CVE-2022-38023对Data ONTAP 7-模式是否有任何影响
- Views:
- 334
- Visibility:
- Public
- Votes:
- 0
- Category:
- data-ontap-8
- Specialty:
- 7dot<a>CVE-2022-38023</a>
- Last Updated:
适用场景
- Data ONTAP 7-模式
- CVE-2022-38023
问题解答
可以。如果存储器(vFiler)尝试通过NETLOGON传递NTLM身份验证、则一旦设置了强制实施阶段、域控制器将返回"Access Denied"
有哪些可用的解决方法?
| 7-模式版本 | GPO | cifs.netlogon.secure_channel.enable |
|---|---|---|
| 8.2.5P3及更早版本 | 将7-模式计算机对象添加到GPO | 选项不可用、Netlogon未使用安全通道 |
| 8.2.5P4和8.2.5P5 | 将7-模式计算机对象添加到GPO | "options cifs.netlogon.secure_channel.enable off" |
- 向GPO中添加7-模式计算机对象:"域控制器:允许容易受到攻击的Netlogon安全通道连接"组策略对象(GPO)。
- 注意:对于ONTAP 7-模式、由于7-模式的支持有限、因此没有计划用于实施此新功能的修补程序。
- 注意:对于ONTAP 7-模式8.2.5P4或8.2.5P5版本、要使用GPO临时解决策 、 您必须运行options cifs.netlogon.secure_channel.enable off
- 通过禁用上述选项、您将还原7-模式以使用不安全且容易受到影响的Netlogon连接。这是NetApp看到的唯一一种与以前发布的GPO临时解决策 “域控制器:允许容易受到攻击的Netlogon安全通道连接”组策略对象GPO一起使用 的方法。
- 注意: 自2023年4月20日起、Microsoft KB5021130 不再将GPO作为强制实施的临时解决策 引用。截至2023年4月11日的修补程序、此临时解决策 仍适用于7-模式、但是、我们无法保证它在将来任何其他公开发布的修补程序中的有效性。
[1] 设置"RequireSeal:2"强制实施后(如果未设置上述解决方法)、CVE-2022-38023将对ONTAP 7-模式产生何种影响:
- 当filer (vFiler)尝试通过NETLOGON传递NTLM身份验证信息时、修补后的域控制器将返回"Access Denited"
- ONTAP 将报告以下EMS消息错误:(只有在启用了options cifs.trace_login on时才会显示此消息)
auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.
[2] 一旦设置了"RequieSeal:2"强制实施、ONTAP 7-模式将如何受到CVE-2022-38023的影响(如果上面的解决方法不再有效):
- 客户端必须确保在其环境中仅使用Kerberos身份验证。
- SMB客户端如何识别要使用的身份验证模式?
- CIFS Kerberos的ONTAP 要求
追加信息
-
- 另一个知识库提供了有关如何对此问题描述 进行故障排除的有用提示: Microsoft安全建议CVE-2020-1472对使用Netlogon服务器运行CIFS或NFS的NetApp设备的影响
- 运行 "options cifs.netlogon.secure_channel.enable off "后、 在模式(启用/禁用)之间切换需要
cifs resetdcvfiler run <vfiler> cifs resetdc运行命令(如果使用vFilers,则运行),以断开与DC的所有当前连接,并在新模式下重新连接到DC。