Обновления Windows добавляют новые защиты сквозной проверки подлинности NTLM для CVE-2022-21857

Исходный номер базы знаний: 5010576

После установки обновлений Windows 11 января 2022 г. или более поздних обновлений Windows, содержащих защиту для CVE-2022-21857, контроллеры домена (DCs) будут применять новые проверки безопасности для запросов на сквозную проверку подлинности NTLM, отправленных доверенным доменом по домену или лесу доверия, или отправлен контроллером домена только для чтения (RODC) через доверенный канал. Новые проверки безопасности требуют, чтобы домен или клиент, прошедший проверку подлинности, соответствовали используемому доверию. В частности, проверки безопасности, соответствующие используемому типу доверия, отклонят запрос сквозной проверки подлинности NTLM, если следующие требования не выполнены:

• Запросы по доверию домена должны использовать то же доменное имя, что и домен доверия.
• Запросы по доверию леса должны использовать доменное имя, являющееся членом доверенного леса, и не имеет столкновения имен из других лесов.
• Запросы, пересылаемые rodC, должны использовать имя клиента, для которому ранее было разрешено кэшировать секреты.

Для поддержки проверки доверия к домену и лесу основной контроллер домена (PDC) корневого домена в каждом лесу обновляется, чтобы периодически выдавать запросы протокола LDAP. Запросы выдаются каждые восемь часов для всех доменных имен в каждом доверенном лесу, который называется "проверка доверия". Эти доменные имена хранятся в msDS-TrustForestTrustInfo атрибуте соответствующего доверенного объекта домена (TDO).

Предварительные требования

При добавлении обновлений нового поведения проверки доверия все, что блокирует трафик действий LDAP, проверку подлинности и авторизацию из доверенного леса в доверенный лес, приведет к проблеме:

• Если используются брандмауэры, порты TCP и UDP 389 должны быть разрешены между доверенными контроллерами домена и доверенными контроллерами домена, а также связь для управления доверием (разрешение имен, RPC для NTLM и порт 88 для Kerberos).
• PDC доверенного леса также требует доступа к этому компьютеру от сетевого пользователя, чтобы пройти проверку подлинности в доверенных доменах. По умолчанию "прошедшие проверку подлинности пользователи" имеют право пользователя, включающее PDC доверенного домена.
• PDC в доверенном домене должен иметь достаточные разрешения на чтение для контейнера доверенных секций леса в конфигурации NC и дочерних объектов. По умолчанию у пользователей, прошедших проверку подлинности, есть доступ, который применяется к вызываемому доверенному домену PDC.
• Если включена выборочная проверка подлинности, PDC в доверенном лесу должно быть предоставлено разрешение на проверку подлинности учетных записей компьютера контроллера домена доверия для защиты доверенных лесов.

Если доверенный лес не позволяет доверенному лесу запрашивать сведения о доверии, доверенный лес может быть подвержен риску атак ретранслятора NTLM.

Например, лес A доверяет лесУ B, а лес C доверяет лесУ B. Если лес A отказывается разрешить проверку подлинности или действие LDAP из корневого домена в лесу B, лес A рискует атакой ретранслятора NTLM от вредоносного или скомпрометированного леса C.

Новые события

Следующие события добавляются в качестве частей защиты CVE-2022-21857 и регистрируются в системном журнале событий.

События, связанные со службой Netlogon

По умолчанию служба Netlogon регулирует события для предупреждений и условий ошибок, что означает, что он не регистрирует предупреждения по запросу или события сбоя. Вместо этого сводные события (идентификатор события Netlogon 5832 и идентификатор события Netlogon 5833) регистрируются один раз в день для сквозной проверки подлинности NTLM, которые либо блокируются новыми проверками безопасности, введенными в этом обновлении, либо должны были быть заблокированы, но были разрешены из-за наличия флага исключения, настроенного администратором.

Если регистрируется идентификатор события Netlogon 5832 или Netlogon ID 5833, и вам потребуется дополнительная информация, отключите регулирование события, создав и установив ThrottleNTLMPassThroughAuthEvents значение REG_DWORD равным нулю в следующем пути реестра:

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Примечание.

Этот параметр действует немедленно без перезапуска системы или службы, и он не контролируется объектом групповой политики (GPO).

