CVE-2022-38023是否对ONTAP 9有任何影响？

最后更新
另存为PDF

Views:: 1,062

Visibility:: Public

Votes:: 1

Category:: ontap-9

Specialty:: nas

Last Updated:

适用场景

ONTAP 9
FSx
Cloud Volumes ONTAP (CVO)
SMB/CIFS
Netlogon (NTLM身份验证)
CVE-2022-38023 - Netlogon RPC特权提升漏洞

问题解答

为使用NTLMv1或NTLMv2进行域身份验证而配置的ONTAP功能、例如 CIFS、Vscan、RBAC、域通道等会受到影响：

 ::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed.

注意：如果Kerberos身份验证尝试失败，则默认回退为NTLM (NTLMv1或NTLMv2)。

影响：升级DC服务器修补程序 RFE 1514175后、使用NTLM的所有CIFS域身份验证都将失败
在 2023年6月13日- 安装Microsoft的CVE-2022-38023修补程序时的"默认强制实施"阶段之前、需要执行SU530所述的操作

这些阶段对ONTAP有何影响？

Microsoft阶段	发生了哪些变化	这对ONTAP 9有何影响？	我有哪些选择？
2023年7月-执行阶段	2023年7月11日发布的Windows更新将删除设置 QuiqureSeal:1的功能强制将QuiqureSeal设置为 2，将忽略注册表值的内容。	除非升级到固定版本的 RFE 1514175、否则所有NTLM身份验证都将失败请参见以下内容：设置了"RequieSeal"：2后ONTAP会受到什么影响	升级到固定版本的 RFE 1514175 确保客户端使用Kerberos身份验证将避免依赖Netlogon/NTLM域身份验证

Microsoft阶段

发生了哪些变化

这对ONTAP 9有何影响？

我有哪些选择？

2023年7月-执行阶段

2023年7月11日发布的Windows更新将删除设置 QuiqureSeal:1的功能

强制将QuiqureSeal设置为 2，将忽略注册表值的内容。

除非升级到固定版本的 RFE 1514175、否则所有NTLM身份验证都将失败
请参见以下内容： 设置了"RequieSeal"：2后ONTAP会受到什么影响

升级到固定版本的 RFE 1514175
确保客户端使用Kerberos身份验证将避免依赖Netlogon/NTLM域身份验证

设置了"RequieSeal"：1后的ONTAP影响：

域控制器可能会将以下事件ID 5838记录为警告

设置了"RequieSeal"：2后的ONTAP影响：

如果ONTAP 未修补，当SVM尝试NTLM身份验证时，修补后的域控制器将返回“拒绝访问”，从而导致请求失败
适用于secd.cifsAuth.problem的EMS系统日志翻译器、包括以下条目：

FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))

EMS还会在以下事件中指明无可用DC。

secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.

域控制器可能会将以下事件ID 5838记录为 错误。

Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME

追加信息

我们可以在域控制器上运行以下命令来检查事件ID 5838。

>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838

HOW TO：2023年6月13日之后在域控制器上应用CVE-2022-38023后出现的临时解决策影响。
如何在Windows域控制器上手动将Quiure签章配置为兼容模式。
CVE-2022-38023 NetApp上下文：
用于确定CIFS身份验证模式的有用命令：
ONTAP用户(RBAC)身份验证：
- security login show (netapp.com)
CIFS / SMB客户端身份验证：
- ONTAP如何处理SMB客户端身份验证(netapp.com)
- SMB客户端如何识别要使用的身份验证模式？
Kerberos：