Windows パッチ KB5014692 の破損WMIユーザー向け-ID
167217
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM
Symptom
- システム ログに「アクセスが拒否されました」というエラーが表示される:
fw> show log system high userid connect 0 User-ID server monitor LDAPSRVR(vsys1) Access denied
- 「NT_STATUS_ACCESS_DENIED」を示す useridd.log で観察されたエラー:
fw> less mp-log useridd.log Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Environment
- パロアルト Firewall
- 対応PAN-OS.
- WMI 統合ユーザーで有効-ID
- パッチ KB5014692 を適用した Microsoft Windows Server
Cause
2022 年 6 月 14 日、Microsoft は Windows Server 用のパッチ KB5004442 をリリースし、で説明されている脆弱性に対処しました。CVE-2021 -26414. このパッチにより、新しい「強化されたセキュリティ」が有効になりますWMIそして、すべてのベンダーに影響を与えています。
マイクロソフトからの情報: KB5004442 - Windows の変更の管理DCOMサーバー セキュリティ機能のバイパス (CVE-2021 -26414)
Resolution
- 恒久的な解決策は、トランスポート プロトコルとして WinRM に切り替えることです。WMI . 参照するPAN-OS管理者ガイド: WinRM を使用してサーバー監視を構成する
- A 一時的な回避策は 2023 年 3 月 14 日まで利用できます。 Windows Server で、Microsoft の指示に従って強化の変更を無効にします。 次のレジストリ値を変更し、無効に設定します。
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.
Note: You must enter Value Data in hexadecimal format.
Important: You must restart your device after setting this registry key for it to take effect.
このレジストリ キーは、Microsoft によって 2023 年 3 月 14 日に削除される予定です。行動変容タイムライン.