Microsoft安全建议:ADV190023对使用Microsoft Active Directory LDAP服务器运行cies\NFS的NetApp设备的影响
适用场景
- ONTAP 9
- CIFS
- NFS
- StartTLS
- LdAPS
问题解答
DV190023会对ONTAP产生什么影响?
以下是2项预期变更:
- 更改1:使用LdapEnforceChannelBinding注册表条目使基于SSL/TLS的LDAP身份验证更安全
- ‘D2:“主控制器:LDAP服务器签名要求”设置为“‘需要签名”
更改 1:使用 LdapEnforceChannelBinding注册表条目使基于SSL/TLS的LDAP身份验证更安全
- 此选项会影响基于TLS的LDAP或LdAPS连接。为此设置建议的Windows更新不应影响ONTAP身份验证。
- ONTAP在9.10.1及更高版本中支持LDAP通道绑定
会发生什么变化?
- LDAP通道绑定= 1(更新后)
AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
值:1表示启用(如果支持)。
DWORD值:0表示已禁用。不会执行通道绑定验证。这是所有尚未更新的服务器的行为。
DWORD值:1表示“启用”(如果支持)。在已更新为支持通道绑定令牌(CBT)的Windows版本上运行的所有客户端都必须向服务器提供通道绑定信息。
如果客户端运行的Windows版本尚未更新以支持CBT、则不必进行更新。
这是一个中间选项、可实现应用程序兼容性。DWORD值:2表示“已启用”,始终。所有客户端都必须提供通道绑定信息。服务器拒绝来自未执行此操作的客户端的身份验证请求。
警告: 在 实施对1136213的支持之前,不要对LdapEnforceChannelBinding使用强制DWORD值2。 |
如果使用(启用)默认设置值1、则ONTAP将继续与域控制器进行通信、而不会产生任何影响。
[在2020年3月10日MS更新之后、域控制器:应存在LDAP服务器通道绑定令牌要求组策略。]
注意: 如果手动设置DWORD值2(enabled,Always),则在启用了LAPS或TLS时,ONTAP将无法通过LDAP与域控制器通信。
为了 实现ONTAP兼容性、在实施对1136213的支持之前、请勿使用强制DWORD值2。
- 有关如何在Windows注册表中设置此值的详细信息,请访问此处。
- 如果设置了强制实施、则可能会出现如下知识库文章所述的问题:
‘D2:“主控制器:LDAP服务器签名要求”设置为“‘需要签名”
- 此选项将影响任何现有或新的CIFS服务器部署或使用Active Directory域控制器的LDAP客户端配置。
会发生什么变化?
- LDAP服务器完整性(签名)=默认启用(更新后)
- 有关详细信息以及如何通过链接中的GPO示例启用、请阅读以下Microsoft文章: 如何在Windows Server 2008中启用LDAP签名
LDAP服务器签名要求
此安全设置用于确定LDAP服务器是否需要与LDAP客户端协商签名、如下所示:
无:与服务器绑定不需要数据签名。如果客户端请求数据签名、则服务器支持该签名。
需要签名: 除非使用TLS/SSL、否则必须协商LDAP数据签名选项。
LDAP签名组策略 - 更改不需要停机
安装 ADV190023后 ,这两种设置(甚至“无”和“未定义”)都将强制要求签名。
仅将注册表值设置为0 (关)将禁用强制实施"需要签名"。
注意 (Microsoft不建议这样做):
这意味着、注册表中的值"0"表示"关闭"、这也意味着更新不会更改设置、也不会强制要求签名。
DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters --> LDAPServerIntegrity = 0
如何将ONTAP设置为对更改使用LDAP签名或签章2.
- 有关设置LDAP 签名或签章的信息、请参见以下知识库文章: How to set ONTAP to use LDAP signing or签章for CIFS /NFS
常见问题解答
问:我的问题描述具有本文中所述的步骤?我该怎么办?
