Microsoft 安全公告:ADV190023 对使用 Microsoft Active Directory LDAP 服务器运行 CIFS\NFS 的 NetApp 设备产生影响
适用于
- ONTAP 9
- CIFS
- NFS
- StartTLS
- LDAPS
问题解答
ADV190023会对 ONTAP 产生什么影响?
以下是 2 个预期的变化:
- 更改 1:使用 LdapEnforceChannelBinding 注册表项使通过 SSL/TLS 的 LDAP 身份验证更加安全
- 更改 2:将"域控制器:LDAP 服务器签名要求"设置为"需要签名"
变更 1:使用 LdapEnforceChannelBinding 注册表项使通过 SSL/TLS 进行的 LDAP 身份验证更加安全
- 此选项会影响 LDAP over TLS 或 LDAPS 连接。针对此设置的建议 Windows 更新应该不会对 ONTAP 身份验证产生影响。
- ONTAP 在 9.10.1+ 版本中支持 LDAP 通道绑定
什么会发生改变?
- LDAP 通道绑定 = 1(更新后)
AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
值:1 表示启用,当支持时。
DWORD 值:0表示已禁用。不执行任何通道绑定验证。这是所有尚未更新的服务器的行为。
DWORD 值:1表示启用(如果受支持)。所有运行已更新为支持通道绑定令牌 (CBT) 的 Windows 版本的客户端都必须向服务器提供通道绑定信息。
运行尚未更新为支持 CBT 的 Windows 版本的客户端无需提供此信息。
这是一个允许应用程序兼容性的中间选项。DWORD 值:2表示启用,始终启用。所有客户端都必须提供通道绑定信息。服务器将拒绝未提供这些信息的客户端的身份验证请求。
|
警告:请勿使用强制DWORD 值 2用于LdapEnforceChannelBinding,直到对1136213的支持已实现。 |
如果使用默认设置值 1(启用),则 ONTAP 将继续与域控制器通信而不会受到影响。
[2020 年 3 月 10 日 MS 更新后,域控制器:LDAP 服务器通道绑定令牌要求组策略应该存在。]
注意:手动设置DWORD 值 2(启用、始终)将阻止 ONTAP 在启用 LDAPS 或 TLS 时通过 LDAP 与域控制器通信。
为了与 ONTAP 兼容,请勿使用强制DWORD 值 2,直到对1136213的支持得到实现。
- 有关在 Windows 注册表中设置此值的更多信息,请转至此处。
- 如果设置了强制执行,则可能会出现类似本知识库文章下方所述的问题:
变更 2:'域控制器:LDAP 服务器签名要求'设置为'需要签名'
- 此选项将影响任何现有或新的 CIFS 服务器部署或利用活动目录域控制器的 LDAP 客户端配置。
什么会发生改变?
- LDAP 服务器完整性(签名)= 默认启用(更新后)
- 有关更多信息以及如何通过链接中的 GPO 示例启用,请阅读此 Microsoft 文章:如何在 Windows Server 2008 中启用 LDAP 签名
LDAP 服务器签名要求
此安全设置确定 LDAP 服务器是否需要与 LDAP 客户端协商签名,如下所示:
无:无需数据签名即可与服务器绑定。如果客户端请求数据签名,服务器将支持。
需要签名:除非使用 TLS\SSL,否则必须协商 LDAP 数据签名选项。
LDAP 签名组策略-更改不需要停机
安装 ADV190023 后,两种设置(甚至 None 和 Not Defined)都将强制执行"需要签名"。
仅将注册表值设置为 0(关闭)将禁用"需要签名"的实施。
注意(Microsoft 不推荐此操作):
这意味着注册表中的值"0"表示"关闭",这也意味着更新不会更改设置,也不会强制要求签名。
DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters --> LDAPServerIntegrity = 0
如何将 ONTAP 设置为使用 LDAP 签名或密封进行更改 2
- 有关设置 LDAP 签名或密封的信息,请参见以下知识库:如何将 ONTAP 设置为使用 CIFS/NFS 的 LDAP 签名或密封
常见问题解答
问:启用 LDAP 签名或密封是否会影响现有 SMB 客户端?
ADV190023 仅解决 ONTAP CIFS/SMB 服务器与域控制器之间的通信。
ONTAP CIFS 与(前端)客户端之间的通信不受影响。
问:我对本文中记录的步骤有疑问?该怎么办?
- 有很多与 NetApp 无关的信息,以及在哪里进行这些更改。这些是从发布时起从这些与 Microsoft 相关的链接中获取的,我们在此 KB 中打印的信息可能与之前注意到的信息有所不同。查看以下链接,了解从非 NetApp 角度概述的步骤的准确性:
问:LDAP 通道绑定值应该在补丁后设置为默认值 1,我们是否需要在 ONTAP 中进行任何更改?
- 只要该值保持为 1 且未设置为 2,则不需要 LDAP 通道令牌,ONTAP 将继续与 LDAP 通信。
- 一旦实现 1136213,ONTAP 可以正式支持 LDAP 通道绑定令牌。
问:修补后 LDAP 服务器完整性(签名)将设置为启用,我们是否必须在 ONTAP 中进行任何更改?
- 是。将 CIFS 服务器和\或 LDAP 客户端设置为使用 LDAP 签名或密封。以上信息包含有关如何设置这些选项以及如何验证的示例工作流程。它们可以无中断地完成,建议在更新 Microsoft 更改之前进行设置。如果您当前正在使用 LDAP Start TLS 或 LDAPS,则无需对 vserver 配置进行任何更改。
问:我已经在我的 vservers 中使用了 LDAP StartTLS,我们是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
- 否。该要求仅适用于非 TLS\SSL 连接。
问:我已经在我的 vservers 中使用 LDAPS,我们是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
- 否。该要求仅适用于非 TLS\SSL 连接。LDAPS(LDAP over SSL)支持首先在 ONTAP 9.5 版本中推出。
问:我使用的是不受支持的 ONTAP 版本。我有哪些选择?
- 升级到支持的 ONTAP 版本
- 解决方法:请咨询 Microsoft 以删除安全设置以启用旧版客户端。
问:我使用 7 模式 ONTAP,是否需要进行任何更改?
- 本文仅适用于 ONTAP ( Clustered Data ONTAP )。但是,关于 ADV190023 将在 7mode 方面做出的 2 项更改:
- 更改 1:对于 LDAP 通道绑定支持,没有计划在 7 模式下实现此功能。(如果使用默认设置值 1(已启用),7 模式 ONTAP 也将继续与域控制器进行通信而不会受到影响。)
- 更改 2:LDAP 签名已自动启用,7 模式下无需更改 LDAP 服务器完整性(签名)设置。
问:在 Microsoft 更新后,我们希望将 LDAP 服务器完整性(签名)恢复为禁用,我们如何做到这一点?
- 上述信息记录了通过注册表禁用 LDAPServerIntegrity 的方法。此信息直接来自此 Microsoft 文章:LDAP 通道绑定和 LDAP 签名要求 - 2020 年 3 月更新最终版本
问:哪些 ONTAP 命令将受到影响?
- 以下命令使用 LDAP,并将因此更新而受到影响:(不是详尽的列表)
::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
问:Microsoft 声明将客户端设置为需要此 LDAP 签名...ONTAP 中的等效值是多少?是否需要将任何 Windows 客户端更改为仍然使用 ONTAP?
- 上述知识库中的设置和命令是您在 ONTAP 中设置这些值的方式。
问:我现在可以进行 LDAP 签名或密封更改而不影响 CIFS 操作吗?
- 使用以下命令将 ONTAP LDAP 客户端会话安全设置为"签名"或"密封":
::> vserver services name-service ldap client modify -session-security::> vserver cifs security modify -session-security-for-ad-ldap- 设置此选项应为无中断操作。
- 现有的 cifs\nfs 连接不会受到此更改的影响。已连接的会话被缓存,建立后不需要 LDAP。
- 在下一次 LDAP 绑定时,ONTAP 将使用签名或密封。期望设置选项应不会中断 LDAP 操作。
- 这些可以在需要签名的 LDAP 更改之前进行设置。
- 但是,与 LDAP 环境中任何潜在的全局安全更改一样,由于客户环境可能会有所不同,因此建议进行适当的测试和验证。
问:我可以从哪里获得有关这方面的更多信息,或者我可以阅读的其他来源,以帮助我更好地了解其影响?
- 我们的 NetApp TME 团队已就此发布了一篇博客文章,您可以在此处阅读:Microsoft、ONTAP 和 LDAP Channel Binding Apocalypse
- 订阅该文章以获取有关该主题的更新。
问:为了准备ADV190023并保持合规,我在 ONTAP中需要做的最小更改是什么?
- 如果在修补程序之后部署了预期的默认值,请使用以下命令将 ONTAP LDAP 客户端会话安全设置为"签名":
::> vserver services name-service ldap client modify -session-security sign
::> vserver cifs security modify -session-security-for-ad-ldap sign
- 根据您是将此设置为 CIFS 服务器还是 LDAP 客户端:
- 最低要求是签名。Sealing、LDAPS 和 StartTLS 都超过了最低要求,可能需要额外的配置步骤(即)自签名 CA 证书。
问:我的 vserver 的 -session-security 输出显示" – "或为空,这是什么意思?
- 破折号或空白默认值为:无。在某些情况下,自 pre 9 以来一直存在的 vservers,其中这些选项尚不存在,可能会显示为升级后的这些值。继续遵循此知识库中的建议,以符合补丁程序。
问:当使用 LDAP 密封时,LDAP 审计报告 我的 SVMs 的 eventide 2889s。
- 这是误报。ONTAP 符合 LDAP 签名和密封。
- session-security-for-ad-ldap 密封导致 ONTAP 被标记为 eventID 2889 LDAP 审核
- 1300585 使用 LDAP 密封时在 Windows 域控制器上生成的事件 ID 2889
- Microsoft 对此日志记录异常的解释
问:NetApp 对未来的 LDAP 签名和密封有什么建议?
- 建议使用 LDAP 签名。
问:我阅读了此 KB 中的所有链接,我仍然对 LDAPS、签名和密封、startTLS之间的区别感到困惑。
请阅读以下一些链接,以帮助解释差异:
LDAP 签名和密封(通过端口 389)ONTAP 9.0+
签名可使用密钥技术确认 LDAP 负载数据的完整性。密封功能对 LDAP 负载数据进行加密,避免以明文传输敏感信息。LDAP 安全级别选项指示是否需要对 LDAP 流量进行签名、签名和密封,或者两者都不需要。默认为无。(更多信息:LDAP 签名和密封概念以及NFS 指南)
需要自签名根 CA 证书
LDAP over TLS(通过端口 389)ONTAP 8.2.1+(更多信息:LDAP over TLS 概念)
LDAPS(通过端口 636)ONTAP 9.5+(更多信息:使用 LDAP)
问:如何确认正在使用 LDAP 签名或密封?
- 请联系 NetApp 技术支持以了解如何确认。
问:是否有一个图表可以帮助解释支持 LDAP 通道绑定之前的所有选项和预期行为?
- 是,请参阅下表,了解 LDAP 操作的预期行为:
| 标签 | 相应的 CIFS 安全选项 |
| 签名 | AD LDAP 会话安全标志 |
| 密封 | AD LDAP 会话安全 seal |
| StartTLS | use-start-tls-for-ad-ldap true |
| LDAPS | use-ldaps-for-ad-ldap true |
| LDAP 设置 | w/ 强制通道绑定 | 未强制通道绑定 |
| 默认设置,新 SVM | 成功 | 成功 |
| 仅限签名 | 成功 | 成功 |
| 仅限密封 | 成功 | 成功 |
| 仅 StartTLS | 出现故障 | 成功 |
| 仅限 LDAPS | 出现故障 | 成功 |
| 签名 + StartTLS | 出现故障 | 成功 |
| 签名 + LDAPS | 出现故障 | 成功 |
| 封装 + StartTLS | 出现故障 | 成功 |
| 密封 + LDAPS | 出现故障 | 成功 |
问:我正在阅读此文档是因为一个Active IQ系统风险检测。
- 对于已在其存储系统上启用 AutoSupport™ 的客户,Active IQ Portal 提供客户、站点和系统级别的详细系统风险报告。这些报告显示存在特定风险的系统、严重程度以及缓解措施计划。您可能会因为其中一个警报而阅读本文。如果在系统上的 CIFS 服务器或 LDAP 客户端配置上检测到不安全的 LDAP 配置,请完整阅读本文,了解有关如何缓解应用 ADV190023 导致的问题的最佳实践建议。