Идентификатор события Netlogon	Текст сообщения о событии	Примечания.
5832	Служба Netlogon разрешила один или несколько небезопасных запросов сквозной проверки подлинности NTLM из доверенных доменов и (или) лесов во время последнего окна регулирования событий. Эти небезопасные запросы обычно блокируются, но разрешены продолжить из-за текущей конфигурации доверия. Предупреждение. Разрешение небезопасных запросов сквозной проверки подлинности предоставит лес Active Directory для атак. Дополнительные сведения об этом вопросе см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Число небезопасных запросов, разрешенных из-за административного переопределения: <число>	Это предупреждение регистрирует количество небезопасных сквозных аутентификаций, которые были разрешены из-за наличия флага исключения, настроенного администратором.
5833	Служба Netlogon заблокировала один или несколько небезопасных запросов сквозной проверки подлинности NTLM от доверенных клиентов, доменов и (или) лесов во время последнего окна регулирования событий. Дополнительные сведения об этой проблеме, включая включение более подробного ведения журнала, посетите сайт https://go.microsoft.com/fwlink/?linkid=276811. Число небезопасных запросов, заблокированных: <число>	Это предупреждение регистрирует количество небезопасных сквозных аутентификаций, заблокированных.
5834	Служба Netlogon разрешила небезопасный запрос сквозной проверки подлинности NTLM от доверенного клиента, домена или леса. Обычно этот небезопасный запрос будет заблокирован, но разрешено продолжить из-за текущей конфигурации доверия. Предупреждение. Разрешение небезопасных запросов сквозной проверки подлинности предоставит лес Active Directory для атак. Дополнительные сведения об этом вопросе см. на сайте https://go.microsoft.com/fwlink/?linkid=276811. Имя учетной записи: <имя учетной записи> Имя доверия: <имя доверия> Тип доверия: <тип доверия> IP-адрес клиента: <IP-адрес клиента> Причина блокировки: <блокировка причины> Имя Netbios сервера ресурсов: <Имя Netbios сервера ресурсов> DNS-имя сервера ресурсов: <DNS-имя сервера ресурсов> Имя netbios домена ресурса: <имя домена Ресурса Netbios> DNS-имя домена ресурса: <DNS-имя домена ресурса>	Это событие предупреждения регистрируется только при отключении регулирования событий Netlogon. Он регистрирует определенный запрос сквозной проверки подлинности, который был разрешен из-за флага исключения, настроенного администратором.
5835	Служба Netlogon блокировала небезопасный запрос на проверку подлинности NTLM от доверенного клиента, домена или леса. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=276811. Имя учетной записи: <имя учетной записи> Имя доверия: <имя доверия> Тип доверия: <тип доверия> IP-адрес клиента: <IP-адрес клиента> Причина блокировки: <блокировка причины> Имя Netbios сервера ресурсов: <Имя Netbios сервера ресурсов> DNS-имя сервера ресурсов: <DNS-имя сервера ресурсов> Имя netbios домена ресурса: <имя домена Ресурса Netbios> DNS-имя домена ресурса: <DNS-имя домена ресурса>	Это событие предупреждения регистрируется только при отключении регулирования событий Netlogon. Он регистрирует определенный запрос сквозной проверки подлинности, который был заблокирован.

Связанные события локального центра безопасности (LSA)

Примечание.

Эти события не регулируются.

Идентификатор события LSA	Текст сообщения о событии	Примечания.
6148	PDC завершил операцию автоматического проверки доверия для всех доверия без ошибок. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?linkid=2162089.	Ожидается, что это информационное событие будет периодически отображаться каждые восемь часов.
6149	PDC завершил операцию автоматического проверки доверия для всех доверия и столкнулся по крайней мере с одной ошибкой. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение должно быть расследовано, особенно если оно отображается каждые восемь часов.
6150	PDC завершил проверку доверия, запрошенную администратором, для доверия "<Имя> доверия" без ошибок. Дополнительные сведения можно найти на сайте https://go.microsoft.com/fwlink/?linkid=2162089.	Это информационное событие используется для отслеживания того, когда администраторы вручную вызывают средство проверки доверия PDC с помощью командлета netdom trust <Local Forest> /Domain:* /InvokeTrustScanner .
6151	PDC не удалось найти указанное доверие "<Имя> доверия" для проверки. Доверие либо не существует, либо оно не является входящего или двунаправленного доверия. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение отслеживает, когда администраторы вручную вызывают средство проверки доверия PDC с помощью неправильного имени леса.
6152	PDC завершил проверку доверия, запрошенную администратором, для имени доверия<> и обнаружил ошибку. Дополнительные сведения см. здесь: https://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение отслеживает, когда администраторы вручную вызывают сканер доверия PDC (для всех доверий), выполнив netdom trust <Local Forest> /Domain:* /InvokeTrustScanner командлет, и операция завершается ошибкой.
6153	PDC обнаружил ошибку, пытаясь проверить именованное доверие. Доверие: ошибка имени доверия>: <<сообщение об ошибке "Сообщение>об ошибке" можно найти по адресуhttps://go.microsoft.com/fwlink/?linkid=2162089.	Это предупреждение является дополнением к предыдущему событию и содержит код ошибки. Он регистрируется во время запланированных проверок доверия, которые происходят каждые восемь часов.

