CVE-2022-38023 对 ONTAP 9 是否有任何影响？

最后更新
另存为PDF

Views:: 1,173

Visibility:: Public

Votes:: 1

Category:: ontap-9

Specialty:: nas

Last Updated:

适用于

ONTAP 9
FSX
Cloud Volumes ONTAP (CVO)
SMB/CIFS
Netlogon（NTLM 认证）
CVE-2022-38023 - Netlogon RPC 提权漏洞

问题解答

为使用 NTLMv1 或 NTLMv2 进行域身份验证而配置的 ONTAP 功能（例如 CIFS、Vscan、RBAC、域隧道等）受到影响：

 ::> set advanced ::*> vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user node vserver session-id connection-id address auth-mechanism windows-user ------------ --------- -------------------- ------------- ------------ -------------- ------------ netapp-01a <vserver> 17134789207261194186 2550496605 10.62.125.88 NTLMv2 DEMO\user6 netapp-01b <vserver> 17134789207261194188 2550496606 10.216.29.42 Kerberos DEMO\Administrator 2 entries were displayed.

注：如果 Kerberos 身份验证尝试失败，则默认回退为 NTLM（NTLMv1 或 NTLMv2）。

影响：使用 NTLM 的所有 CIFS 域身份验证将在 DC 服务器修补程序升级后失败：[1]CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败
根据 SU530 的操作需要在 2023 年 6 月 13 日"默认执行"阶段之前完成，即安装 Microsoft 的 CVE-2022-38023 补丁时

这些阶段对 ONTAP 有何影响？

Microsoft 阶段	发生了什么变化	这对 ONTAP 9 有何影响？	我有哪些选择？
2023 年 7 月 - 执行阶段	2023 年 7 月 11 日发布的 Windows 更新将删除设置 RequireSeal:1 RequireSeal 被强制设置为 2，将忽略注册表值的内容。	除非升级到固定版本的 CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败请参阅以下内容：设置 RequireSeal:2 后 ONTAP 如何受到影响	升级到固定版本的 CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败确保客户端利用 Kerberos 身份验证将避免依赖 Netlogon/NTLM 域身份验证

Microsoft 阶段

发生了什么变化

这对 ONTAP 9 有何影响？

我有哪些选择？

2023 年 7 月 - 执行阶段

2023 年 7 月 11 日发布的 Windows 更新将删除设置 RequireSeal:1

RequireSeal 被强制设置为 2，将忽略注册表值的内容。

除非升级到固定版本的 CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败
请参阅以下内容： 设置 RequireSeal:2 后 ONTAP 如何受到影响

升级到固定版本的 CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败
确保客户端利用 Kerberos 身份验证将避免依赖 Netlogon/NTLM 域身份验证

一旦设置 RequireSeal:1 后对 ONTAP 的影响：

CONTAP-80033：由于实施 Netlogon RPC 密封，NTLM 身份验证失败
域控制器可能会将以下事件 ID 5838 记录为警告

一旦设置 RequireSeal:2 后对 ONTAP 的影响：

如果 ONTAP 未修补，当 SVM 尝试 NTLM 身份验证时，修补的域控制器将返回 Access Denied，导致请求失败
EMS Syslog Translator for secd.cifsAuth.problem 包括条目：

FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))

EMS 还指示以下事件，以指示无可用 DC。

secd.netlogon.noServers: None of the Netlogon servers configured for Vserver (vs1) are currently accessible via the network.

域控制器可能会将以下事件 ID 5838 记录为错误。

Log Name: System Source: NETLOGON Date: 2/22/2023 3:17:28 PM Event ID: 5838 Task Category: None Level: Error Keywords: Classic User: N/A Computer: dc1.demo.netapp.local Description: The Netlogon service encountered a client using RPC signing instead of RPC sealing. Machine SamAccountName: CIFSSERVERNAME

追加信息

我们可以在域控制器上运行以下命令以检查事件 ID 5838。

>Get-WinEvent -LogName "System" | Where-Object -Property Id -eq 5838

如何解决 2023 年 6 月 13 日后在域控制器上应用 CVE-2022-38023 后的影响。
如何在 Windows 域控制器上手动配置 RequireSeal 为兼容模式。
CVE-2022-38023 NetApp 上下文：
用于识别 CIFS 身份验证样式的有用命令：
ONTAP 用户（RBAC）身份验证：
- security login show (netapp.com/cn)
CIFS/SMB 客户端身份验证：
- ONTAP 如何处理 SMB 客户端身份验证（netapp.com/cn）
- SMB 客户端如何识别要使用的身份验证样式？
Kerberos：