Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
関連するMicrosoftの2021年6月8日のセキュリティパッチのインストールCVE-2021-26414はドメインコントロ... - Knowledge Base - Palo Alto Networks

関連するMicrosoftの2021年6月8日のセキュリティパッチのインストールCVE-2021-26414はドメインコントローラーでエラーを生成しています。

183411
Created On 11/09/21 16:26 PM - Last Modified 03/15/23 18:15 PM


Symptom


Microsoftの2021年6月8日のセキュリティパッチが関連する場合CVE-2021-26414ドメインコントローラーをホストしているWindowsサーバーにインストールされている場合、2秒ごとにドメインコントローラーのイベントログに次のシステムエラーが表示されます。

サーバー側の認証レベルpolicyアドレス<からのユーザー<username>を許可しませんFW IP>アクティブ化するDCOMサーバ。 クライアントアプリケーションで、アクティベーション認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。



Environment


PAN-OSFirewall
ドメインコントローラーをホストしているWindowsServer
WMIサーバー監視用のトランスポートプロトコル


 


Cause


2021年6月8日、Microsoftはこれに対応して一連のパッチをリリースしました。CVE-2021 -26414毎月のパッチリリースの一部として。 で説明されている脆弱性に対処するにはCVE-2021-26414 、お客様は2021年6月8日にリリースされたアップデートをインストールし、レジストリキーを有効にする必要があります。 HKEY_LOCAL_MACHINE \SOFTWARE \ Microsoft \ Ole \ AppCompat”の指示に従ってKB5004442

このレジストリキーを有効にすると、RPCサーバーは、次の認証レベルを適用しますRPC_C_AUTHN_LEVEL_PKT_INTEGRITY以上。 これらの強化の変更の結果として、2秒ごとにドメインコントローラーで次のシステムエラーが発生します。

サーバー側の認証レベルpolicyアドレス<からのユーザー<username>を許可しませんFW IP>アクティブ化するDCOMサーバ。 クライアントアプリケーションで、アクティベーション認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください

これは、Microsoftで説明されている強化変更のタイムラインです。 KB5004442 :Microsoft KB5004442で説明されているように:

アップデートリリース

イベント

2021年6月8日

強化の変更はデフォルトで無効になっていますが、レジストリキーを使用して有効にすることができます。

2022年6月14日

変更の強化はデフォルトで有効になっていますが、レジストリキーを使用して無効にすることができます。

2023年3月14日

変更の強化はデフォルトで有効になっており、無効にすることはできません。 この時点で、環境内の強化の変更とアプリケーションとの互換性の問題を解決する必要があります。



Resolution


この問題は、次の回避策のいずれかを使用して解決できます。

オプション1:Microsoftパッチをロールバックする

ドメインコントローラーをホストしているWindowsサーバーで6月8日のセキュリティパッチをロールバックすると、この問題が解決します。 これがオプションでない場合は、以下にリストされているオプションの1つを検討してください。

オプション2:レジストリキーを無効にする

この問題を解決するために、レジストリキーを無効にすることができますRequireIntegrityActivationAuthenticationLevelドメインコントローラーをホストしているWindowsサーバー上。 これが選択肢ではない場合は、以下にリストされている残りの選択肢の1つを検討してください。

  • パス:HKEY_LOCAL_MACHINE \SOFTWARE \ Microsoft \ Ole \ AppCompat
  • 値の名前: "RequireIntegrityActivationAuthenticationLevel"
  • タイプ:dword
  • 値データ:0x00000000は無効を意味します。

注:値データは16進形式で入力する必要があります。 デバイスを有効にするには、このレジストリキーを設定した後、デバイスを再起動する必要があります。

2023年3月14日以降、DCOMデフォルトで有効になり、顧客はNOTレジストリキーを無効にする機能があります。 したがって、レジストリキーを無効にすることは、一時的な回避策にすぎません。 2023年3月までに、オプション3または4のいずれかを実装することを検討する必要があります。

オプション3:WinRMトランスポートプロトコルに切り替える((Firewall実行されている必要がありますPAN-OS9.0以降のバージョン)。

から始まるPAN-OS9.0、お客様はどちらを使用するかを選択できますWMIまたは、ドメインコントローラーからセキュリティログイベントを読み取るためのトランスポートプロトコルとしてのWinRM。

システムエラーが見られるONLY使用する場合WMIのトランスポートプロトコルとしてPAN-OSファイアウォール。 これらのエラーはNOTWinRMトランスポートプロトコルを使用しているときに見られます。

もしあなたのfirewallが走っていますPAN-OS9.0バージョン以降では、トランスポートプロトコルを切り替えて、WinRMを使用してこの問題を解決できます。 WinRMトランスポートプロトコルは、ドメインコントローラを監視するためのパロアルトネットワークス推奨のトランスポートプロトコルでもあります。

(ユーザーの損失はありません-ID代わりにWinRMを使用する場合の機能WMI、WinRMプロトコルはより効率的ですWMI、およびユーザーのパフォーマンスとスケーラビリティを向上させます-IDモニタリング。WinRMプロトコルはより効率的ですWMI、およびユーザーのパフォーマンスとスケーラビリティを向上させます-IDモニタリング。WinRMは削減に役立ちますfirewallCPUとメモリ使用率だけでなく、速度を向上させるIP-ユーザーマッピングは、監視対象サーバーからフェッチされます。 方法については、このリンクを参照してくださいWinRMプロトコルを使用してサーバー監視を構成する)。

複数のドメインコントローラーがある場合は、トランスポートプロトコルをから切り替えることができます。WMI WinRMにALLドメインコントローラーを一度に、または一度に1つのドメインコントローラーのトランスポートプロトコルを変更します。 専用サービスアカウントに、資料両方を使用するにはWMIおよびWinRMトランスポートプロトコル。

為にfirewall実行中のデプロイメントPAN-OS8.1以前のバージョンでは、パロアルトネットワークの推奨事項はfirewallWinRMトランスポートプロトコルを使用する利点を活用するには、9.0以降のバージョンに変更してください。 両方に注意してくださいPAN-OS8.1および9.0バージョンは到達します人生の終わり2022年3月1日。


オプション4:Windowsベースのユーザーに切り替える-IDエージェント。

上記の3つのオプションのいずれも使用できない場合は、Windowsベースのユーザーに切り替えることができます-IDこの問題を解決するエージェント。 Windowsベースのユーザーを構成する方法の詳細については-IDユーザーマッピングのエージェント、これを参照してくださいリンク


 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language