関連するMicrosoftの2021年6月8日のセキュリティパッチのインストールCVE-2021-26414はドメインコントローラーでエラーを生成しています。
Symptom
Microsoftの2021年6月8日のセキュリティパッチが関連する場合にCVE-2021-26414ドメインコントローラーをホストしているWindowsサーバーにインストールされている場合、2秒ごとにドメインコントローラーのイベントログに次のシステムエラーが表示されます。
サーバー側の認証レベルpolicyアドレス<からのユーザー<username>を許可しませんFW IP>アクティブ化するDCOMサーバ。 クライアントアプリケーションで、アクティベーション認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。
Environment
PAN-OSFirewall
ドメインコントローラーをホストしているWindowsServer
WMIサーバー監視用のトランスポートプロトコル
Cause
2021年6月8日、Microsoftはこれに対応して一連のパッチをリリースしました。CVE-2021 -26414毎月のパッチリリースの一部として。 で説明されている脆弱性に対処するにはCVE-2021-26414 、お客様は2021年6月8日にリリースされたアップデートをインストールし、レジストリキーを有効にする必要があります。 HKEY_LOCAL_MACHINE \SOFTWARE \ Microsoft \ Ole \ AppCompat”の指示に従ってKB5004442 。
このレジストリキーを有効にすると、RPCサーバーは、次の認証レベルを適用しますRPC_C_AUTHN_LEVEL_PKT_INTEGRITY以上。 これらの強化の変更の結果として、2秒ごとにドメインコントローラーで次のシステムエラーが発生します。
サーバー側の認証レベルpolicyアドレス<からのユーザー<username>を許可しませんFW IP>アクティブ化するDCOMサーバ。 クライアントアプリケーションで、アクティベーション認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください
これは、Microsoftで説明されている強化変更のタイムラインです。 KB5004442 :Microsoft KB5004442で説明されているように:
|
|
|
|
|
|
|
|
Resolution
この問題は、次の回避策のいずれかを使用して解決できます。
オプション1:Microsoftパッチをロールバックする
ドメインコントローラーをホストしているWindowsサーバーで6月8日のセキュリティパッチをロールバックすると、この問題が解決します。 これがオプションでない場合は、以下にリストされているオプションの1つを検討してください。
オプション2:レジストリキーを無効にする
この問題を解決するために、レジストリキーを無効にすることができますRequireIntegrityActivationAuthenticationLevelドメインコントローラーをホストしているWindowsサーバー上。 これが選択肢ではない場合は、以下にリストされている残りの選択肢の1つを検討してください。
- パス:HKEY_LOCAL_MACHINE \SOFTWARE \ Microsoft \ Ole \ AppCompat
- 値の名前: "RequireIntegrityActivationAuthenticationLevel"
- タイプ:dword
- 値データ:0x00000000は無効を意味します。
注:値データは16進形式で入力する必要があります。 デバイスを有効にするには、このレジストリキーを設定した後、デバイスを再起動する必要があります。
2023年3月14日以降、DCOMデフォルトで有効になり、顧客はNOTレジストリキーを無効にする機能があります。 したがって、レジストリキーを無効にすることは、一時的な回避策にすぎません。 2023年3月までに、オプション3または4のいずれかを実装することを検討する必要があります。
オプション3:WinRMトランスポートプロトコルに切り替える((Firewall実行されている必要がありますPAN-OS9.0以降のバージョン)。
から始まるPAN-OS9.0、お客様はどちらを使用するかを選択できますWMIまたは、ドメインコントローラーからセキュリティログイベントを読み取るためのトランスポートプロトコルとしてのWinRM。
システムエラーが見られるONLY使用する場合WMIのトランスポートプロトコルとしてPAN-OSファイアウォール。 これらのエラーはNOTWinRMトランスポートプロトコルを使用しているときに見られます。
もしあなたのfirewallが走っていますPAN-OS9.0バージョン以降では、トランスポートプロトコルを切り替えて、WinRMを使用してこの問題を解決できます。 WinRMトランスポートプロトコルは、ドメインコントローラを監視するためのパロアルトネットワークス推奨のトランスポートプロトコルでもあります。
(ユーザーの損失はありません-ID代わりにWinRMを使用する場合の機能WMI、WinRMプロトコルはより効率的ですWMI、およびユーザーのパフォーマンスとスケーラビリティを向上させます-IDモニタリング。WinRMプロトコルはより効率的ですWMI、およびユーザーのパフォーマンスとスケーラビリティを向上させます-IDモニタリング。WinRMは削減に役立ちますfirewallCPUとメモリ使用率だけでなく、速度を向上させるIP-ユーザーマッピングは、監視対象サーバーからフェッチされます。 方法については、このリンクを参照してくださいWinRMプロトコルを使用してサーバー監視を構成する)。
複数のドメインコントローラーがある場合は、トランスポートプロトコルをから切り替えることができます。WMI WinRMにALLドメインコントローラーを一度に、または一度に1つのドメインコントローラーのトランスポートプロトコルを変更します。 専用サービスアカウントに、資料両方を使用するにはWMIおよびWinRMトランスポートプロトコル。
為にfirewall実行中のデプロイメントPAN-OS8.1以前のバージョンでは、パロアルトネットワークの推奨事項はfirewallWinRMトランスポートプロトコルを使用する利点を活用するには、9.0以降のバージョンに変更してください。 両方に注意してくださいPAN-OS8.1および9.0バージョンは到達します人生の終わり2022年3月1日。
オプション4:Windowsベースのユーザーに切り替える-IDエージェント。
上記の3つのオプションのいずれも使用できない場合は、Windowsベースのユーザーに切り替えることができます-IDこの問題を解決するエージェント。 Windowsベースのユーザーを構成する方法の詳細については-IDユーザーマッピングのエージェント、これを参照してくださいリンク。