As atualizações do Windows adicionam novas proteções de autenticação de passagem NTLM para CVE-2022-21857
Número original do KB: 5010576
Depois de instalar as atualizações do Windows de 11 de janeiro de 2022 ou atualizações posteriores do Windows contendo proteções para CVE-2022-21857, os controladores de domínio (DCs) imporão novas verificações de segurança para solicitações de autenticação de passagem NTLM enviadas por um domínio confiante em uma relação de confiança de domínio ou floresta ou enviadas por um RODC (controlador de domínio somente leitura) em uma relação de confiança de canal seguro. As novas verificações de segurança exigem que o domínio ou cliente que está sendo autenticado seja apropriado para a relação de confiança que está sendo usada. Especificamente, as verificações de segurança apropriadas para o tipo de confiança que está sendo usado rejeitarão a solicitação de autenticação de passagem NTLM se os seguintes requisitos não forem atendidos:
- As solicitações em uma relação de confiança de domínio devem usar o mesmo nome de domínio que o domínio confiante.
- As solicitações em uma relação de confiança de floresta devem usar um nome de domínio que seja membro da floresta confiante e não tenha uma colisão de nomes de outras florestas.
- As solicitações encaminhadas por um RODC devem usar um nome de cliente para o qual o RODC tenha sido autorizado a armazenar segredos em cache.
Para dar suporte às validações de confiança de domínio e floresta, o PDC (Controlador de Domínio Primário) do domínio raiz em cada floresta é atualizado para emitir periodicamente consultas LDAP (Lightweight Directory Access Protocol). As consultas são emitidas a cada oito horas para todos os nomes de domínio em cada floresta confiante, o que é chamado de "verificação confiável". Esses nomes de domínio são armazenados no msDS-TrustForestTrustInfo atributo do objeto de domínio confiável (TDO) correspondente.
Pré-requisitos
À medida que novos comportamentos de verificação de confiança são adicionados pelas atualizações, qualquer coisa que bloqueie o tráfego de atividade LDAP, a autenticação e a autorização do PDC de uma floresta confiável para a floresta confiante causará um problema:
- Se firewalls forem usados, as portas TCP e UDP 389 precisarão ser permitidas entre o PDC confiável e os DCs de domínio confiáveis, bem como a comunicação para operar a confiança (resolução de nomes, RPC para NTLM e porta 88 para Kerberos).
- O PDC da floresta confiável também precisa do direito de usuário Acessar este computador da rede para autenticar os controladores de domínio confiantes. Por padrão, os "usuários autenticados" têm o direito de usuário que inclui o PDC de domínio confiável.
- O PDC no domínio confiável deve ter permissões de leitura suficientes para o contêiner de partições de floresta confiável no NC de configuração e nos objetos filhos. Por padrão, os "usuários autenticados" têm o acesso, que se aplica ao PDC de domínio confiável de chamada.
- Quando a autenticação seletiva está habilitada, o PDC na floresta confiável deve receber a permissão Permitido para autenticar as contas de computador do DC da floresta confiante para proteger as florestas confiantes.
Se uma floresta confiante não permitir que a floresta confiável consulte informações de confiança, a floresta confiante poderá estar em risco de ataques de retransmissão NTLM.
Por exemplo, a floresta A confia na floresta B e a floresta C confia na floresta B. Se a floresta A se recusar a permitir autenticação ou atividade LDAP do domínio raiz na floresta B, a floresta A corre o risco de um ataque de retransmissão NTLM de uma floresta C mal-intencionada ou comprometida.
Novos eventos
Os eventos a seguir são adicionados como parte das proteções para CVE-2022-21857 e são registrados no log de eventos do sistema.
Eventos relacionados ao serviço Netlogon
Por padrão, o serviço Netlogon limita eventos para os avisos e condições de erro, o que significa que ele não registra avisos por solicitação ou eventos de falha. Em vez disso, os eventos de resumo (ID de evento Netlogon 5832 e ID de evento Netlogon 5833) são registrados uma vez por dia para autenticações de passagem NTLM que são bloqueadas pelas novas verificações de segurança introduzidas nesta atualização ou deveriam ter sido bloqueadas, mas foram permitidas devido à presença de um sinalizador de isenção configurado pelo administrador.
