PowerScale:Netlogon RPC 特權提升漏洞 (CVE-2022-38023)
概要: CVE-2022-38023 對 PowerScale 用戶端沒有功能影響。OneFS 應升級至 9.5 或更新版本,才能使用 Netlogon 的 AES 密碼編譯。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
PowerScale OneFS 使用 Netlogon 作為與 Active Directory 通訊的安全通道。本文提供 CVE-2022-38023 對 PowerScale OneFS 影響的相關資訊。
以下是 CVE-2022-38023 的 Microsoft 安全性漏洞公告, Netlogon RPC 特權提升漏洞
Microsoft 於 2022 年 11 月 8 日發佈了更新,其中引入了以下系統註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
它有三個值:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
根據預設,PowerScale OneFS 會為 Netlogon 安全通道連線進行簽署和封存,因 CVE-2022-38023 而需要 Netlogon 封 存不會影響 PowerScale OneFS。
您可能會看到在網域控制站的 Windows 事件檢視器中記錄下列事件:
| 事件 ID | 5840 |
| 事件文字 | Netlogon 服務使用 RC4 的用戶端創建了一個安全通道。 |
使用執行 OneFS 版本 9.4.x 及更早版本的 PowerScale 用戶端建立新的 事件 ID 5840,這些版本預設為 RC4 用於 NTLM Netlogon 安全通道。
新的事件 ID 5840 不會 使用執行版本 9.5.0 及更新版本的 PowerScale OneFS 用戶端建立。PowerScale OneFS 9.5.0 針對 NTLM Netlogon 使用 AES 密碼編譯。
原因
Microsoft 推出一種階段式方法,要求密封 Netlogon 通訊。
解決方法
Microsoft 為解決 CVE-2022-38023 而進行的這些 Windows 更新,對於自 7.x 起執行任何受支援版本的 PowerScale OneFS 用戶端 ,並無 任何功能影響。
若要在 OneFS 中善用 NTLM Netlogon 安全通道的 AES 密碼編譯,請升級至 PowerScale OneFS 9.5.0 或更新版本。
NTLM Netlogon 安全通道的 AES 密碼學支援未向後包含至 PowerScale OneFS 版本 9.4.x 及更舊版本。
相關資源
以下是可能感興趣的與本主題相關的建議資源:
- Dell 文章 152189, PowerScale OneFS 資訊中心
- Dell 文章 184794, PowerScale OneFS 目前的修補程式
- Dell 文章 63022,PowerScale:OneFS:NFS 用戶端設定的最佳實務
その他の情報
默認情況下,以下註冊表值不適用,並且不會導致任何身份驗證失敗,除非特意啟用:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
如果刻意將此值設為 TRUE (1),這 確實 會導致 OneFS 版本 9.4.x 及更舊版本上的 NTLM 驗證失敗。
執行下列 PowerShell 命令以驗證設定:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
啟用的輸出範例:
針對 OneFS 9.4 及更早版本,且如果 RejectMd5Clients 值已啟用,您會在 /var/log/lsassd.log 中看到 NTLM 驗證失敗的類似錯誤:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295
文書のプロパティ
文書番号: 000207527
文書の種類: Solution
最終更新: 01 5月 2024
バージョン: 7
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。