跳转到主内容

Microsoft 安全建议 CVE-2020-1472 对运行 CIFS 的 NetApp 设备的影响 或 NFS

Views:
1,365
Visibility:
Public
Votes:
4
Category:
ontap-9
Specialty:
nas
Last Updated:

适用场景

  • Data ONTAP 7-模式
  • ONTAP 9

问题解答

MicrosoftCVE-2020-1472 对ONTAP 和 Data ONTAP 7- 模式的影响
ONTAP (包括集群模式 Data ONTAP 8 )

ONTAP (也称为集群模式 Data ONTAP , CDOT ) 支持网络登录安全通道 ,在实施阶段后,不需要对 ONTAP 进行任何更改

Data ONTAP 7-模式
如果未能部署下面所述的解决方法,则可能会影响任何 CIFS\SMB 利用 NTLM 身份验证的客户端身份验证
  • 7- 模式在固定版本( 8.2.5P5 7- 模式)上支持 Netlogon 安全通道
  • 查看 1343982 :为 CVE-2020-1472 在 7- 模式下支持 Netlogon 安全通道中的详细信息
    • 解决方法 1 : NetApp 建议升级到 8.2.5P5
      • 引入了一个新选项,用于支持安全 Netlogon ( cifs.netlogon.secure_channel.enable )
      • 此选项的范围为 vFiler 。必须在涉及域身份验证的所有 vFiler 上启用此功能
    • 临时解决策 2: Microsoft 提供了一个临时解决策 ,用于 通过 GPO 建立容易受到攻击的网络登录安全连接
      • 如果不起作用,请联系 Microsoft 支持部门,以便我们可以与他们合作。
  • 有关详细信息,请联系 NetApp 技术支持
常见问题解答
ONTAP 是否对支持哪些 Cypher 有限制?
强制实施 FullSecureChannelProtection 后,是否需要对 ONTAP 进行更改?

强制实施 FullSecureChannelProtection 后,可以为 7- 模式使用哪些解决方法?

解决方法: 1.

升级后 cifs.smb2.client.enable,无论的设置如何,安全网络登录通信都将使用 SMB2 进行 DC 通信 
  1. 1343982 升级到修复程序: CVE-2020-1472 , 8.2.5P5+ 在 7- 模式下支持 Netlogon 安全通道
  2. 升级后,将提供一个新选项(默认为 off )。启用此选项:

options cifs.netlogon.secure_channel.enable on

此选项的范围为 vFiler - 必须在上启用 域身份验证涉及的所有 vFiler

vfiler run <vfiler> options cifs.netlogon.secure_channel.enable on

  1. 在模式之间切换(已启用 / 已禁用)要求 cifs resetdcvfiler run <vfiler> cifs resetdc运行命令(如果使用 vFiler ,请运行)以断开当前与 DC 的任何连接,并在新模式下重新连接到 DC 。
如果无法执行上述操作,请按照解决方法 2 进行操作

解决方法 2

将 7- 模式 CIFS 服务器计算机帐户添加到 " 域控制器:允许容易受到攻击的 Netlogon 安全通道连接 " 组策略 中,如 How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 中所述

在哪里可以找到有关 NTLM 身份验证的详细信息?

请参见 ONTAP 如何处理 SMB 客户端身份验证

如何确定 CIFS/SMB 连接使用的是 NTLM 还是 Kerberos ?
  • ONTAP : 运行此命令以告知当前已登录会话中使用的身份验证机制客户端:
    ::: >vserver cifs session show -fields auth-mechanism

有关详细信息,请查看主页: vserver cifs session show

  • 7- 模式:没有可用的等效命令。数据包捕获是识别客户端身份验证机制的唯一可用方法。

有关详细信息,请参见 如何在 Data ONTAP 7- 模式下使用 pktt 收集网络跟踪

在 7- 模式下,启用了 FullSecureChannelProtection 后,为什么我会发现存储器的安全信息与域控制器错误不同?
  • 在 7- 模式系统上,如果由于 FullSecureChannelProtection set to 1, 此错误而拒绝 NTLM 身份验证,则会显示:
    [fas02:auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.
  • DC 拒绝的 NetrLogonSamlogon 调用拒绝访问将导致此错误
  • 此错误可能会产生误导,并可能引发此类问题的故障排除;但在这种情况下,存储器不会不同步。
  • 要确认上述情况
    The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account. ,需要同时为 7- 模式 CIFS 服务器计算机帐户提供 DC 上的 EventID 5827 。
  • 如果您的 7- 模式系统显示此消息,请按照上述步骤执行临时解决策问题描述。( upgrade\enable opage\resetdc -or- 将计算机帐户添加到 GPO )

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.