[English]Microsoft hat am 11. Juli 2017 ein Update zum Schließen der Windows Elevation of Privilege Vulnerability (CVE-2017-8563) für alle unterstützten Windows Client freigegeben. Beim Einspielen der Updates müssen Administratoren aber aufpassen, da andernfalls die Sicherheit in Active Directory-Umgebungen auf dem Spiel steht.
Anzeige
Sicherheit von Domänencontrollern bedroht
Das Thema Active Directory und Domänencontroller ist nicht so meine Baustelle. Daher habe ich das Thema nur am Rande verfolgt. The Hacker News hat es hier thematisiert, in den Microsoft Windows NTLM Security Protokollen gab es einige Sicherheitslücken. The Hacker News schreibt:
The first vulnerability involves unprotected Lightweight Directory Access Protocol (LDAP) from NTLM relay, and the second impact Remote Desktop Protocol (RDP) Restricted-Admin mode.
Über die Lücke kann ein Angreifer über einen ungepatchten Client einen Domänencontroller übernehmen.
Update verfügbar, Installation nicht ausreichend
Die gute Nachricht ist, dass Microsoft am 11. Juli 2017 Updates zum Schließen der Elevation of Privilege Vulnerability (CVE-2017-8563) bereitgestellt hat. In CVE-2017-8563 beschreibt Microsoft die Sicherheitslücke:
An elevation of privilege vulnerability exists in Microsoft Windows when a man-in-the-middle attacker is able to successfully forward an authentication request to a Windows LDAP server, such as a system running Active Directory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS), which has been configured to require signing or sealing on incoming connections.
Über die verlinkte CVE-2017-8563-Seite lässt sich erkennen, dass Updates für alle unterstützten Windows-Clients Updates bereitstellt. Die Patches werden über Windows Update zur Installation angeboten.
Anzeige
Die schlechte Nachricht ist allerdings, dass die Installation der Updates in einer Active Directory-Umgebung nicht ausreichend ist. Der Domänencontroller könnte nach wie vor übernommen werden – wie jemand in diesem Post bei administrator.de anmerkt. Microsoft schreibt in den KB-Artikeln zu den CVE-2017-8563-Updates (z.B. hier)
Nach der Installation der Sicherheitsupdates für CVE-2017-8563 müssen Administratoren den Registrierungsschlüssel „LdapEnforceChannelBinding" festlegen, um die CVE-Korrektur zu aktivieren. Weitere Informationen zum Festlegen des Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 4034879.
Unter dem Microsoft Knowledge Base-Artikel 4034879 findet man dann folgende Details:
- Bevor Sie diese Einstellung auf einem Domänencontroller aktivieren, müssen Sie auf den Clients das in CVE-2017-8563 beschriebene Sicherheitsupdate installieren. Andernfalls können Kompatibilitätsprobleme auftreten, und es kann passieren, dass LDAP-Authentifizierungsanfragen über SSL/TLS, die bisher funktioniert haben, abgelehnt werden. Diese Einstellung ist standardmäßig deaktiviert.
- Der Registrierungseintrag LdapEnforceChannelBindings muss explizit erstellt werden.
- Der LDAP-Server reagiert dynamisch auf Änderungen an diesem Registrierungseintrag. Daher müssen Sie den Computer nicht neu starten, nachdem Sie die Registrierungsänderung vorgenommen haben.
Bei administrator.de hat der Tippgeber in diesem Thread ein Script veröffentlicht, mit dem man prüfen kann, ob das Update installiert ist. Vielleicht hilft es euch in euren Active Directory Umgebungen weiter.
Anzeige
und wie verhält sich das Ganze, wenn man einen Win 2008 R2 und einen Win 2003 Domänen-Controller hat? Kann man dann auf dem 2008 R2 auch den Registryschlüssel ändern?
Wieder mal sehr unhantlich. Mein Tipp wäre ein PS Skript das auf den Patch hin prüft wahlweise systrminformation mit find als cmd Script und dann den key mit PS erstellen oder mit reg.exe hinzufügen
sogar der Patch könnte ausser der Reihe silent installiert werden.
edit Zeit abgelaufen während des edit also nochmal
a) signiertes PS Skript als Computer Startup GPO
prüfen ob der Patch installiert ist danach den Patch silent installieren und Regkey setzen.
alternativ
b) Computer GPO als Startup script
systeminformation an find pipen und nach KB suchen. Patch installieren falls nicht gefunden und Regkey setzen mit reg.exe.
Ich weiß ja nicht, ob ich da was falsch verstanden habe. Warum wollt Ihr denn per Skript auf den Clients was prüfen?
Wenn ich verlinkte Artikel richtig lese, geht es bei dem Reg-Key rein um die Domänencontroller. Microsoft empfiehlt hier aus Kompatibilitätsgründen mit älteren Betriebssystemen (Server 2008 und f früher) den Wert 1 (enabled, when supported – Clients, die noch nicht upgedatet worden sind, werden trotzdem unterstützt). Ist alles umgestellt, kann man dann ja den Wert auf 2 "enabled always" ändern.
Richtig verstanden :-)
Abgesehen davon, bekomme ich bei dem Script immer Fehler (2, 5).
Wir haben jetzt festgestellt, dass seit der Installation dieses Patches, delegierten Administratoren, nicht mehr der Reset der Kennwörter zur Verfügung steht, obwohl das Recht nach wie vor in den Eigenschaften der Sicherheit für die OU steht. In der ADUC ist dieses Feature jedoch aus gegraut für diese delegierten Administratoren.