La instalación de los parches de seguridad de Microsoft del 8 de junio de 2021 relacionados con CVE-2021-26414 está generando errores en los controladores de dominio.
Symptom
Cuando los parches de seguridad de Microsoft del 8 de junio de 2021 relacionados con CVE-2021-26414 se instalan en servidores Windows que hospedan los controladores de dominio, los siguientes errores del sistema se ven en los registros de eventos en los controladores de dominio cada 2 segundos.
El nivel policy de autenticación del lado del servidor no permite que el usuario <nombreusuario> desde la dirección <FW IP> active el DCOM servidor. Eleve el nivel de autenticación de activación al menos a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY en la aplicación cliente.
Environment
PAN-OS Firewall
Windows Server hospeda el protocolo de transporte de controladores de dominio
WMI para la supervisión del servidor
Cause
El 8 de junio de 2021, Microsoft lanzó un conjunto de parches en respuesta a CVE-2021-26414 como parte de su lanzamiento mensual de parches. Para corregir la vulnerabilidad descrita en CVE-2021-26414, los clientes deben instalar las actualizaciones publicadas el 8 de junio de 2021 y habilitar la clave del Registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat" según las instrucciones de KB5004442.
Habilitar esta clave del Registro hará que RPC los servidores apliquen un nivel de autenticación de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY o superior. Como resultado de estos cambios de endurecimiento, los siguientes errores del sistema se ven en los controladores de dominio cada 2 segundos.
El nivel policy de autenticación del lado del servidor no permite que el usuario <nombreusuario> desde la dirección <FW IP> active el DCOM servidor. Eleve el nivel de autenticación de activación al menos a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY en la aplicación cliente
Aquí hay una línea de tiempo de los cambios de endurecimiento como se describe en Microsoft KB5004442: como se describe en Microsoft KB5004442:
|
|
|
|
|
|
|
|
Resolution
Puede resolver este problema mediante una de las siguientes soluciones:
Opción 1: Revertir el parche de Microsoft
La reversión de las revisiones de seguridad del 8 de junio en el servidor Windows que hospeda los controladores de dominio resuelve este problema. Si esta no es una opción para usted, considere una de las opciones que se enumeran a continuación.
Opción 2: Deshabilitar la clave del Registro
Para resolver este problema, puede deshabilitar la clave del Registro RequireIntegrityActivationAuthenticationLevel en el servidor Windows que hospeda los controladores de dominio. Si esta no es una opción para usted, considere una de las opciones restantes que se enumeran a continuación.
- Ruta de acceso : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
- Nombre del valor: "RequireIntegrityActivationAuthenticationLevel"
- Tipo: dword
- Datos de valor: 0x00000000 significa deshabilitado.
Nota: Debe introducir los datos de valor en formato hexadecimal. Debe reiniciar el dispositivo después de configurar esta clave del Registro para que surta efecto.
A partir del 14 de marzo de 2023, los cambios DCOM de endurecimiento se habilitarán de forma predeterminada y los clientes tendrán NOT la capacidad de deshabilitar la clave del Registro. Por lo tanto, deshabilitar la clave del Registro es solo una solución temporal. Debe considerar implementar la opción 3 o 4 antes de marzo de 2023.
Opción 3: Cambie al protocolo de transporte WinRM (Firewall debe ejecutar PAN-OS la versión 9.0 y superior).
A partir de la versión 9.0, los clientes tienen la opción de PAN-OS usar WMI o WinRM como protocolo de transporte para leer eventos de registro de seguridad de controladores de dominio.
Los errores del sistema se ven ONLY cuando se usa WMI como protocolo de transporte en PAN-OS firewalls. Estos errores se observan cuando se NOT utiliza el protocolo de transporte WinRM.
Si está ejecutando la firewall PAN-OS versión 9.0 y superior, puede cambiar el protocolo de transporte para utilizar WinRM para resolver este problema. El protocolo de transporte WinRM es también el protocolo de transporte recomendado por Palo Alto Networks para supervisar los controladores de dominio.
(No hay pérdida de funcionalidad de usuarioID cuando se usa WinRM en lugar de WMI, el protocolo WinRM es más eficiente que WMI, y mejora el rendimiento y la escalabilidad de la supervisión de usuarioID .El protocolo WinRM es más eficiente que WMI, y mejora el rendimiento y la escalabilidad de la supervisión delID usuario.WinRM puede ayudar a reducir firewall CPU la utilización de la memoria, así como a mejorar la velocidad a la que IP-se obtienen las asignaciones de usuario de los servidores supervisados. Consulte este vínculo para obtener instrucciones sobre cómo configurar la supervisión del servidor mediante el protocolo WinRM).
Si tiene varios controladores de dominio, puede cambiar el protocolo de transporte de WinRM en ALL controladores de WMI dominio a la vez o cambiar el protocolo de transporte en un controlador de dominio a la vez. Asegúrese de que la cuenta de servicio dedicada tenga los permisos necesarios como se describe en el documento para utilizar los WMI protocolos de transporte de WinRM y winrm.
Para firewall implementaciones que ejecutan PAN-OS 8.1 y versiones anteriores, la recomendación de Palo Alto Network es actualizar a firewall la versión 9.0+ para aprovechar las ventajas de usar el protocolo de transporte WinRM. Tenga en cuenta que las PAN-OS versiones 8.1 y 9.0 llegarán al final de su vida útil el 1 de marzo de 2022.
Opción 4: Cambie a agente deID usuario basado en Windows.
Si no puede utilizar ninguna de las 3 opciones anteriores, puede cambiar al agente deID usuario basado en Windows para resolver este problema. Para obtener más información sobre cómo configurar el agente deID usuario basado en Windows para la asignación de usuarios, consulte este enlace.