Если код ошибки включен в некоторые события, связанные с сбоем, необходимо включить трассировку для дальнейших исследований.

Улучшения для ведения журнала Netlogon и ведения журнала LSA

Ведение журнала netlogon (%windir%\debug\netlogon.log) и ведение журнала LSA (lsp.log) обновляются для поддержки улучшений обновлений.

Включение и отключение ведения журнала Netlogon (netlogon.log)

• Чтобы включить ведение журнала Netlogon, выполните следующую команду:

  nltest /dbflag:2080ffff
  

• Чтобы отключить ведение журнала Netlogon после расследования, выполните следующую команду:

  nltest /dbflag:0
  

Включение и отключение ведения журнала LSA (lsp.log) с помощью PowerShell

• Чтобы включить ведение журнала LSA, выполните следующие командлеты:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force 
  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
  
  

• Чтобы отключить ведение журнала LSA, выполните следующие командлеты:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
  
  

Включение и отключение ведения журнала LSA (lsp.log) с помощью reg.exe (для устаревшей операционной системы без PowerShell)

• Чтобы включить ведение журнала LSA, выполните следующие команды reg:

  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f 
  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f
  

• Чтобы отключить ведение журнала LSA, выполните следующие команды reg:

  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f 
  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
  

Усовершенствования средств nltest.exe и netdom.exe

Средства nltest.exe и netdom.exe обновляются для поддержки улучшений в этом обновлении.

улучшения Nltest.exe

Средство nltest.exe может запрашивать и отображать все записи в msDS-TrustForestTrustInfo атрибуте доверенного объекта домена с помощью следующей команды:

nltest.exe /lsaqueryfti:<Trusting Forest Name>

Ниже приведен пример выходных данных:

C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com 
TLN: contoso.com 
Dom: contoso.com 
Scan: contoso.com Sid:(null) Flags:0x0 
The command completed successfully

Примечание.

Термин "Scan" в выходных данных относится к новому типу записи сканера, который сохраняется во время операций проверки доверия PDC.

улучшения Netdom.exe

Средство netdom.exe может инициировать новые операции проверки доверия PDC и задать флаг исключения проверки безопасности для определенного домена доверия или определенного дочернего домена в доверенном лесу.

• Инициируйте операции проверки доверия PDC.

  • Для всех доверенных лесов выполните следующие команды:

    netdom trust <Local Forest> /Domain:* /InvokeTrustScanner
    

  • Для определенного доверенного леса выполните следующие команды:

    netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner
    

    Примечание.

    Эта команда должна выполняться локально в PDC локального леса.

  Эта команда может инициировать только операцию. Чтобы узнать результат, просмотрите системный журнал событий для новых событий LSA и включите трассировку LSA при необходимости.

Исследование неудачных сквозных аутентификаций NTLM

Примечание.

Перед выполнением этих действий убедитесь, что конфигурация соответствует требованиям, как описано в разделе предварительных требований.

Ниже перечислены основные шаги.

1. Включите ведение журнала Netlogon и LSA на всех участвующих контроллерах домена.

2. Воспроизведите проблему.

3. Отключите ведение журнала Netlogon и LSA.

4. Выполните поиск следующих терминов в файле netlogon.log и просмотрите все записи журнала, описывающие сбои:

   • "LsaIFilterInboundNamespace"
   • "NlpValidateNTLMTargetInfo"
   • "NlpVerifyTargetServerRODCCachability"
   • "ResourceDomainNameCollidesWithLocalForest"

5. Найдите термин LsaDbpFilterInboundNamespace в файле lsp.log и просмотрите все записи журнала, описывающие сбои.

Примечание.

Для отработки отказа проверки подлинности по доверию леса используйте новый параметр nltest.exe для дампа всех новых записей, сохраненных сканером доверия PDC.

