Le correctif Windows KB5014692 s’interrompt WMI pour l’utilisateur-ID

Le correctif Windows KB5014692 s’interrompt WMI pour l’utilisateur-ID

167233
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM


Symptom


  • Erreur observée dans le journal système indiquant « Accès refusé » :
    fw> show log system
high     userid      connect 0  User-ID server monitor LDAPSRVR(vsys1) Access denied
  • Erreurs observées dans useridd.log affichant 'NT_STATUS_ACCESS_DENIED':
    fw> less mp-log useridd.log
Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied

Environment


  • Palo Alto (Palo Alto) Firewall
  • Pris en charge PAN-OS.
  • WMI activé sur Integrated User-ID  
  • Microsoft Windows Server avec le correctif KB5014692 appliqué
Remarque : WMI (Windows Management Instrumentation) est configuré sous GUI: Device > User Identification > User Mapping > Server Monitoring > Transport Protocol : 'WMI'

Cause


Le 14 juin 2022, Microsoft a publié le correctif KB5004442 pour Windows Server afin de corriger la vulnérabilité décrite dans CVE-2021-26414. Ce correctif permet une nouvelle « sécurité renforcée » et WMI a un impact sur tous les fournisseurs.

Informations de Microsoft : KB5004442 : gérer les modifications pour le contournement de la fonctionnalité de sécurité de Windows DCOM Server (CVE-2021-26414)

Resolution


  1. La solution permanente consiste à passer à WinRM comme protocole de transport au lieu de WMI. Reportez-vous au PAN-OS Guide de l'administrateur : Configurer la surveillance du serveur à l'aide de WinRM
 
  1. A une solution de contournement temporaire est disponible jusqu’au 14 mars 2023. Sur Windows Server, suivez les instructions de Microsoft pour désactiver la modification du renforcement. Modifiez la valeur de Registre suivante et définissez-la sur désactivé :
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.

Note: You must enter Value Data in hexadecimal format. 
Important: You must restart your device after setting this registry key for it to take effect.
Cette clé de Registre devrait être supprimée par Microsoft le 14 mars 2023 dans le cadre de sa chronologie de changement de comportement.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkkfCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language