Se a ID de evento Netlogon 5832 ou a ID de evento Netlogon 5833 estiver registrada e você precisar de mais informações, desabilite a limitação de eventos criando e definindo o valor REG_DWORD ThrottleNTLMPassThroughAuthEvents como zero no seguinte caminho do Registro:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Observação
Essa configuração entra em vigor imediatamente sem uma reinicialização do sistema ou serviço e não está sob o controle de um GPO (Objeto de Política de Grupo).
| ID do evento Netlogon | Texto da mensagem do evento | Observações |
|---|---|---|
| 5832 | O serviço Netlogon permitiu uma ou mais solicitações de autenticação NTLM de passagem não segura de domínios e/ou florestas confiáveis durante a janela de limitação de eventos mais recente. Essas solicitações não seguras normalmente seriam bloqueadas, mas foram autorizadas a prosseguir devido à configuração de confiança atual. Aviso: permitir solicitações de autenticação de passagem não seguras exporá sua floresta do Active Directory a ataques. Para obter mais informações sobre esse problema, visite https://go.microsoft.com/fwlink/?linkid=276811.Contagem de solicitações não seguras permitidas devido à substituição administrativa: <Número da contagem> |
Esse evento de aviso registra o número de autenticações de passagem não seguras que foram permitidas devido à presença de um sinalizador de isenção configurado pelo administrador. |
| 5833 | O serviço Netlogon bloqueou uma ou mais solicitações de autenticação NTLM de passagem não segura de clientes, domínios e/ou florestas confiáveis durante a janela de limitação de eventos mais recente. Para obter mais informações sobre esse problema, incluindo como habilitar um registro mais detalhado, visite https://go.microsoft.com/fwlink/?linkid=276811.Contagem de solicitações não seguras bloqueadas: <Número de contagem> |
Esse evento de aviso registra o número de autenticações de passagem não seguras que foram bloqueadas. |
| 5834 | O serviço Netlogon permitia uma solicitação de autenticação NTLM de passagem não segura de um cliente, domínio ou floresta confiável. Essa solicitação não segura normalmente seria bloqueada, mas foi autorizada a prosseguir devido à configuração de confiança atual. Aviso: permitir solicitações de autenticação de passagem não seguras exporá sua floresta do Active Directory a ataques. Para obter mais informações sobre esse problema, visite https://go.microsoft.com/fwlink/?linkid=276811.Nome da conta: <Nome da conta> Nome da relação de confiança: <Nome da relação de confiança> Tipo de confiança: <Tipo de confiança> Endereço IP do cliente: <Endereço IP do cliente> Motivo do bloqueio: <Motivo do bloqueio> Nome do Netbios do servidor de recursos: <Nome do Netbios do servidor de recursos> Nome DNS do servidor de recursos: <Nome DNS do servidor de recursos> Nome Netbios do domínio do recurso: <Nome Netbios do Domínio do Recurso> Nome DNS do domínio do recurso: <Nome DNS do domínio do recurso> |
Esse evento de aviso só é registrado quando a limitação de eventos Netlogon foi desabilitada. Ele registra uma solicitação de autenticação de passagem específica que foi permitida devido a um sinalizador de isenção configurado pelo administrador. |
| 5835 | O serviço Netlogon bloqueou uma solicitação de autenticação NTLM de passagem não segura de um cliente, domínio ou floresta confiável. Para obter mais informações, acesse https://go.microsoft.com/fwlink/?linkid=276811.Nome da conta: <Nome da conta> Nome da relação de confiança: <Nome da relação de confiança> Tipo de confiança: <Tipo de confiança> Endereço IP do cliente: <Endereço IP do cliente> Motivo do bloqueio: <Motivo do bloqueio> Nome do Netbios do servidor de recursos: <Nome do Netbios do servidor de recursos> Nome DNS do servidor de recursos: <Nome DNS do servidor de recursos> Nome Netbios do domínio do recurso: <Nome Netbios do Domínio do Recurso> Nome DNS do domínio do recurso: <Nome DNS do domínio do recurso> |
Esse evento de aviso só é registrado quando a limitação de eventos Netlogon foi desabilitada. Ele registra uma solicitação de autenticação de passagem específica que foi bloqueada. |
Eventos relacionados à Autoridade de Segurança Local (LSA)
Observação
Esses eventos não são limitados.
