Microsoft 安全通报: ADV 190023 利用 Microsoft Active Directory LDAP 服务器对运行 CIFS\NFS 的 NetApp 设备的影响
不可不使用
适用场景
- ONTAP 9
- CIFS
- NFS
- StartTLS
- LDAPS
问题解答
ADV 190023 对 ONTAP 有何影响?
以下是两项预期更改:
- 更改 1 :使用 LDAPEnforcecHannelBinding 注册表项可以更安全地对 SSL/TLS 进行 LDAP 身份验证
- 更改 2 :“域控制器: LDAP 服务器签名要求”设置为“需要签名”
更改 1:使用 LdapEnforceChannelBinding注册表条目使基于SSL/TLS的LDAP身份验证更安全
- 此选项影响 TLS 或 LDAPS 连接上的 LDAP 。此设置的 Windows 更新建议不会对 ONTAP 身份验证产生影响。
- 有关基于 TLS 的 LDAP 概念的更多信息、 ONTAP 是否支持 LDAPS 的端口 636 (基于 SSL 的 LDAP )
- ONTAP 在 9.10.1 及更高版本中支持 LDAP 通道绑定
会发生什么变化?
- LDAP 通道绑定 =1 (更新后)
AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
值: 1 表示支持时已启用。
-
双字节值: 0 表示已禁用。不执行通道绑定验证。这是所有尚未更新的服务器的行为。
-
双字节值: 1 表示启用(如果支持)。所有在已更新为支持通道绑定令牌 (CBT) 的 Windows 版本上运行的客户端都必须向服务器提供通道绑定信息。
运行 Windows 版本但尚未更新以支持 CBT 的客户端不必这样做。
这是一个中间选项,可实现应用程序兼容性。 -
双字节值: 2 表示启用、始终。所有客户端都必须提供通道绑定信息。服务器拒绝来自未执行此操作的客户端的身份验证请求。
|
警告: 在 [1]实施对1136213的支持之前,不要对LdapEnforceChannelBinding使用强制DWORD值2。 |
如果使用(启用)默认设置值1、则ONTAP将继续与域控制器进行通信、而不会产生任何影响。
[ 在 2020 年 3 月 10 日之后, MS 更新,域控制器:应存在 LDAP 服务器通道绑定令牌要求组策略。 ]
注:手动设置双字节值 2 (启用、始终)将阻止 ONTAP 在启用 LDAPS 或 TLS 时通过 LDAP 与域控制器进行通信。
对于 ONTAP 兼容性、在[2]实施对 1136213 的支持之前不要使用 Enforce DWORD Value 2 。
- 有关在 Windows 注册表中设置此值的位置的详细信息,请访问此处。
- 如果设置了强制实施,则可能会出现如下知识库中所述的问题:
更改 2 :“域控制器: LDAP 服务器签名要求”设置为“需要签名”
- 此选项将影响使用 Active Directory 域控制器的任何现有或新 CIFS 服务器部署或 LDAP 客户端配置。
会发生什么变化?
- LDAP 服务器完整性(签名) = 默认情况下启用(更新后)
- 有关详细信息以及如何通过链接中的 GPO 示例启用的信息、请阅读以下 Microsoft 文章: How to Enable LDAP Signing in Windows Server 2008 (如何在 Windows Server 2008 中启用 LDAP 签名)
LDAP 服务器签名要求
此安全设置确定 LDAP 服务器是否需要与 LDAP 客户端协商签名,如下所示:
-
无:与服务器绑定时不需要数据签名。如果客户端请求数据签名,则服务器支持该签名。
-
要求签名:除非使用 TLS\SSL 、否则必须协商 LDAP 数据签名选项。
LDAP 签名组策略—更改不需要停机
安装 Adv 190023 后,两个设置(即使没有或未定义)都将强制要求签名。
只有将注册表值设置为 0 (关)才会禁用对要求签名的强制执行。
注意( Microsoft 不建议这样做):
这意味着注册表中的值 "0" 表示 "OFF" ,这也意味着更新不会更改设置、也不会强制要求签名。
DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters --> LDAPServerIntegrity = 0
如何将 ONTAP 设置为使用 LDAP 签名或更改的密封 2
- 有关设置 LDAP 签名或签章的信息,请参见以下知识库文章: How to set ONTAP to use LDAP signing or sealing for CIFS/NFS
常见问题解答
问:我遇到了与本文中记录的步骤相关的问题?我该怎么办?