Исследование неудачных операций проверки доверия PDC

Примечание.

Перед выполнением этих действий убедитесь, что конфигурация соответствует требованиям, как описано в разделе предварительных требований.

Ниже перечислены основные шаги.

1. Включите ведение журнала LSA в PDC.

   Для определенных операций проверки доверия эта трассировка может быть ограничена флагом TRACE_LEVEL_LSP_FOREST_SCANNER.

2. Воспроизвести проблему с помощью новой функции netdom.exe/InvokeTrustScanner.

3. Отключите ведение журнала LSA.

4. Выполните поиск в файле lsp.log термина "сбой" или "сбой" и просмотрите записи журнала.

Средство проверки доверия может завершиться ошибкой по следующим причинам:

• Разрешения отсутствуют в контейнере секций.

• Порты брандмауэра, необходимые между контроллерами домена и между элементами и контроллерами домена, не открыты. Ниже приведены порты брандмауэра:

  • UDP+TCP/389
  • TCP/88
  • UDP+TCP/53

Устранение проблем

Если проверка подлинности завершается сбоем из-за конфликтов доменных имен, неправильной настройки или непредвиденных обстоятельств, переименуйте домены-столкновения, чтобы предотвратить столкновение для устранения проблемы.

Если проверка подлинности по защищенному каналу RODC завершается сбоем, обратитесь в службу поддержки Майкрософт, так как методы устранения рисков отсутствуют.

Если средство проверки доверия PDC завершается сбоем, устранение рисков зависит от конкретного контекста. Например, контроллеры домена в доверенном лесу не предоставляют разрешения запроса LDAP для контекста именования конфигурации (NC) доверенного леса. Устранение рисков заключается в предоставлении разрешений.

Часто задаваемые вопросы

• Вопрос 1. Можно ли настроить частоту средства проверки доверия PDC?

  A1: Нет.

• Вопрос 2. Будет ли средство проверки доверия PDC автоматически вызываться при создании нового доверия леса?

  A2: Нет. При необходимости администраторы могут вызвать его вручную, в противном случае новый лес будет проверяться на следующем регулярном интервале.

• Вопрос 3. Можно ли изменять новые записи сканера администраторами домена?

  A3: Да, но не рекомендуется или не поддерживается. Если записи сканера создаются, изменяются или удаляются неожиданно, средство проверки доверия PDC возвращает изменения при следующем запуске.

• Вопрос 4. Я уверен, что NTLM не используется в моей среде. Как отключить это поведение?

  A4. Как правило, новые поведения не могут быть отключены. Не удается отключить определенные проверки безопасности RODC. Вы можете задать флаг исключения проверки безопасности для случая доверия домена или отношения доверия леса.

• Вопрос 5. Нужно ли вносить изменения конфигурации перед установкой этого обновления?

  A5: Может быть. Убедитесь, что конфигурация соответствует требованиям, как описано в разделе предварительных требований.

• Вопрос 6. Необходимо ли исправить контроллеры домена в определенном порядке, чтобы это обновление вступить в силу?

  A6. Поддерживаются все варианты порядка исправлений. Новая операция проверки доверия PDC действует только после исправления PDC. Все исправленные контроллеры домена немедленно начнут применять ограничения RODC. Исправленные не pdcs не будут применять ограничения сквозной передачи NTLM, пока PDC не будет исправлен и начнет создавать новые записи сканера в атрибутах msDS-TrustForestTrustInfo. Не исправленные контроллеры домена (не PDC) игнорируют новые записи сканера после представления.

• Вопрос 7. Когда будет защищен мой лес?

  A7. Ваш лес будет защищен после установки этого обновления для всех контроллеров домена. Доверенные леса будут защищены после завершения проверки доверия PDC по крайней мере одной успешной операции и репликации.

• Вопрос 8. Я не контролирую доверенные домены или леса. Как обеспечить безопасность леса?

  A8: См. предыдущий вопрос. Безопасность леса не зависит от состояния исправления любых доверенных доменов или лесов. Мы рекомендуем всем клиентам исправить свои контроллеры домена. Кроме того, измените конфигурацию, описанную в разделе "Предварительные требования".

Ссылки

Дополнительные сведения о конкретных технических деталях см. в следующих статье:

• [MS-ADTS]: техническая спецификация Active Directory
• [MS-LSAD]: удаленный протокол локального центра безопасности (политика домена)
• [MS-NRPC]: удаленный протокол Netlogon