Les mises à jour Windows ajoutent de nouvelles protections d’authentification directe NTLM pour CVE-2022-21857
Numéro de base de connaissances d’origine : 5010576
Après avoir installé les mises à jour Windows du 11 janvier 2022 ou les mises à jour Windows ultérieures contenant des protections pour CVE-2022-21857, les contrôleurs de domaine (DCs) appliquent de nouvelles vérifications de sécurité pour les demandes d’authentification directe NTLM envoyées par un domaine d’approbation sur un domaine ou une approbation de forêt, ou envoyées par un contrôleur de domaine en lecture seule (RODC) sur une approbation de canal sécurisé. Les nouvelles vérifications de sécurité nécessitent que le domaine ou le client en cours d’authentification soient appropriés pour l’approbation utilisée. Plus précisément, les vérifications de sécurité appropriées pour le type d’approbation utilisé rejettent la demande d’authentification directe NTLM si les exigences suivantes ne sont pas satisfaites :
- Les requêtes sur une approbation de domaine doivent utiliser le même nom de domaine que le domaine d’approbation.
- Les demandes sur une approbation de forêt doivent utiliser un nom de domaine membre de la forêt d’approbation et n’ont pas de collision de nom à partir d’autres forêts.
- Les demandes transférées par un contrôleur de domaine principal doivent utiliser un nom de client pour lequel le rodc a été précédemment autorisé à mettre en cache les secrets.
Pour prendre en charge les validations d’approbation de domaine et de forêt, le contrôleur de domaine principal (PDC) du domaine racine de chaque forêt est mis à jour pour émettre régulièrement des requêtes LDAP (Lightweight Directory Access Protocol). Les requêtes sont émises toutes les huit heures pour tous les noms de domaine dans chaque forêt d’approbation, appelée « analyse d’approbation ». Ces noms de domaine sont stockés dans l’attribut msDS-TrustForestTrustInfo de l’objet de domaine approuvé (TDO) correspondant.
Conditions préalables
À mesure que de nouveaux comportements d’analyse de confiance sont ajoutés par les mises à jour, tout ce qui bloque le trafic d’activité LDAP, l’authentification et l’autorisation d’un contrôleur de domaine de forêt approuvé vers la forêt d’approbation entraîne un problème :
- Si des pare-feu sont utilisés, les ports TCP et UDP 389 doivent être autorisés entre le contrôleur de domaine approuvé et les contrôleurs de domaine d’approbation, ainsi que la communication permettant d’exploiter l’approbation (résolution de noms, RPC pour NTLM et port 88 pour Kerberos).
- Le contrôleur de domaine principal de la forêt approuvée a également besoin de l’accès à cet ordinateur à partir du droit de l’utilisateur réseau pour s’authentifier auprès des contrôleurs de domaine de confiance. Par défaut, les « utilisateurs authentifiés » disposent du droit utilisateur qui inclut le contrôleur de domaine approuvé.
- Le contrôleur de domaine approuvé doit disposer d’autorisations de lecture suffisantes pour le conteneur de partitions de forêt de confiance dans le contrôleur de domaine de configuration et les objets enfants. Par défaut, les « utilisateurs authentifiés » ont l’accès, qui s’applique au contrôleur de domaine approuvé appelant.
- Lorsque l’authentification sélective est activée, le contrôleur de domaine principal de la forêt approuvée doit être autorisé à authentifier l’autorisation auprès des comptes d’ordinateur dc de forêt approuvé pour protéger les forêts d’approbation.
Si une forêt d’approbation n’autorise pas la forêt approuvée à interroger les informations d’approbation, la forêt d’approbation peut être à risque d’attaques de relais NTLM.
Par exemple, la forêt A approuve la forêt B et la forêt C approuve la forêt B. Si la forêt A refuse d’autoriser l’authentification ou l’activité LDAP à partir du domaine racine dans la forêt B, la forêt A risque d’une attaque de relais NTLM à partir d’une forêt malveillante ou compromise C.
Nouveaux événements
Les événements suivants sont ajoutés en tant que parties des protections pour CVE-2022-21857 et sont enregistrés dans le journal des événements système.
