaciones específicas del analizador de confianza, este seguimiento puede estar restringido a la marca TRACE_LEVEL_LSP_FOREST_SCANNER.
Reproduzca el problema mediante la nueva funcionalidad de netdom.exe
/InvokeTrustScanner.Deshabilite el registro de LSA.
Busque en el archivo lsp.log el término "fail" o "failed" y revise las entradas del registro.
Es posible que se produzca un error en el analizador de confianza por los siguientes motivos:
Faltan permisos en el contenedor de particiones.
Los puertos de firewall necesarios entre los controladores de dominio y entre los miembros y los controladores de dominio no están abiertos. Estos son los puertos de firewall:
- UDP+TCP/389
- TCP/88
- UDP+TCP/53
Mitigaciones de problemas
Si se produce un error en las autenticaciones debido a colisiones de nombres de dominio, configuraciones incorrectas o circunstancias imprevistas, cambie el nombre de los dominios que colisionan para evitar la colisión para mitigar el problema.
Si se produce un error en las autenticaciones a través de una confianza de canal seguro RODC, póngase en contacto con el soporte técnico de Microsoft para este problema porque no hay métodos de mitigación.
Si se produce un error en el analizador de confianza de PDC, la mitigación depende del contexto específico. Por ejemplo, a los controladores de dominio de un bosque de confianza no se les conceden permisos de consulta LDAP al contexto de nomenclatura de configuración (NC) del bosque de confianza. La mitigación consiste en conceder los permisos.
Preguntas más frecuentes (P+F)
P1: ¿Se puede configurar la frecuencia del analizador de confianza de PDC?
A1: No.
P2: ¿Se invocará automáticamente el analizador de confianza de PDC al crear una nueva confianza de bosque?
A2: No. Los administradores pueden invocarlo manualmente si es necesario; de lo contrario, el nuevo bosque se analizará en el siguiente intervalo normal.
P3: ¿Los administradores de dominio pueden modificar los nuevos registros del analizador?
A3: Sí, pero no se recomienda ni se admite. Si los registros del analizador se crean, modifican o eliminan inesperadamente, el analizador de confianza de PDC revertirá los cambios la próxima vez que se ejecute.
P4: Estoy seguro de que NTLM no se usa en mi entorno. ¿Cómo puedo desactivar este comportamiento?
A4: En general, los nuevos comportamientos no se pueden desactivar. No se pueden deshabilitar las validaciones de seguridad específicas de RODC. Puede establecer una marca de exención de comprobación de seguridad para un caso de confianza de dominio o un caso de confianza de bosque.
P5: ¿Es necesario realizar cambios de configuración antes de instalar esta actualización?
A5: Tal vez. Asegúrese de que la configuración cumple los requisitos como se describe en la sección Requisitos previos .
P6: ¿Necesito aplicar revisiones a mis controladores de dominio en cualquier orden específico para que esta actualización surta efecto?
A6: Se admiten todas las variaciones del orden de aplicación de revisiones. La nueva operación del analizador de confianza de PDC surte efecto solo después de aplicar la revisión del PDC. Todos los controladores de dominio revisados comenzarán a aplicar inmediatamente las restricciones RODC. Los PDC no revisados no aplicarán restricciones de paso a través de NTLM hasta que se revise el PDC y empiece a crear nuevos registros de escáner en los atributos msDS-TrustForestTrustInfo. Los controladores de dominio no revisados (que no son PDC) omitirán los nuevos registros del analizador una vez presentes.
P7: ¿Cuándo será seguro mi bosque?
A7: El bosque será seguro una vez que todos los controladores de dominio de todos los dominios tengan instalada esta actualización. Los bosques de confianza serán seguros una vez que el analizador de confianza de PDC haya completado al menos una operación correcta y la replicación se haya realizado correctamente.
P8: No controlo mis dominios o bosques de confianza. ¿Cómo puedo asegurarme de que mi bosque sea seguro?
A8: Vea la pregunta anterior. La seguridad del bosque no depende del estado de aplicación de revisiones de ningún dominio o bosque de confianza. Se recomienda que todos los clientes revisen sus controladores de dominio. Además, cambie la configuración descrita en la sección Requisitos previos .
Referencias
Para obtener más información sobre los detalles técnicos específicos, consulte: