跳转到主内容

Microsoft 安全通报: ADV 190023 利用 Microsoft Active Directory LDAP 服务器对运行 CIFS\NFS 的 NetApp 设备的影响

Views:
36
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

可不使用  

适用场景

  • ONTAP 9
  • 集群模式 Data ONTAP 8
  • CIFS
  • NFS
  • StartTLS
  • LDAPS
警告:关于 LDAPEnforceChannelBinding 、在[1]实施 1136213 支持之前不要使用 Enforce DWORD Value 2 。   

问题解答

ADV 190023 对 ONTAP 有何影响?

以下是两项预期更改: 

  • 更改 1 :使用 LDAPEnforcecHannelBinding 注册表项可以更安全地对 SSL/TLS 进行 LDAP 身份验证 
  • 更改 2 :“域控制器: LDAP 服务器签名要求”设置为“需要签名” 
更改 1 :使用 LDAPEnforcecHannelBinding 注册表项可以更安全地对 SSL/TLS 进行 LDAP 身份验证   

会发生什么变化?  

  • LDAP 通道绑定 =1 (更新后)  

AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters   

ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters   

值: 1 表示支持时已启用。   

  • 双字节值: 0 表示已禁用。不执行通道绑定验证。这是所有尚未更新的服务器的行为。  

  • 双字节值: 1 表示启用(如果支持)。所有在已更新为支持通道绑定令牌 (CBT) 的 Windows 版本上运行的客户端都必须向服务器提供通道绑定信息。 
    运行 Windows 版本但尚未更新以支持 CBT 的客户端不必这样做。 
    这是一个中间选项,可实现应用程序兼容性。  

  • 双字节值: 2 表示启用始终。所有客户端都必须提供通道绑定信息。服务器拒绝来自未执行此操作的客户端的身份验证请求。  

  如果使用(启用)值 1 的默认设置、 ONTAP 将继续与域控制器进行通信而不会产生影响。   

[ 在 2020 年 3 月 10 日之后, MS 更新,域控制器:应存在 LDAP 服务器通道绑定令牌要求组策略。 ]

注:手动设置双字节值 2启用、始终)将阻止 ONTAP 在启用 LDAPS 或 TLS 时通过 LDAP 与域控制器进行通信。 

对于 ONTAP 兼容性、在[2]实施对 1136213 的支持之前不要使用 Enforce DWORD Value 2 。   

更改 2 :“域控制器: LDAP 服务器签名要求”设置为“需要签名”  
  • 此选项将影响使用 Active Directory 域控制器的任何现有或新 CIFS 服务器部署或 LDAP 客户端配置。   

  会发生什么变化?  

LDAP 服务器签名要求  

 此安全设置确定 LDAP 服务器是否需要与 LDAP 客户端协商签名,如下所示:  

  •  无:与服务器绑定时不需要数据签名。如果客户端请求数据签名,则服务器支持该签名。  

  • 要求签名:除非使用 TLS\SSL 、否则必须协商 LDAP 数据签名选项。  

LDAP 签名组策略更改不需要停机    

安装 Adv 190023 后,两个设置(即使没有或未定义)都将强制要求签名。   

只有将注册表值设置为 0 (关)才会禁用对要求签名的强制执行。  

  注意( Microsoft 不建议这样做): 

这意味着注册表中的值 "0" 表示 "OFF" ,这也意味着更新不会更改设置、也不会强制要求签名。    

DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  --> LDAPServerIntegrity = 0  

如何将 ONTAP 设置为使用 LDAP 签名或更改的密封 2
常见问题解答
问:我遇到了与本文中记录的步骤相关的问题?我该怎么办?  
问: LDAP 通道绑定值应设置为默认值 1 修补后,是否必须在 ONTAP 中进行任何更改?
  • 只要值保持在 1 且未设置为 2 、则不需要 LDAP 通道令牌、 ONTAP 将继续与 LDAP 通信。 
  • [3]实施 1136213 后、 ONTAP 可以正式支持 LDAP 通道绑定令牌。   
问: LDAP 服务器完整性(签名)将设置为已启用修补程序后,是否需要在 ONTAP 中进行任何更改?  
  • 的。 .将 CIFS 服务器和 \ 或 LDAP 客户机设置为使用 LDAP 签名或签章。上面的信息包含如何设置这些选项以及如何验证的样例工作流。它们可以无中断地执行、建议在更新 Microsoft 更改之前进行设置。如果您当前正在使用 LDAP Start TLS 或 LDAPS ,则无需对 SVM 配置进行任何更改。
问:我已在 SVM 中使用 LDAP StartTLS ,是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
  • 目标卷该要求仅适用于非 TLS\SSL 连接。
问:我已在 SVM 中使用 LDAPS ,是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
问:我使用的是不受支持的 ONTAP 版本。我有哪些选择?
  • 查看本文档: Data ONTAP 8 不支持 LDAP 签名,并与 Microsoft 合作删除安全设置以启用传统客户端。
    • 还需要考虑升级到支持的 ONTAP 版本的重要事项。
问:我使用的是 7mode ONTAP ,是否需要进行任何更改?  
  • 本文仅适用于 ONTAP (集群模式 Data ONTAP )。但是,对于 2 个更改、 ADV 190023 将会按照 7 模式进行更改:  
    • 更改 1 :对于 LDAP 通道绑定支持、没有计划在 7 模式下实现此功能。(如果使用(启用)值 1 的默认设置、 7 模式 ONTAP 也将继续与域控制器进行通信而不会产生影响。) 
    • 更改 2 :自动启用 LDAP 签名、并且 LDAP 服务器完整性(签名)设置的 7 模式不需要更改。
问:在 Microsoft 更新后,我们希望将 LDAP 服务器完整性(签名)还原为禁用状态,如何执行此操作?
问:哪些 ONTAP 命令会受到影响?
  • 以下命令使用 LDAP ,并会因此更新而受到影响:(并非详尽列表) 

