安装微软 2021 年 6 月 8 日的安全补丁CVE-2021-26414 在域控制器上产生错误。
Symptom
当微软 2021 年 6 月 8 日的安全补丁相关至CVE-2021-26414安装在托管域控制器的 Windows 服务器上,每 2 秒在域控制器上的事件日志中看到以下系统错误。
服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。
Environment
PAN-OSFirewall
托管域控制器的 Windows Server
WMI服务器监控的传输协议
Cause
2021 年 6 月 8 日,微软发布了一组补丁以响应CVE-2021-26414作为其每月补丁发布的一部分。 解决中描述的漏洞CVE-2021-26414 ,客户必须安装 2021 年 6 月 8 日发布的更新并启用注册表项“ HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat”按照中的说明KB5004442 .
启用此注册表项将使RPC服务器强制执行身份验证级别RPC_C_AUTHN_LEVEL_PKT_INTEGRITY或更高。 由于这些强化更改,域控制器上每隔 2 秒就会出现以下系统错误。
服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY
这是 Microsoft 中描述的强化更改的时间表KB5004442 :如 Microsoft KB5004442 中所述:
|
|
|
|
|
|
|
|
Resolution
您可以使用以下解决方法之一解决此问题:
选项 1:回滚 Microsoft 补丁
在托管域控制器的 Windows 服务器上回滚 6 月 8 日的安全补丁可解决此问题。 如果这不适合您,请考虑下面列出的选项之一。
选项 2:禁用注册表项
为了解决此问题,您可以禁用注册表项RequireIntegrityActivationAuthenticationLevel在托管域控制器的 Windows 服务器上。 如果这不适合您,请考虑下面列出的其余选项之一。
- 路径:HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat
- 值名称:“RequireIntegrityActivationAuthenticationLevel”
- 类型:双字
- 数值数据:0x00000000 表示禁用。
注意:您必须以十六进制格式输入数值数据。 设置此注册表项后,您必须重新启动设备才能使其生效。
从 2023 年 3 月 14 日起,强化变化DCOM将默认启用,客户将NOT能够禁用注册表项。 因此,禁用注册表项只是一种临时解决方法。 您应该考虑在 2023 年 3 月之前实施选项 3 或 4。
选项 3:切换到 WinRM 传输协议(Firewall应该运行PAN-OS9.0及以上版本)。
从...开始PAN-OS9.0,客户可以选择使用WMI或 WinRM 作为从域控制器读取安全日志事件的传输协议。
看到系统错误ONLY使用时WMI作为传输协议PAN-OS防火墙。 这些错误是NOT在使用 WinRM 传输协议时看到。
如果你的firewall在跑PAN-OS9.0及以上版本,可切换传输协议使用WinRM解决此问题。 WinRM 传输协议也是 Palo Alto Networks 推荐的用于监视域控制器的传输协议。
(没有用户丢失-ID使用 WinRM 而不是WMI, WinRM 协议比WMI,并提高了 User- 的性能和可扩展性ID监控。WinRM 协议比WMI,并提高了 User- 的性能和可扩展性ID监控。WinRM 可以帮助减少firewallCPU和内存利用率,以及提高速度IP-用户映射是从受监控的服务器中获取的。 有关如何操作的说明,请参阅此链接使用 WinRM 协议配置服务器监控)。
如果您有多个域控制器,则可以将传输协议从WMI到 WinRM 上ALL一次域控制器或一次更改一个域控制器上的传输协议。 请确保专用服务帐户具有所需的权限,如文档同时使用WMI和 WinRM 传输协议。
为了firewall正在运行的部署PAN-OS8.1 及更早版本,Palo Alto Network 建议升级您的firewall到 9.0+ 版本以利用使用 WinRM 传输协议的好处。 请注意,两者PAN-OS8.1和9.0版本将达到生命的尽头2022 年 3 月 1 日。
选项 4:切换到基于 Windows 的用户-ID代理人。
如果您不能使用以上 3 个选项中的任何一个,那么您可以切换到基于 Windows 的用户-ID代理解决此问题。 有关如何配置基于 Windows 的用户的更多信息-ID用户映射代理,请参考这里关联.