Die Installation von Sicherheitspatches vom 8. Juni 2021 von Microsoft im Zusammenhang mit CVE-2021-26414 generiert Fehler auf Domänencontrollern.
Symptom
Wenn Microsofts Sicherheitspatches vom 8. Juni 2021 im Zusammenhang mit -CVE-202126414 auf Windows-Servern installiert werden, auf denen die Domänencontroller gehostet werden, werden die folgenden Systemfehler alle 2 Sekunden in den Ereignisprotokollen auf den Domänencontrollern angezeigt.
Die serverseitige Authentifizierungsebene policy erlaubt es dem Benutzer <Benutzername> von Adresse <FW IP> nicht, den Server zu aktivieren DCOM . Erhöhen Sie die Aktivierungsauthentifizierungsstufe mindestens auf RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in der Clientanwendung.
Environment
PAN-OS Firewall
Windows Server, das das Transportprotokoll für Domänencontroller für die
WMI Serverüberwachung hostet
Cause
Am 8. Juni 2021 veröffentlichte Microsoft eine Reihe von Patches als Reaktion auf -CVE-202126414 als Teil seiner monatlichen Patch-Version. Um die in CVE-2021-26414 beschriebene Sicherheitsanfälligkeit zu beheben, müssen Benutzer Updates installieren, die am 8. Juni 2021 veröffentlicht wurden, und den Registrierungsschlüssel "HKEY_LOCAL_MACHINE\\Microsoft\Ole\SOFTWAREAppCompat" gemäß den Anweisungen in KB5004442 aktivieren.
Wenn Sie diesen Registrierungsschlüssel aktivieren, erzwingen RPC Server eine Authentifizierungsebene von RPC_C_AUTHN_LEVEL_PKT_INTEGRITY oder höher. Als Ergebnis dieser Härtungsänderungen werden alle 2 Sekunden die folgenden Systemfehler auf Domänencontrollern angezeigt.
Die serverseitige Authentifizierungsebene policy erlaubt es dem Benutzer <Benutzername> von Adresse <FW IP> nicht, den Server zu aktivieren DCOM . Erhöhen Sie die Aktivierungsauthentifizierungsstufe mindestens auf RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in der Clientanwendung
Hier ist eine Zeitleiste der Härtungsänderungen, wie in Microsoft KB5004442 beschrieben: wie in Microsoft KB5004442 beschrieben:
|
|
|
|
|
|
|
|
Resolution
Sie können dieses Problem mithilfe einer der folgenden Problemumgehungen beheben:
Option 1: Zurücksetzen des Microsoft-Patches
Durch das Zurücksetzen von Sicherheitspatches vom 8. Juni auf dem Windows-Server, auf dem die Domänencontroller gehostet werden, wird dieses Problem behoben. Wenn dies keine Option für Sie ist, sollten Sie eine der unten aufgeführten Optionen in Betracht ziehen.
Option 2: Deaktivieren des Registrierungsschlüssels
Um dieses Problem zu beheben, können Sie den Registrierungsschlüssel RequireIntegrityActivationAuthenticationLevel auf dem Windows-Server deaktivieren, auf dem die Domänencontroller gehostet werden. Wenn dies keine Option für Sie ist, sollten Sie eine der unten aufgeführten verbleibenden Optionen in Betracht ziehen.
- Pfad : HKEY_LOCAL_MACHINE\\Microsoft\Ole\SOFTWAREAppCompat
- Wertname: "RequireIntegrityActivationAuthenticationLevel"
- Typ: dword
- Wertdaten: 0x00000000 bedeutet deaktiviert.
Hinweis: Sie müssen Wertdaten im Hexadezimalformat eingeben. Sie müssen Ihr Gerät neu starten, nachdem Sie diesen Registrierungsschlüssel festgelegt haben, damit es wirksam wird.
Ab dem 14. März 2023 werden Härtungsänderungen standardmäßig DCOM aktiviert, und Kunden NOT haben die Möglichkeit, den Registrierungsschlüssel zu deaktivieren. Das Deaktivieren des Registrierungsschlüssels ist daher nur eine vorübergehende Problemumgehung. Sie sollten die Implementierung von Option 3 oder 4 vor März 2023 in Betracht ziehen.
Option 3: Wechseln Sie zum WinRM-Transportprotokoll (sollteFirewall Version 9.0 und höher ausgeführt PAN-OS werden).
PAN-OS Ab Version 9.0 haben Kunden die Möglichkeit, entweder WinRM als Transportprotokoll zum Lesen von Sicherheitsprotokollereignissen von Domänencontrollern zu verwendenWMI.
Systemfehler werden bei der Verwendung WMI als Transportprotokoll auf PAN-OS Firewalls angezeigtONLY. Diese Fehler treten NOT bei Verwendung des WinRM-Transportprotokolls auf.
Wenn Ihre firewall Version 9.0 und höher ausgeführt wird PAN-OS , können Sie das Transportprotokoll wechseln, um WinRM zu verwenden, um dieses Problem zu beheben. Das WinRM-Transportprotokoll ist auch das von Palo Alto Networks empfohlene Transportprotokoll für die Überwachung von Domänencontrollern.
(Es gibt keinen Verlust der BenutzerfunktionalitätID , wenn WinRM anstelle von WMIverwendet wird, ist das WinRM-Protokoll effizienter als WMI, und verbessert die Leistung und Skalierbarkeit der BenutzerüberwachungID .Das WinRM-Protokoll ist effizienter als WMI, und verbessert die Leistung und Skalierbarkeit der BenutzerüberwachungID .WinRM kann dazu beitragen, die Speicherauslastung zu reduzieren firewall CPU und die Geschwindigkeit zu verbessern, mit der IP-Benutzerzuordnungen von überwachten Servern abgerufen werden. Anweisungen zum Konfigurieren der Serverüberwachung mithilfe des WinRM-Protokolls finden Sie unter diesem Link.
Wenn Sie über mehrere Domänencontroller verfügen, können Sie entweder das Transportprotokoll auf ALL Domänencontrollern gleichzeitig von WinRM auf WinRM umschalten oder das Transportprotokoll auf WMI jeweils einem Domänencontroller ändern. Stellen Sie sicher, dass das dedizierte Dienstkonto über die erforderlichen Berechtigungen verfügt, wie im Dokument beschrieben , um sowohl als auch WMI WinRM-Transportprotokolle zu verwenden.
Für firewall Bereitstellungen mit 8.1 und früheren Versionen empfiehlt PAN-OS Palo Alto Network, Ihre firewall Version auf 9.0+ zu aktualisieren, um die Vorteile der Verwendung des WinRM-Transportprotokolls zu nutzen. Bitte beachten Sie, dass sowohl die Versionen 8.1 als auch PAN-OS 9.0 am 1. März 2022 das Ende des Lebenszyklus erreichen.
Option 4: Wechseln Sie zum Windows-basierten User-AgentenID .
Wenn Sie keine der oben genannten 3 Optionen verwenden können, können Sie zum Windows-basierten Benutzer-AgentID wechseln, um dieses Problem zu beheben. Weitere Informationen zur Konfiguration des Windows-basierten Benutzer-AgentenID für die Benutzerzuordnung finden Sie unter diesem Link.