La revisión de Windows KB5014692 se interrumpe WMI para user-ID

La revisión de Windows KB5014692 se interrumpe WMI para user-ID

167227
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM


Symptom


  • Error observado en el registro del sistema que muestra 'Acceso denegado':
    fw> show log system
high     userid      connect 0  User-ID server monitor LDAPSRVR(vsys1) Access denied
  • Errores observados en useridd.log mostrando 'NT_STATUS_ACCESS_DENIED':
    fw> less mp-log useridd.log
Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied

Environment


  • Palo Alto Firewall
  • Soportado PAN-OS.
  • WMI habilitado en Usuario integrado-ID  
  • Microsoft Windows Server con la revisión KB5014692 aplicada
Nota: WMI (Instrumental de administración de Windows) se configura enGUI: Device > User Identification > User Mapping > Server Monitoring > Transport Protocol: 'WMI'

Cause


El 14 de junio de 2022, Microsoft publicó el parche KB5004442 para Windows Server para corregir la vulnerabilidad descrita en CVE-2021-26414. Este parche permite una nueva "seguridad reforzada" y WMI está teniendo un impacto en todos los proveedores.

Información de Microsoft: KB5004442: Administrar cambios para la omisión de la característica de seguridad de Windows DCOM Server (CVE-2021-26414)

Resolution


  1. La solución permanente es cambiar a WinRM como protocolo de transporte en lugar de WMI. Consulte PAN-OS la Guía del administrador: Configurar la supervisión del servidor mediante WinRM
 
  1. A la solución temporal está disponible hasta el 14 de marzo de 2023. En Windows Server, siga las instrucciones de Microsoft para deshabilitar el cambio de endurecimiento. Modifique el siguiente valor del Registro y establézcalo en deshabilitado:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.

Note: You must enter Value Data in hexadecimal format. 
Important: You must restart your device after setting this registry key for it to take effect.
Microsoft está programado para quitar esta clave del Registro el 14 de marzo de 2023 como parte de su línea de tiempo de cambio de comportamiento.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkkfCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language