Windows 补丁 KB5014692 破解WMI对于用户-ID

Windows 补丁 KB5014692 破解WMI对于用户-ID

167219
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM


Symptom


  • 在显示“拒绝访问”的系统日志中观察到错误:
    fw> show log system
high     userid      connect 0  User-ID server monitor LDAPSRVR(vsys1) Access denied
  • 在 useridd.log 中观察到的错误显示“NT_STATUS_ACCESS_DENIED”:
    fw> less mp-log useridd.log
Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied

Environment


  • 帕洛阿尔托 Firewall
  • 支持的PAN-OS.
  • WMI 在集成用户启用-ID
  • 应用了补丁 KB5014692 的 Microsoft Windows Server
笔记:WMI (Windows Management Instrumentation) 配置在GUI:设备 > 用户标识 > 用户映射 > 服务器监控 > 传输协议:'WMI '

Cause


2022 年 6 月 14 日,Microsoft 发布了适用于 Windows Server 的补丁 KB5004442,以解决中描述的漏洞CVE-2021-26414。 此补丁启用了新的“强化安全”WMI并对所有供应商产生影响。

来自微软的信息: KB5004442 - 管理 Windows 的更改DCOM服务器安全功能绕过 (CVE-2021 -26414)

Resolution


  1. 永久的解决方案是切换到 WinRM 作为传输协议,而不是WMI. 参考PAN-OS管理员指南:使用 WinRM 配置服务器监控
 
  1. A 临时解决方法可在 2023 年 3 月 14 日之前使用。 在 Windows Server 上,按照 Microsoft 的说明禁用强化更改。 修改以下注册表值并将其设置为禁用:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.

Note: You must enter Value Data in hexadecimal format. 
Important: You must restart your device after setting this registry key for it to take effect.
Microsoft 计划于 2023 年 3 月 14 日删除此注册表项,作为其行为改变时间表.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkkfCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language