::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds  
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test

 

问: Microsoft 声明要将客户端设置为此需要 LDAP 签名 ... ONTAP 中的等效值是多少?是否需要将任何 Windows 客户端更改为仍然使用 ONTAP ?
  • 以上 KB 中的设置和命令是您在 ONTAP 中设置这些值的方式。
问:现在是否可以更改 LDAP 符号或签章,而不会影响 CIFS 操作?
  • 使用以下命令将 ONTAP LDAP 客户端会话安全性设置为“签名”或“签章”: 
  1. ::> vserver services name-service ldap client modify -session-security
  2. ::> vserver cifs security modify -session-security-for-ad-ldap 
    • 设置此选项应是无中断操作。 
  • 此更改不会影响现有 CIFS\NFS 连接。连接的会话将被缓存,一旦建立,就不需要 LDAP 。 
  • 在下一个 LDAP 绑定上、 ONTAP 将使用签名或密封。预期设置选项应不会中断 LDAP 操作。 
  • 这些功能可以在 LDAP 更改要求签名之前进行设置。 
    • 但是,与 LDAP 环境中任何潜在的全局安全更改一样、建议进行适当的测试和验证、因为客户环境可能会有所不同。
问:我可以从何处获取有关此问题的更多信息,或者阅读其他来源,帮助我更好地了解其含义?
问:在 ONTAP 中,要为 ADV 190023 做准备并保持合规性,我需要做的最小更改是什么
  • 如果在修补后部署了预期默认值、请使用以下命令将 ONTAP LDAP 客户端会话安全性设置为“签名”: 

::> vserver services name-service ldap client modify -session-security sign 
::> vserver cifs security modify -session-security-for-ad-ldap sign 

  • 根据您是为 CIFS 服务器还是 LDAP 客户机设置此选项:  
    • 最低要求是签名。密封、 LDAPS 和 StartTLS 均超出最低要求、可能需要额外的配置步骤(即自签名 CA 证书)。 
问: SVM 的 -session-security 输出显示‘–‘或为空这是什么意思?
  • 破折号或空白默认值为“无”。在某些情况下、自 9 之前(其中尚未存在这些选项)以来已存在的 vServers 可能会在升级后显示为这些值。请继续按照知识库中的建议操作、以符合修补程序的要求。
问:使用 LDAP 密封时, LDAP 审核会报告 SVM 的设备 2889 。
问: NetApp 今后对 LDAP 签名和签章的建议是什么?
  • 建议使用 LDAP 签名。 
问:我阅读了本知识库中的所有链接,但仍不清楚 LDAPS ,签名和签章, StartTLS 之间的区别是什么。

阅读以下链接以帮助解释差异: 

  • LDAP 签名和密封(通过端口 389 ) ONTAP 9.0+ 

    • 签名使用密钥技术确认 LDAP 有效负载数据的完整性。密封功能对 LDAP 负载数据进行加密,避免以明文传输敏感信息。LDAP 安全级别选项指示是否需要对 LDAP 流量进行签名、签名和密封,或者两者都不需要。默认值为无。(更多信息: LDAP SI GNING 和密封概念与 NFS 指南) 

  • 需要自签名根 CA 证书 

    • 基于 TLS 的 LDAP (通过端口 389 ) ONTAP 8.2.1+ (更多信息:基于 TLS 的 LDAP 概念)  

    • LDAPS (通过端口 636 ) ONTAP 9.5+ (更多信息:使用 LDAP )  

问:如何确认正在使用 LDAP 签名或签章
  • 请联系 NetApp 技术支持以了解如何确认。
问:在支持 LDAP 通道绑定之前,是否有一个图表有助于说明所有选项和预期行为?
  • 是,请参见下面的图表,了解 LDAP 操作的预期行为:
标签 相应的 CIFS 安全选项
签名 session-security-for-ad-ldap 符号
密封 session-security-for-ad-ldap seal
StartTLS use-start-tls-for-ad-ldap true
LDAPS use-ldaps for-ad-ldap true
 
LDAP 设置 已强制执行通道绑定 不强制执行通道绑定
默认设置,新 SVM 成功 成功
仅签名 成功 成功
仅密封 成功 成功
仅 StartTLS 出现故障 成功
仅 LDAPS 出现故障 成功
签名 + StartTLS 出现故障 成功
签名 + LDAPS 出现故障 成功
密封 + StartTLS 出现故障 成功
密封 + LDAPS 出现故障 成功

 

问:我之所以阅读本文档,是因为个 Active IQ 系统风险检测
  • 对于在其存储系统上启用 AutoSupport 的客户、 Active IQ 门户可在客户、站点和系统级别提供详细的系统风险报告。这些报告显示了具有特定风险的系统、以及严重性级别和缓解措施计划您可能是因为其中一个警报而阅读本文的。如果在系统上的 CIFS 服务器或 LDAP 客户端配置上检测到不安全的 LDAP 配置,请阅读本文全文,了解有关如何缓解应用 ADV1900 引起的问题的最佳实践建议。