- 有许多与 NetApp 无关的信息以及进行这些更改的位置。这些信息是从发布时从这些 Microsoft 相关链接中获取的、我们在此知识库中打印的信息可能会随着前面提到的内容而发生变化。查看这些链接,了解从非 NetApp 角度概述的步骤的准确性:
问: LDAP 通道绑定值应设置为默认值 1 修补后,是否必须在 ONTAP 中进行任何更改?
- 只要值保持在 1 且未设置为 2 、则不需要 LDAP 通道令牌、 ONTAP 将继续与 LDAP 通信。
- [3]实施 1136213 后、 ONTAP 可以正式支持 LDAP 通道绑定令牌。
问: LDAP 服务器完整性(签名)将设置为已启用修补程序后,是否需要在 ONTAP 中进行任何更改?
- 是的。 .将 CIFS 服务器和 \ 或 LDAP 客户机设置为使用 LDAP 签名或签章。上面的信息包含如何设置这些选项以及如何验证的样例工作流。它们可以无中断地执行、建议在更新 Microsoft 更改之前进行设置。如果您当前正在使用 LDAP Start TLS 或 LDAPS ,则无需对 SVM 配置进行任何更改。
问:我已在 SVM 中使用 LDAP StartTLS ,是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
- 目标卷该要求仅适用于非 TLS\SSL 连接。
问:我已在 SVM 中使用 LDAPS ,是否必须在 ONTAP 中对 LDAP 服务器完整性(签名)进行任何更改?
- 目标卷该要求仅适用于非 TLS\SSL 连接。ONTAP 9.5 发行版首次引入了 LDAPS ( LDAP over SSL )支持。
问:我使用的是不受支持的 ONTAP 版本。我有哪些选择?
- 查看本文档: Data ONTAP 8 不支持 LDAP 签名,并与 Microsoft 合作删除安全设置以启用传统客户端。
- 还需要考虑升级到支持的 ONTAP 版本的重要事项。
问:我使用的是 7mode ONTAP ,是否需要进行任何更改?
- 本文仅适用于 ONTAP (集群模式 Data ONTAP )。但是,对于 2 个更改、 ADV 190023 将会按照 7 模式进行更改:
- 更改 1 :对于 LDAP 通道绑定支持、没有计划在 7 模式下实现此功能。(如果使用(启用)值 1 的默认设置、 7 模式 ONTAP 也将继续与域控制器进行通信而不会产生影响。)
- 更改 2 :自动启用 LDAP 签名、并且 LDAP 服务器完整性(签名)设置的 7 模式不需要更改。
问:在 Microsoft 更新后,我们希望将 LDAP 服务器完整性(签名)还原为禁用状态,如何执行此操作?
- 以上信息介绍了通过注册表禁用 LDAPServerIntegrity 的方法。此信息直接摘自以下 Microsoft 文章: LDAP Channel Binding and LDAP Signing requirements - March 2020 Update Final Release
问:哪些 ONTAP 命令会受到影响?
- 以下命令使用 LDAP ,并会因此更新而受到影响:(并非详尽列表)
::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
问: Microsoft 声明要将客户端设置为此需要 LDAP 签名 ... ONTAP 中的等效值是多少?是否需要将任何 Windows 客户端更改为仍然使用 ONTAP ?
- 以上 KB 中的设置和命令是您在 ONTAP 中设置这些值的方式。
问:现在是否可以更改 LDAP 符号或签章,而不会影响 CIFS 操作?
- 使用以下命令将 ONTAP LDAP 客户端会话安全性设置为“签名”或“签章”:
::> vserver services name-service ldap client modify -session-security::> vserver cifs security modify -session-security-for-ad-ldap- 设置此选项应是无中断操作。
- 此更改不会影响现有 CIFS\NFS 连接。连接的会话将被缓存,一旦建立,就不需要 LDAP 。
- 在下一个 LDAP 绑定上、 ONTAP 将使用签名或密封。预期设置选项应不会中断 LDAP 操作。
- 这些功能可以在 LDAP 更改要求签名之前进行设置。
- 但是,与 LDAP 环境中任何潜在的全局安全更改一样、建议进行适当的测试和验证、因为客户环境可能会有所不同。
问:我可以从何处获取有关此问题的更多信息,或者阅读其他来源,帮助我更好地了解其含义?
