Windows 补丁 KB5014692 破解WMI对于用户-ID
167219
Created On 06/22/22 21:14 PM - Last Modified 07/13/23 08:53 AM
Symptom
- 在显示“拒绝访问”的系统日志中观察到错误:
fw> show log system high userid connect 0 User-ID server monitor LDAPSRVR(vsys1) Access denied
- 在 useridd.log 中观察到的错误显示“NT_STATUS_ACCESS_DENIED”:
fw> less mp-log useridd.log Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1587): log query for LDAPSRVR failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied Error: pan_user_id_win_get_error_status(pan_user_id_win.c:1272): WMIC message from server LDAPSRVR: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
Environment
- 帕洛阿尔托 Firewall
- 支持的PAN-OS.
- WMI 在集成用户启用-ID
- 应用了补丁 KB5014692 的 Microsoft Windows Server
Cause
2022 年 6 月 14 日,Microsoft 发布了适用于 Windows Server 的补丁 KB5004442,以解决中描述的漏洞CVE-2021-26414。 此补丁启用了新的“强化安全”WMI并对所有供应商产生影响。
来自微软的信息: KB5004442 - 管理 Windows 的更改DCOM服务器安全功能绕过 (CVE-2021 -26414)
Resolution
- 永久的解决方案是切换到 WinRM 作为传输协议,而不是WMI. 参考PAN-OS管理员指南:使用 WinRM 配置服务器监控
- A 临时解决方法可在 2023 年 3 月 14 日之前使用。 在 Windows Server 上,按照 Microsoft 的说明禁用强化更改。 修改以下注册表值并将其设置为禁用:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000 means disabled. 0x00000001 means enabled.
Note: You must enter Value Data in hexadecimal format.
Important: You must restart your device after setting this registry key for it to take effect.
Microsoft 计划于 2023 年 3 月 14 日删除此注册表项,作为其行为改变时间表.