Windows-Patch KB5014692 bricht WMI für Benutzer-ID

Windows-Patch KB5014692 bricht WMI für Benutzer-ID

167158
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM


Symptom


  • Fehler im Systemprotokoll mit der Anzeige "Zugriff verweigert":
    fw> show log system
high     userid      connect 0  User-ID server monitor LDAPSRVR(vsys1) Access denied
  • In useridd beobachtete Fehler.log die "NT_STATUS_ACCESS_DENIED" anzeigen:
    fw> less mp-log useridd.log
Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied

Environment


  • Palo Alto Firewall
  • Unterstützt PAN-OS.
  • WMI aktiviert auf Integrated User-ID  
  • Microsoft Windows Server mit angewendetem Patch KB5014692
Hinweis WMI : (Windows-Verwaltungsinstrumentation) wird konfiguriert unterGUI: Device > User Identification > User Mapping > Server Monitoring > Transport Protocol: ''WMI

Cause


Am 14. Juni 2022 hat Microsoft den Patch KB5004442 für Windows Server veröffentlicht, um die in CVE-2021-26414 beschriebene Sicherheitsanfälligkeit zu beheben. Dieser Patch ermöglicht neue "gehärtete Sicherheit" für WMI alle Anbieter und wirkt sich auf alle Anbieter aus.

Informationen von Microsoft: KB5004442 – Verwalten von Änderungen für die Umgehung von Windows DCOM Server-Sicherheitsfunktionen (CVE-2021-26414)

Resolution


  1. Die dauerhafte Lösung besteht darin, anstelle von WMIauf WinRM als Transportprotokoll umzusteigen. Weitere Informationen finden Sie im PAN-OS Administratorhandbuch: Konfigurieren der Serverüberwachung mit WinRM
 
  1. A Die vorübergehende Problemumgehung ist bis zum 14. März 2023 verfügbar. Befolgen Sie auf dem Windows-Server die Anweisungen von Microsoft, um die Änderung der Härtung zu deaktivieren. Ändern Sie den folgenden Registrierungswert, und legen Sie ihn auf deaktiviert fest:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.

Note: You must enter Value Data in hexadecimal format. 
Important: You must restart your device after setting this registry key for it to take effect.
Dieser Registrierungsschlüssel soll von Microsoft am 14. März 2023 als Teil des Zeitplans für Verhaltensänderungen entfernt werden.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkkfCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language