- 我们的 NetApp TME 团队就此发布了博客文章、您可以在此处阅读: Microsoft 、 ONTAP 和 LDAP 通道绑定( Apocalypse )
- 订阅该帖子以获取有关该主题的更新。
问:在 ONTAP 中,要为 ADV 190023 做准备并保持合规性,我需要做的最小更改是什么?
- 如果在修补后部署了预期默认值、请使用以下命令将 ONTAP LDAP 客户端会话安全性设置为“签名”:
::> vserver services name-service ldap client modify -session-security sign
::> vserver cifs security modify -session-security-for-ad-ldap sign
- 根据您是为 CIFS 服务器还是 LDAP 客户机设置此选项:
- 最低要求是签名。密封、 LDAPS 和 StartTLS 均超出最低要求、可能需要额外的配置步骤(即自签名 CA 证书)。
问: SVM 的 -session-security 输出显示‘–‘或为空,这是什么意思?
- 破折号或空白默认值为“无”。在某些情况下、自 9 之前(其中尚未存在这些选项)以来已存在的 vServers 可能会在升级后显示为这些值。请继续按照知识库中的建议操作、以符合修补程序的要求。
问:使用 LDAP 密封时, LDAP 审核会报告 SVM 的设备 2889 。
- 这是错误的肯定。ONTAP 符合 LDAP 签名和签章。
- session-security-for -ad-ldap seal 导致 ONTAP 被标记为 EVID2889 LDAP 审核
- 1300585 使用 LDAP 密封时在 Windows 域控制器上生成事件 ID 2889
- Microsoft 对此日志记录异常的说明
问: NetApp 今后对 LDAP 签名和签章的建议是什么?
- 建议使用 LDAP 签名。
问:我阅读了本知识库中的所有链接,但仍不清楚 LDAPS ,签名和签章, StartTLS 之间的区别是什么。
阅读以下链接以帮助解释差异:
-
LDAP 签名和密封(通过端口 389 ) ONTAP 9.0+
-
签名使用密钥技术确认 LDAP 有效负载数据的完整性。密封功能对 LDAP 负载数据进行加密,避免以明文传输敏感信息。LDAP 安全级别选项指示是否需要对 LDAP 流量进行签名、签名和密封,或者两者都不需要。默认值为无。(更多信息: LDAP SI GNING 和密封概念与 NFS 指南)
-
-
需要自签名根 CA 证书
-
基于 TLS 的 LDAP (通过端口 389 ) ONTAP 8.2.1+ (更多信息:基于 TLS 的 LDAP 概念)
-
LDAPS (通过端口 636 ) ONTAP 9.5+ (更多信息:使用 LDAP )
-
问:如何确认正在使用 LDAP 签名或签章?
- 请联系 NetApp 技术支持以了解如何确认。
问:在支持 LDAP 通道绑定之前,是否有一个图表有助于说明所有选项和预期行为?
- 是,请参见下面的图表,了解 LDAP 操作的预期行为:
| 标签 | 相应的 CIFS 安全选项 |
| 签名 | session-security-for-ad-ldap 符号 |
| 密封 | session-security-for-ad-ldap seal |
| StartTLS | use-start-tls-for-ad-ldap true |
| LDAPS | use-ldaps for-ad-ldap true |
| LDAP 设置 | 已强制执行通道绑定 | 不强制执行通道绑定 |
| 默认设置,新 SVM | 成功 | 成功 |
| 仅签名 | 成功 | 成功 |
| 仅密封 | 成功 | 成功 |
| 仅 StartTLS | 出现故障 | 成功 |
| 仅 LDAPS | 出现故障 | 成功 |
| 签名 + StartTLS | 出现故障 | 成功 |
| 签名 + LDAPS | 出现故障 | 成功 |
| 密封 + StartTLS | 出现故障 | 成功 |
| 密封 + LDAPS | 出现故障 | 成功 |
问:我之所以阅读本文档,是因为有一个 Active IQ 系统风险检测。
- ™对于在其存储系统上启用 AutoSupport 的客户、 Active IQ 门户可在客户、站点和系统级别提供详细的系统风险报告。这些报告显示了具有特定风险的系统、以及严重性级别和缓解措施计划您可能是因为其中一个警报而阅读本文的。如果在系统上的 CIFS 服务器或 LDAP 客户端配置上检测到不安全的 LDAP 配置,请阅读本文全文,了解有关如何缓解应用 ADV1900 引起的问题的最佳实践建议。