- 有许多与NetApp无关的信息、以及在何处进行这些更改。这些 信息是从发布时的这些Microsoft相关链接中获取的,我们在本知识库中打印的信息可能已与之前注意到的内容发生了变化。查看以下链接、了解从非NetApp角度概述的步骤的准确性:
问:LDAP通道绑定值应在修补后设置为默认值1、是否必须在ONTAP中进行任何更改?
- 只要该值保持在1且未设置为2、则不需要LDAP通道令牌、ONTAP将继续与LDAP进行通信。
- 实施1136213后、ONTAP便可正式支持 LDAP 通道绑定令牌。
问:安装修补程序后、LDAP服务器完整性(签名)将设置为启用、是否必须在ONTAP中进行任何更改?
- 是。将CIFS服务器和/或LDAP客户端设置为使用LDAP签名或签章。上述信息包含有关如何设置这些选项以及如何验证的示例工作流。可以无系统地执行这些操作,建议在更新Microsoft更改之前进行设置。如果您当前正在使用LDAP Start TLS 或LBAPS、则无需更改 Vserver 配置。
问:我已在Svserver中使用LDAP StartTLS、是否必须在ONTAP中对LDAP服务器完整性(签名)进行任何更改?
- 不需要。该要求仅适用于非TLS/SSL连接。
问:我已在Svserver中使用LdAPS、是否必须在ONTAP中对LDAP服务器完整性(签名)进行任何更改?
- 不需要。该要求仅适用于非TLS/SSL连接。LdAPS (基于SSL的LDAP)支持首次在ONTAP 9 5版本中推出。
问:我使用的是不受支持的ONTAP版本。我有哪些选择?
- 升级 到受支持的ONTAP版本
- 临时解决策:咨询Microsoft以删除安全设置以启用旧客户端。
问:我使用的是7模式ONTAP、是否需要进行任何更改?
- 本文仅适用于ONTAP (集群模式Data ONTAP)。但是、对于 7模式、ADV190023将做出的2项更改:
- 更改1:对于LDAP通道绑定支持、没有计划为7模式实施此功能。(如果使用(启用)默认设置值1、则7模式ONTAP也将继续与域控制器通信、而不会产生任何影响。)
- 更改2: LDAP签名会自动 启用 、 不 需要 在7模式上更改LDAP 服务器完整性(签名) 设置。
问:在Microsoft更新之后、我们希望将LDAP服务器完整性(签名)还原为禁用状态、如何执行此操作?
- 上述信息记录了通过注册表禁用LDAPServerIntegrity的方法。此信息直接摘自以下Microsoft文章:LDAP Channel Binding and LDAP signing Requirements - 2020年3月更新最终版本
问:哪些ONTAP命令会受到影响?
- 类似以下命令使用LDAP,此更新将产生影响:(并非详尽列表)
::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
问:Microsoft表示要将客户端设置为此 LDAP 签名要求... ONTAP中的等效值是什么?是否需要将任何Windows客户端更改为仍使用ONTAP?
- 您可以通过上述知识库文章中的设置和命令在ONTAP中设置这些值。
问:是否可以 立即进行LDAP签名或签章更改、而不会影响CIFS操作?
- 使用以下命令将ONTAP LDAP客户端会话安全性设置为"sign"或"sign ":
::> vserver services name-service ldap client modify -session-security
::> vserver cifs security modify -session-security-for-ad-ldap
- 设置此选项应无中断运行。
- 现有的 CIFS \NFS 连接 不会受此更改的影响。已连接的会话会进行缓存、 一旦建立、就不需要LDAP。
- 在下一次 LDAP 绑定时、ONTAP将使用签名或签章。应确保设置选项不会对 LDAP 操作造成中断。
- 这些参数可以在 LDAP 更改之前进行设置、以便进行"需要签名"。
- 但是、与LDAP环境中任何潜在的全局安全性更改一样、建议进行适当的测试和验证、因为客户环境可能会有所不同。
问:我可以从哪里获得有关此问题的更多信息、或者从其他来源阅读以帮助我更好地了解其含义?
- 我们的 NetApp TME团队已就此发布了一篇博客文章、您可以在此处阅读: Microsoft、ONTAP和LDAP渠道绑定启示录
- 订阅此帖子可获取有关此主题的最新信息。
问: 在ONTAP中、为了准备ADV19723 并保持合规、我需要做的最小更改是什么?
