Microsoft 安全建议 CVE-2020-1472 对运行 CIFS 的 NetApp 设备的影响 或 NFS
适用场景
- Data ONTAP 7-模式
- ONTAP 9
问题解答
MicrosoftCVE-2020-1472 对ONTAP 和 Data ONTAP 7- 模式的影响
- 根据以下 Microsoft 文章,此知识库将介绍对这些 Microsoft 安全建议的响应:
- 一旦 Microsoft 启用了强制实施
FullSecureChannelProtection,以下内容将对 ONTAP 进行 NTLM 身份验证产生预期影响
ONTAP (包括集群模式 Data ONTAP 8 )
ONTAP (也称为集群模式 Data ONTAP , CDOT ) 支持网络登录安全通道 ,在实施阶段后,不需要对 ONTAP 进行任何更改
Data ONTAP 7-模式
| 如果未能部署下面所述的解决方法,则可能会影响任何 CIFS\SMB 利用 NTLM 身份验证的客户端身份验证 |
- 7- 模式在固定版本( 8.2.5P5 7- 模式)上支持 Netlogon 安全通道
- 查看 1343982 :为 CVE-2020-1472 在 7- 模式下支持 Netlogon 安全通道中的详细信息
- 解决方法 1 : NetApp 建议升级到 8.2.5P5
- 引入了一个新选项,用于支持安全 Netlogon ( cifs.netlogon.secure_channel.enable )
- 此选项的范围为 vFiler 。必须在涉及域身份验证的所有 vFiler 上启用此功能
- 临时解决策 2: Microsoft 提供了一个临时解决策 ,用于 通过 GPO 建立容易受到攻击的网络登录安全连接
- 如果不起作用,请联系 Microsoft 支持部门,以便我们可以与他们合作。
- 解决方法 1 : NetApp 建议升级到 8.2.5P5
- 有关详细信息,请联系 NetApp 技术支持
常见问题解答
ONTAP 是否对支持哪些 Cypher 有限制?
- ONTAP 支持 DES 和 HMAC-MD5 (设置了强密钥时)
- 在ONTAP 9.10.1+中、ONTAP 支持对网络登录安全通道使用AES (HMAC-SHA256)
强制实施 FullSecureChannelProtection 后,是否需要对 ONTAP 进行更改?
否
强制实施 FullSecureChannelProtection 后,可以为 7- 模式使用哪些解决方法?
解决方法: 1.
升级后 cifs.smb2.client.enable,无论的设置如何,安全网络登录通信都将使用 SMB2 进行 DC 通信 |
- 1343982 升级到修复程序: CVE-2020-1472 , 8.2.5P5+ 在 7- 模式下支持 Netlogon 安全通道
- 升级后,将提供一个新选项(默认为 off )。启用此选项:
options cifs.netlogon.secure_channel.enable on
| 此选项的范围为 vFiler - 必须在上启用 域身份验证涉及的所有 vFiler |
vfiler run <vfiler> options cifs.netlogon.secure_channel.enable on
- 在模式之间切换(已启用 / 已禁用)要求
cifs resetdcvfiler run <vfiler> cifs resetdc运行命令(如果使用 vFiler ,请运行)以断开当前与 DC 的任何连接,并在新模式下重新连接到 DC 。
| 如果无法执行上述操作,请按照解决方法 2 进行操作 |
解决方法 2
将 7- 模式 CIFS 服务器计算机帐户添加到 " 域控制器:允许容易受到攻击的 Netlogon 安全通道连接 " 组策略 中,如 How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 中所述
在哪里可以找到有关 NTLM 身份验证的详细信息?
如何确定 CIFS/SMB 连接使用的是 NTLM 还是 Kerberos ?
- ONTAP : 运行此命令以告知当前已登录会话中使用的身份验证机制客户端:
::: >vserver cifs session show -fields auth-mechanism
有关详细信息,请查看主页: vserver cifs session show
- 7- 模式:没有可用的等效命令。数据包捕获是识别客户端身份验证机制的唯一可用方法。
有关详细信息,请参见 如何在 Data ONTAP 7- 模式下使用 pktt 收集网络跟踪
在 7- 模式下,启用了 FullSecureChannelProtection 后,为什么我会发现存储器的安全信息与域控制器错误不同?
- 在 7- 模式系统上,如果由于
FullSecureChannelProtection set to 1,此错误而拒绝 NTLM 身份验证,则会显示:
[fas02:auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1. - DC 拒绝的 NetrLogonSamlogon 调用拒绝访问将导致此错误
- 此错误可能会产生误导,并可能引发此类问题的故障排除;但在这种情况下,存储器不会不同步。
- 要确认上述情况
The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.,需要同时为 7- 模式 CIFS 服务器计算机帐户提供 DC 上的 EventID 5827 。 - 如果您的 7- 模式系统显示此消息,请按照上述步骤执行临时解决策问题描述。( upgrade\enable opage\resetdc -or- 将计算机帐户添加到 GPO )