Événements liés au service Netlogon
Par défaut, le service Netlogon limite les événements pour les avertissements et les conditions d’erreur, ce qui signifie qu’il ne consigne pas les avertissements par demande ou les événements d’échec. Au lieu de cela, les événements récapitulatives (ID d’événement Netlogon 5832 et ID d’événement Netlogon 5833) sont enregistrés une fois par jour pour les authentifications directes NTLM qui sont bloquées par les nouvelles vérifications de sécurité introduites dans cette mise à jour, ou doivent avoir été bloqués, mais ont été autorisés en raison de la présence d’un indicateur d’exemption configuré par l’administrateur.
Si l’ID d’événement Netlogon 5832 ou l’ID d’événement Netlogon 5833 est enregistré et que vous avez besoin d’informations supplémentaires, désactivez la limitation des événements en créant et en définissant la ThrottleNTLMPassThroughAuthEvents valeur REG_DWORD sur zéro dans le chemin d’accès de Registre suivant :
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Note
Ce paramètre prend effet immédiatement sans redémarrage du système ou du service, et il n’est pas sous le contrôle d’un objet de stratégie de groupe (GPO).
| ID d’événement Netlogon | Texte du message d’événement | Notes |
|---|---|---|
| 5 832 | Le service Netlogon a autorisé une ou plusieurs demandes d’authentification directe directe non sécurisée provenant de domaines approuvés et/ou de forêts pendant la fenêtre de limitation des événements la plus récente. Ces demandes non sécurisées seraient normalement bloquées, mais elles étaient autorisées à continuer en raison de la configuration d’approbation actuelle. Avertissement : L’autorisation de demandes d’authentification directe non sécurisées expose votre forêt Active Directory à attaquer. Pour plus d’informations sur ce problème, consultez https://go.microsoft.com/fwlink/?linkid=276811.Nombre de demandes non sécurisées autorisées en raison d’un remplacement administratif : <nombre> |
Cet événement d’avertissement enregistre le nombre d’authentifications directes non sécurisées autorisées en raison de la présence d’un indicateur d’exemption configuré par l’administrateur. |
| 5833 | Le service Netlogon a bloqué une ou plusieurs demandes d’authentification directe directe non sécurisées provenant de clients approuvés, de domaines et/ou de forêts pendant la fenêtre de limitation des événements la plus récente. Pour plus d’informations sur ce problème, notamment sur la façon d’activer une journalisation plus détaillée, consultez https://go.microsoft.com/fwlink/?linkid=276811.Nombre de demandes non sécurisées bloquées : <nombre de nombres> |
Cet événement d’avertissement enregistre le nombre d’authentifications directes non sécurisées qui ont été bloquées. |
| 5834 | Le service Netlogon a autorisé une demande d’authentification directe directe non sécurisée à partir d’un client approuvé, d’un domaine ou d’une forêt. Cette demande non sécurisée serait normalement bloquée, mais elle a été autorisée à continuer en raison de la configuration d’approbation actuelle. Avertissement : L’autorisation de demandes d’authentification directe non sécurisées expose votre forêt Active Directory à attaquer. Pour plus d’informations sur ce problème, consultez https://go.microsoft.com/fwlink/?linkid=276811.Nom du compte : <Nom du compte> Nom de confiance : <Nom de confiance> Type d’approbation : <Type d’approbation> Adresse IP du client : <adresse IP du client> Raison de blocage : <Bloquer la raison> Nom netbios du serveur de ressources : <nom Netbios du serveur de ressources> Nom DNS du serveur de ressources : <nom DNS du serveur de ressources> Nom netbios du domaine de ressources : <nom Netbios du domaine de ressources> Nom DNS du domaine de ressource : <nom DNS du domaine de ressource> |
Cet événement d’avertissement est enregistré uniquement lorsque la limitation des événements Netlogon a été désactivée. Il enregistre une demande d’authentification directe spécifique autorisée en raison d’un indicateur d’exemption configuré par l’administrateur. |
| 5835 | Le service Netlogon a bloqué une demande d’authentification directe directe non sécurisée à partir d’un client approuvé, d’un domaine ou d’une forêt. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=276811.Nom du compte : <Nom du compte> Nom de confiance : <Nom de confiance> Type d’approbation : <Type d’approbation> Adresse IP du client : <adresse IP du client> Raison de blocage : <Bloquer la raison> Nom netbios du serveur de ressources : <nom Netbios du serveur de ressources> Nom DNS du serveur de ressources : <nom DNS du serveur de ressources> Nom netbios du domaine de ressources : <nom Netbios du domaine de ressources> Nom DNS du domaine de ressource : <nom DNS du domaine de ressource> |
Cet événement d’avertissement est enregistré uniquement lorsque la limitation des événements Netlogon a été désactivée. Il journalise une demande d’authentification directe spécifique qui a été bloquée. |
Événements liés à l’autorité de sécurité locale (LSA)
Note
Ces événements ne sont pas limités.
| ID d’événement LSA | Texte du message d’événement | Notes |
|---|---|---|
| 6148 | Le contrôleur de domaine principal a effectué une opération d’analyse de confiance automatique pour toutes les approbations sans erreur. D’autres informations sont disponibles ici : https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’information devrait apparaître régulièrement toutes les huit heures. |
| 6149 | Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation automatique pour toutes les approbations et a rencontré au moins une erreur. D’autres informations sont disponibles ici : https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’avertissement doit être examiné, en particulier s’il apparaît toutes les huit heures. |
| 6150 | Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation demandée par l’administrateur pour l’approbation «< Nom> de confiance » sans erreur. Vous trouverez plus d’informations à l’adresse https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’information est utilisé pour effectuer le suivi lorsque les administrateurs appellent manuellement le scanneur d’approbation PDC à l’aide de l’applet netdom trust <Local Forest> /Domain:* /InvokeTrustScanner de commande. |
| 6151 | Le contrôleur de domaine principal n’a pas pu trouver l’approbation spécifiée «< Nom> de confiance » à analyser. L’approbation n’existe pas ou n’est pas une approbation entrante ou bidirectionnelle. D’autres informations sont disponibles ici : https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’avertissement suit lorsque les administrateurs appellent manuellement le scanneur d’approbation PDC à l’aide d’un nom de forêt incorrect. |
| 6152 | Le contrôleur de domaine principal a effectué une opération d’analyse d’approbation demandée par l’administrateur pour l’approbation «< Nom> de confiance » et a rencontré une erreur. D’autres informations sont disponibles ici : https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’avertissement suit lorsque les administrateurs appellent manuellement le scanneur d’approbation PDC (pour toutes les approbations) en exécutant l’applet netdom trust <Local Forest> /Domain:* /InvokeTrustScanner de commande et l’opération échoue. |
| 6153 | Le contrôleur de domaine principal a rencontré une erreur lors de la tentative d’analyse de l’approbation nommée. Approbation : Erreur de nom>d’approbation : <<Message>d’erreur : Vous trouverez plus d’informations à l’adresse https://go.microsoft.com/fwlink/?linkid=2162089. |
Cet événement d’avertissement est un complément de l’événement précédent et inclut un code d’erreur. Il est enregistré pendant les analyses d’approbation planifiées qui se produisent toutes les huit heures. |
Lorsqu’un code d’erreur est inclus dans certains événements liés à l’échec, vous devez activer le suivi pour des enquêtes supplémentaires.
Améliorations apportées à la journalisation Netlogon et à la journalisation LSA
La journalisation Netlogon (%windir%\debug\netlogon.log) et la journalisation LSA (lsp.log) sont mises à jour pour prendre en charge les améliorations apportées aux mises à jour.
Activer et désactiver la journalisation Netlogon (netlogon.log)
Pour activer la journalisation Netlogon, exécutez la commande suivante :
nltest /dbflag:2080ffffPour désactiver la journalisation Netlogon après les enquêtes, exécutez la commande suivante :
nltest /dbflag:0
Activer et désactiver la journalisation LSA (lsp.log) à l’aide de PowerShell
Pour activer la journalisation LSA, exécutez les applets de commande suivantes :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePour désactiver la journalisation LSA, exécutez les applets de commande suivantes :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Activer et désactiver la journalisation LSA (lsp.log) à l’aide de reg.exe (pour le système d’exploitation hérité sans PowerShell)
Pour activer la journalisation LSA, exécutez les commandes reg suivantes :
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /fPour désactiver la journalisation LSA, exécutez les commandes reg suivantes :
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
Améliorations apportées aux outils de nltest.exe et de netdom.exe
Les outils nltest.exe et netdom.exe sont mis à jour pour prendre en charge les améliorations apportées à cette mise à jour.
améliorations apportées aux Nltest.exe
L’outil nltest.exe peut interroger et afficher tous les enregistrements dans un attribut d’un msDS-TrustForestTrustInfo objet de domaine approuvé à l’aide de la commande suivante :
nltest.exe /lsaqueryfti:<Trusting Forest Name>
Voici un exemple avec la sortie :
C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com
TLN: contoso.com
Dom: contoso.com
Scan: contoso.com Sid:(null) Flags:0x0
The command completed successfully
Note
Le terme « Analyse » dans la sortie fait référence à un nouveau type d’enregistrement « Scanneur » qui persiste pendant les opérations du scanneur de confiance PDC.
améliorations de Netdom.exe
L’outil netdom.exe peut lancer les nouvelles opérations de scanneur de confiance PDC et définir un indicateur d’exemption de vérification de sécurité pour un domaine d’approbation spécifique ou un domaine enfant spécifique dans une forêt d’approbation.
Lancez les opérations du scanneur d’approbation PDC.
Pour toutes les forêts d’approbation, exécutez les commandes suivantes :
netdom trust <Local Forest> /Domain:* /InvokeTrustScannerPour une forêt d’approbation spécifique, exécutez les commandes suivantes :
netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScannerNote
Cette commande doit être exécutée localement sur le contrôleur de domaine principal de la forêt locale.
Cette commande ne peut lancer l’opération que. Pour connaître le résultat, recherchez les nouveaux événements LSA dans le journal des événements système et activez le suivi LSA si nécessaire.
Examen des authentifications directes NTLM ayant échoué
Note
Avant de suivre ces étapes, vérifiez que votre configuration répond aux exigences décrites dans la section Conditions préalables .
Les étapes de base sont les suivantes :
Activez la journalisation Netlogon et LSA sur tous les contrôleurs de domaine impliqués.
Reproduisez le problème.
Désactivez la journalisation Netlogon et LSA.
Recherchez les termes suivants dans le fichier netlogon.log et passez en revue les entrées de journal qui décrivent les échecs :
- « LsaIFilterInboundNamespace »
- « NlpValidateNTLMTargetInfo »
- « NlpVerifyTargetServerRODCCachability »
- « ResourceDomainNameCollidesWithLocalForest »
Recherchez le terme « LsaDbpFilterInboundNamespace » dans le fichier lsp.log et passez en revue les entrées de journal qui décrivent les échecs.
Note
Pour une authentification ayant échoué sur une approbation de forêt, utilisez la nouvelle option nltest.exe pour vider tous les nouveaux enregistrements conservés par le scanneur d’approbation PDC.
Examen des opérations du scanneur d’approbation PDC ayant échoué
Note
Avant de suivre ces étapes, vérifiez que votre configuration répond aux exigences décrites dans la section Conditions préalables .
Les étapes de base sont les suivantes :
Activez la journalisation LSA sur le contrôleur de domaine principal.
Pour les opérations spécifiques du scanneur d’approbation, ce suivi peut être limité à l’indicateur de TRACE_LEVEL_LSP_FOREST_SCANNER.
Reproduire le problème à l’aide de la nouvelle fonctionnalité de netdom.exe
/InvokeTrustScanner.Désactivez la journalisation LSA.
Recherchez dans le fichier lsp.log le terme « échec » ou « échec » et examinez les entrées du journal.
Le scanneur d’approbation peut échouer avec les raisons suivantes :
Les autorisations sont manquantes sur le conteneur de partitions.