- 如果 在安装修补程序后部署了预期的默认值、请使用以下命令将ONTAP LDAP客户端会话安全性设置为"ssign":
::> vserver services name-service ldap client modify -session-security sign
::> vserver cifs security modify -session-security-for-ad-ldap sign
- 根据您是 为 CIFS 服务器还是 LDAP 客户端设置此选项:
- 最低要求是签名。密封、LDEPS和 StartTLS 均超出 最低 要求 、并且可能需要执行其他配置步骤(即 自签名CA证书)。
问:Svserver的-sSession-security输出 显示 ‘ – ‘或为空, 这是什么意思?
- 短划线 或空白默认 为 值: none。在某些情况下、 自9之前版本起存在的Svserver如果 尚未存在这些选项、则在升级后可能会显示为这些值。请按照此知识库文章中的建议操作、以符合 此修补程序的要求。
问: 使用LDAP密封时, LDAP 审核报告 SVM的事件为2889s。
- 这是误报。ONTAP符合LDAP 签名和签章。
- sSession-secury-for -ad-LDAP 签章会导致ONTAP标记为 eventID 2889 LDAP 审核
- 使用LDAP密封时、Windows域控制器上生成了错误ID 2889
- Microsoft对此日志记录异常的解释
问:NetApp对LDAP签名和签章的未来建议是什么?
- 建议使用LDAP 签名。
问:我阅读了此知识库文章中的所有链接,但我仍然感到困惑, LBAS,签名和签章, StartTLS之间的区别 是什么。
阅读 下面的一些链接、帮助您解释这些差异:
ONTAP 9签名和签章(端口389) LDAP .0+
签名功能使用密钥技术确认LDAP有效负载数据的完整性。密封功能对 LDAP 负载数据进行加密,避免以明文传输敏感信息。LDAP安全级别选项用于指示LDAP流量是需要签名、签名和签章、还是两者都不需要。默认值为none。(更多信息: LDAP签名和签章概念 和 NFS指南)
需要 自签名根CA证书
基于TLS的LDAP (基于端口389) ONTAP 8.2.1+(更多信息: 基于TLS的LDAP概念)
LdAPS (通过端口636) ldap.5+ (更多信息: 使用ONTAP 9)
问:如何确认正在使用LDAP签名或签章?
- 请联系NetApp技术支持以进行确认。
问:在支持LDAP通道绑定之前、是否有一个图表可以帮助您说明所有选项和预期行为?
- 是的、请参见下面有关LDAP操作的预期行为的图表:
标签 | 相应的CIFS安全选项 |
签名 | Session-secury-for -ad-LDAP签名 |
密封 | Session-secury-for -ad-LDAP签章 |
StartTLS | use-start-tls-for -ad-LDAP true |
LdAPS | use-ldaps-for -ad-ldap true |
LDAP设置 | 已强制执行通道绑定 | 不强制执行通道绑定 |
默认设置、新SVM | 成功 | 成功 |
仅签名 | 成功 | 成功 |
仅密封 | 成功 | 成功 |
仅限StartTLS | 出现故障 | 成功 |
仅限LdAPS | 出现故障 | 成功 |
签名+ StartTLS | 出现故障 | 成功 |
签名+ LAPS | 出现故障 | 成功 |
密封+ StartTLS | 出现故障 | 成功 |
密封+ LAPS | 出现故障 | 成功 |
问:我之所以阅读本文档,是因为 Acive IQ 系统风险检测。
- 对于 ™在存储系统上启用了AutoSupport的客户、 Active IQ 门户可在客户、站点和系统级别提供详细的系统风险报告。这些报告显示具有特定风险的系统、严重性级别和缓解措施计划。您可能是由于其中一个警报而阅读本文的。如果 在 系统上的CIFS服务器或LDAP客户端配置上检测到不安全的LDAP配置、请完整阅读本文、了解有关如何缓解因应用 ADV19723而导致的问题的最佳实践建议。