Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
安装微软 2021 年 6 月 8 日的安全补丁CVE-2021-26414 在域控制器上产生错误。 - Knowledge Base - Palo Alto Networks

安装微软 2021 年 6 月 8 日的安全补丁CVE-2021-26414 在域控制器上产生错误。

183409
Created On 11/09/21 16:26 PM - Last Modified 03/15/23 18:15 PM


Symptom


当微软 2021 年 6 月 8 日的安全补丁相关CVE-2021-26414安装在托管域控制器的 Windows 服务器上,每 2 秒在域控制器上的事件日志中看到以下系统错误。

服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。



Environment


PAN-OSFirewall
托管域控制器的 Windows Server
WMI服务器监控的传输协议


 


Cause


2021 年 6 月 8 日,微软发布了一组补丁以响应CVE-2021-26414作为其每月补丁发布的一部分。 解决中描述的漏洞CVE-2021-26414 ,客户必须安装 2021 年 6 月 8 日发布的更新并启用注册表项“ HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat”按照中的说明KB5004442 .

启用此注册表项将使RPC服务器强制执行身份验证级别RPC_C_AUTHN_LEVEL_PKT_INTEGRITY或更高。 由于这些强化更改,域控制器上每隔 2 秒就会出现以下系统错误。

服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY

这是 Microsoft 中描述的强化更改的时间表KB5004442 :如 Microsoft KB5004442 中所述:

更新版本

事件

2021 年 6 月 8 日

默认情况下禁用强化更改,但可以使用注册表项启用它们。

2022 年 6 月 14 日

默认情况下启用强化更改,但可以使用注册表项禁用它们。

2023 年 3 月 14 日

默认情况下启用强化更改,但无法禁用它们。 此时,您必须解决与环境中的强化更改和应用程序的任何兼容性问题。



Resolution


您可以使用以下解决方法之一解决此问题:

选项 1:回滚 Microsoft 补丁

在托管域控制器的 Windows 服务器上回滚 6 月 8 日的安全补丁可解决此问题。 如果这不适合您,请考虑下面列出的选项之一。

选项 2:禁用注册表项

为了解决此问题,您可以禁用注册表项RequireIntegrityActivationAuthenticationLevel在托管域控制器的 Windows 服务器上。 如果这不适合您,请考虑下面列出的其余选项之一。

  • 路径:HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat
  • 值名称:“RequireIntegrityActivationAuthenticationLevel”
  • 类型:双字
  • 数值数据:0x00000000 表示禁用。

注意:您必须以十六进制格式输入数值数据。 设置此注册表项后,您必须重新启动设备才能使其生效。

从 2023 年 3 月 14 日起,强化变化DCOM将默认启用,客户将NOT能够禁用注册表项。 因此,禁用注册表项只是一种临时解决方法。 您应该考虑在 2023 年 3 月之前实施选项 3 或 4。

选项 3:切换到 WinRM 传输协议(Firewall应该运行PAN-OS9.0及以上版本)。

从...开始PAN-OS9.0,客户可以选择使用WMI或 WinRM 作为从域控制器读取安全日志事件的传输协议。

看到系统错误ONLY使用时WMI作为传输协议PAN-OS防火墙。 这些错误是NOT在使用 WinRM 传输协议时看到。

如果你的firewall在跑PAN-OS9.0及以上版本,可切换传输协议使用WinRM解决此问题。 WinRM 传输协议也是 Palo Alto Networks 推荐的用于监视域控制器的传输协议。

(没有用户丢失-ID使用 WinRM 而不是WMI, WinRM 协议比WMI,并提高了 User- 的性能和可扩展性ID监控。WinRM 协议比WMI,并提高了 User- 的性能和可扩展性ID监控。WinRM 可以帮助减少firewallCPU和内存利用率,以及提高速度IP-用户映射是从受监控的服务器中获取的。 有关如何操作的说明,请参阅此链接使用 WinRM 协议配置服务器监控)。

如果您有多个域控制器,则可以将传输协议从WMI到 WinRM 上ALL一次域控制器或一次更改一个域控制器上的传输协议。 请确保专用服务帐户具有所需的权限,如文档同时使用WMI和 WinRM 传输协议。

为了firewall正在运行的部署PAN-OS8.1 及更早版本,Palo Alto Network 建议升级您的firewall到 9.0+ 版本以利用使用 WinRM 传输协议的好处。 请注意,两者PAN-OS8.1和9.0版本将达到生命的尽头2022 年 3 月 1 日。


选项 4:切换到基于 Windows 的用户-ID代理人。

如果您不能使用以上 3 个选项中的任何一个,那么您可以切换到基于 Windows 的用户-ID代理解决此问题。 有关如何配置基于 Windows 的用户的更多信息-ID用户映射代理,请参考这里关联.


 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language