| ID do evento LSA | Texto da mensagem do evento | Observações |
|---|---|---|
| 6148 | O PDC concluiu uma operação de verificação de confiança automática para todas as relações de confiança sem erros. Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Espera-se que este evento informativo apareça periodicamente a cada oito horas. |
| 6149 | O PDC concluiu uma operação de verificação de confiança automática para todas as relações de confiança e encontrou pelo menos um erro. Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Esse evento de aviso deve ser investigado, especialmente se aparecer a cada oito horas. |
| 6150 | O PDC concluiu uma operação de verificação de confiança solicitada pelo administrador para o "<Nome> da Confiança" da relação de confiança sem erros. Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Esse evento informativo é usado para controlar quando os administradores invocam manualmente o verificador de confiança PDC usando o netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet. |
| 6151 | O PDC não conseguiu encontrar o '<Nome> do Trust' de confiança especificado para verificar. A relação de confiança não existe ou não é uma relação de confiança de entrada ou bidirecional. Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Esse evento de aviso rastreia quando os administradores invocam manualmente o verificador de confiança PDC usando um nome de floresta incorreto. |
| 6152 | O PDC concluiu uma operação de verificação de confiança solicitada pelo administrador para o "<Nome> da Confiança" da relação de confiança e encontrou um erro. Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Esse evento de aviso rastreia quando os administradores invocam manualmente o verificador de confiança PDC (para todas as relações de confiança) executando o netdom trust <Local Forest> /Domain:* /InvokeTrustScanner cmdlet e a operação falha. |
| 6153 | O PDC encontrou um erro ao tentar verificar a relação de confiança nomeada. Confiança: <Erro de nome>de confiança: <Mensagem>de erro Mais informações podem ser encontradas em https://go.microsoft.com/fwlink/?linkid=2162089. |
Esse evento de aviso é um complemento ao evento anterior e inclui um código de erro. Ele é registrado durante verificações de confiança agendadas que ocorrem a cada oito horas. |
Quando um código de erro é incluído em alguns dos eventos relacionados à falha, você precisa habilitar o rastreamento para investigações adicionais.
Melhorias no registro em log do Netlogon e no log LSA
O log do Netlogon (%windir%\debug\netlogon.log) e o log LSA (lsp.log) são atualizados para dar suporte às melhorias nas atualizações.
Habilitar e desabilitar o log do Netlogon (netlogon.log)
Para habilitar o log do Netlogon, execute o seguinte comando:
nltest /dbflag:2080ffffPara desabilitar o log do Netlogon após as investigações, execute o seguinte comando:
nltest /dbflag:0
Habilitar e desabilitar o log LSA (lsp.log) usando o PowerShell
Para habilitar o log LSA, execute os seguintes cmdlets:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePara desabilitar o log LSA, execute os seguintes cmdlets:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Habilitar e desabilitar o log LSA (lsp.log) usando o reg.exe (para sistema operacional herdado sem PowerShell)
Para habilitar o log LSA, execute os seguintes comandos reg:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /fPara desabilitar o log LSA, execute os seguintes comandos reg:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
Melhorias nas ferramentas nltest.exe e netdom.exe
As ferramentas nltest.exe e netdom.exe foram atualizadas para dar suporte às melhorias desta atualização.
Nltest.exe melhorias
A ferramenta nltest.exe pode consultar e exibir todos os registros em um msDS-TrustForestTrustInfo atributo de um objeto de domínio confiável usando o seguinte comando:
nltest.exe /lsaqueryfti:<Trusting Forest Name>
Aqui está um exemplo com a saída:
C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com
TLN: contoso.com
Dom: contoso.com
Scan: contoso.com Sid:(null) Flags:0x0
The command completed successfully
Observação
O termo "Scan" na saída refere-se a um novo tipo de registro "Scanner" que persiste durante as operações do scanner de confiança PDC.
Netdom.exe melhorias
A ferramenta netdom.exe pode iniciar as novas operações de verificação de confiança do PDC e definir um sinalizador de isenção de verificação de segurança para um domínio confiante específico ou um domínio filho específico em uma floresta confiante.
Inicie as operações do verificador de confiança PDC.
Para todas as florestas confiáveis, execute os seguintes comandos:
netdom trust <Local Forest> /Domain:* /InvokeTrustScannerPara uma floresta confiante específica, execute os seguintes comandos:
netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScannerObservação
Esse comando deve ser executado localmente no PDC da floresta local.
Este comando só pode iniciar a operação. Para descobrir o resultado, procure no log de eventos do sistema os novos eventos LSA e habilite o rastreamento LSA, se necessário.
Investigando autenticações de passagem NTLM com falha
Observação
Antes de seguir essas etapas, verifique se sua configuração atende aos requisitos descritos na seção Pré-requisitos .
Veja a seguir as etapas básicas:
Habilite o registro em log Netlogon e LSA em todos os DCs envolvidos.
Reproduza o problema.
Desative o log Netlogon e LSA.
Pesquise os seguintes termos no arquivo netlogon.log e examine todas as entradas de log que descrevem as falhas:
- "LsaIFilterInboundNamespace"
- "NlpValidateNTLMTargetInfo"
- "NlpVerifyTargetServerRODCCachability"
- "ResourceDomainNameCollidesWithLocalForest"
Pesquise o termo "LsaDbpFilterInboundNamespace" no arquivo lsp.log e examine todas as entradas de log que descrevem as falhas.