Les ports de pare-feu nécessaires entre les contrôleurs de domaine et entre les membres et les contrôleurs de domaine ne sont pas ouverts. Voici les ports de pare-feu :
- UDP+TCP/389
- TCP/88
- UDP+TCP/53
Atténuations des problèmes
Si les authentifications échouent en raison de collisions de noms de domaine, d’erreurs de configuration ou de circonstances imprévues, renommez le ou les domaines de collision pour empêcher la collision pour atténuer le problème.
Si les authentifications sur une approbation de canal sécurisé RODC échouent, contactez le support Microsoft pour ce problème, car il n’existe aucune méthode d’atténuation.
Si le scanneur de confiance PDC échoue, l’atténuation dépend d’un contexte spécifique. Par exemple, les contrôleurs de domaine d’une forêt approuvée ne disposent pas d’autorisations de requête LDAP pour le contexte d’affectation de noms de configuration de la forêt d’approbation. L’atténuation consiste à accorder les autorisations.
Forum Aux Questions (FAQ)
Q1 : La fréquence du scanneur d’approbation PDC est-elle configurable ?
A1 : Non.
Q2 : Le scanneur d’approbation PDC sera-t-il automatiquement appelé lors de la création d’une nouvelle approbation de forêt ?
A2 : Non. Les administrateurs peuvent l’appeler manuellement si nécessaire, sinon la nouvelle forêt sera analysée à l’intervalle régulier suivant.
Q3 : Les nouveaux enregistrements scanneurs peuvent-ils être modifiés par les administrateurs de domaine ?
A3 : Oui, mais il n’est pas recommandé ou pris en charge. Si les enregistrements du scanneur sont créés, modifiés ou supprimés de façon inattendue, le scanneur d’approbation PDC rétablit les modifications la prochaine fois qu’il s’exécute.
Q4 : Je suis sûr que NTLM n’est pas utilisé dans mon environnement. Comment puis-je désactiver ce comportement ?
A4 : En général, les nouveaux comportements ne peuvent pas être désactivés. Les validations de sécurité spécifiques à RODC ne peuvent pas être désactivées. Vous pouvez définir un indicateur d’exemption de vérification de sécurité pour un cas d’approbation de domaine ou un cas d’approbation de forêt.
Q5 : Dois-je apporter des modifications de configuration avant d’installer cette mise à jour ?
A5 : Peut-être. Vérifiez que votre configuration répond aux exigences décrites dans la section Conditions préalables .
Q6 : Dois-je corriger mes contrôleurs de domaine dans un ordre spécifique pour que cette mise à jour prenne effet ?
A6 : toutes les variantes de l’ordre de mise à jour corrective sont prises en charge. La nouvelle opération du scanneur d’approbation de contrôleur de domaine principal prend effet uniquement une fois que le contrôleur de domaine principal est corrigé. Toutes les contrôleurs de domaine corrigés commencent immédiatement à appliquer les restrictions RODC. Les non-PDCs corrigés n’appliquent pas les restrictions directes NTLM tant que le contrôleur de domaine principal n’est pas corrigé et commence à créer de nouveaux enregistrements de scanneur dans les attributs msDS-TrustForestTrustInfo. Les contrôleurs de domaine non corrigés (non-PDC) ignorent les nouveaux enregistrements du scanneur une fois présents.
Q7 : Quand ma forêt sera-t-elle sécurisée ?
A7 : Votre forêt sera sécurisée une fois que tous les contrôleurs de domaine de tous les domaines ont installé cette mise à jour. Les forêts d’approbation sont sécurisées une fois que le scanneur d’approbation de contrôleur de domaine principal a effectué au moins une opération réussie et que la réplication a réussi.
Q8 : Je ne contrôle pas mes domaines ou forêts de confiance. Comment puis-je m’assurer que ma forêt est sécurisée ?
A8 : Voir la question précédente. La sécurité de votre forêt ne dépend pas de l’état de mise à jour corrective des domaines ou forêts d’approbation. Nous recommandons à tous les clients de corriger leurs contrôleurs de domaine. En outre, modifiez la configuration décrite dans la section Conditions préalables .
Références
Pour plus d’informations sur les détails techniques spécifiques, consultez :