Observação
Para uma autenticação com falha em uma relação de confiança de floresta, use a opção de nova nltest.exe para despejar todos os novos registros persistidos pelo verificador de confiança PDC.
Investigando operações de verificação de confiança PDC com falha
Observação
Antes de seguir essas etapas, verifique se sua configuração atende aos requisitos descritos na seção Pré-requisitos .
Veja a seguir as etapas básicas:
Habilite o log LSA no PDC.
Para operações específicas do verificador de confiança, esse rastreamento pode ser restrito ao sinalizador TRACE_LEVEL_LSP_FOREST_SCANNER.
Reproduza o problema usando a nova funcionalidade netdom.exe
/InvokeTrustScanner.Desative o log LSA.
Pesquise o lsp.log arquivo para o termo "falha" ou "falha" e revise as entradas de log.
O verificador de confiança pode falhar pelos seguintes motivos:
As permissões estão ausentes no contêiner de partições.
As portas de firewall necessárias entre DCs e entre membros e DCs não estão abertas. Aqui estão as portas do firewall:
- UDP + TCP / 389
- TCP/88
- UDP + TCP / 53
Mitigações de problemas
Se as autenticações falharem devido a colisões de nomes de domínio, configuração incorreta ou circunstâncias imprevistas, renomeie os domínios em colisão para evitar colisões e atenuar o problema.
Se as autenticações em uma confiança de canal seguro do RODC falharem, entre em contato com o suporte da Microsoft para esse problema, pois não há métodos de mitigação.
Se o verificador de confiança PDC falhar, a mitigação dependerá do contexto específico. Por exemplo, os controladores de domínio em uma floresta confiável não recebem permissões de consulta LDAP para o NC (contexto de nomenclatura de configuração) da floresta confiante. A mitigação é conceder as permissões.
Perguntas frequentes (FAQs)
Q1: A frequência do scanner de confiança PDC é configurável?
A1: Não.
P2: O verificador de confiança PDC será invocado automaticamente após a criação de uma nova relação de confiança de floresta?
A2: Não. Os administradores podem invocá-lo manualmente, se necessário, caso contrário, a nova floresta será verificada no próximo intervalo regular.
P3: Os novos registros do Scanner podem ser modificados pelos administradores de domínio?
R3: Sim, mas não é recomendado ou suportado. Se os registros do verificador forem criados, modificados ou excluídos inesperadamente, o verificador de confiança do PDC reverterá as alterações na próxima vez que for executado.
P4: Tenho certeza de que o NTLM não é usado no meu ambiente. Como posso desativar esse comportamento?
R4: Em geral, os novos comportamentos não podem ser desativados. As validações de segurança específicas do RODC não podem ser desabilitadas. Você pode definir um sinalizador de isenção de verificação de segurança para um caso de confiança de domínio ou um caso de confiança de floresta.
P5: Preciso fazer alguma alteração de configuração antes de instalar esta atualização?
R5: Talvez. Verifique se sua configuração atende aos requisitos descritos na seção Pré-requisitos .
P6: Preciso corrigir meus DCs em alguma ordem específica para que esta atualização entre em vigor?
A6: Todas as variações da ordem de aplicação de patch são suportadas. A nova operação de verificação de confiança do PDC entra em vigor somente depois que o PDC é corrigido. Todos os controladores de domínio corrigidos começarão imediatamente a impor as restrições do RODC. Os não PDCs corrigidos não imporão restrições de passagem NTLM até que o PDC seja corrigido e comece a criar novos registros de scanner nos atributos msDS-TrustForestTrustInfo. DCs não corrigidos (não PDC) ignorarão os novos registros do scanner quando estiverem presentes.
Q7: Quando minha floresta estará segura?
R7: Sua floresta estará segura assim que todos os DCs em todos os domínios tiverem essa atualização instalada. As florestas confiáveis estarão seguras depois que o verificador de confiança do PDC tiver concluído pelo menos uma operação bem-sucedida e a replicação for bem-sucedida.
P8: Eu não controlo meus domínios ou florestas confiáveis. Como posso garantir que minha floresta esteja segura?
R8: Veja a pergunta anterior. A segurança da sua floresta não depende do status de aplicação de patch de nenhum domínio ou floresta confiável. Recomendamos que todos os clientes corrijam seus DCs. Além disso, altere a configuração descrita na seção Pré-requisitos .
Referências
Para obter mais informações sobre os detalhes técnicos específicos, consulte: