メインコンテンツまでスキップ

Microsoft セキュリティアドバイザリ CVE-20-1472 で CIFS を実行しているネットアップアプライアンスに影響が及びます または、 NFS で Netlogon サーバを利用している

Views:
3,575
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

環境

  • Data ONTAP 7-Mode
  • clustered Data ONTAP 8
  • ONTAP 9

回答

MicrosoftCVE-20-1472 がONTAP および Data ONTAP 7-Mode に与える影響
ONTAP ( clustered Data ONTAP 8 を含む)

Data ONTAP – clustered ONTAP 、 CDOT – ネットログオンでセキュアチャネルをサポート。 適用フェーズ後に ONTAP を変更する必要はありません

Data ONTAP 7-Mode
以下に記載する回避策を導入しないと、すべての CIFS / SMB に影響する可能性があります NTLM 認証を使用するクライアント認証
よくある質問
ONTAP では、どのようなサイプファーがサポートされているかという制約はありますか。
FullSecureChannelProtection が適用されたあとに、 ONTAP で変更が必要になりますか。

いいえ

FullSecureChannelProtection が適用されたあとの 7-Mode での対処方法を教えてください。

回避策: 1 。

アップグレード後は cifs.smb2.client.enable、の設定に関係なく、セキュアな netlogon 通信では SMB2 を DC 通信に使用します 
  1. 修正プログラム へのアップグレードは 1343982 : 7-Mode での Netlogon Secure Channel のサポート( CVE-2020-1472 、 8.2.5P5 以降)で利用できます
  2. アップグレード後に新しいオプションを使用できるようになります(デフォルトは off )。このオプションを有効にします。

options cifs.netlogon.secure_channel.enable on

このオプションは vFiler 内に限定されます。これはで有効にする必要があります ドメイン認証に関連するすべての vFiler

vfiler run <vfiler> options cifs.netlogon.secure_channel.enable on

  1. モードを切り替え(有効 / 無効) cifs resetdcvfiler run <vfiler> cifs resetdcするには、 DC への現在の接続をすべて切断し、新しいモードで DC に再接続するコマンド( vfilers を使用している場合は run )を実行する必要があります。
上記の操作を実行できない場合は、回避策 2 を実行します

回避策 2.

[3]「 Domain controller : Allow vulnerable Netlogon secure channel connections 」グループポリシーに、 7-Mode CIFS サーバのコンピュータアカウントを追加します。このポリシーは、「 CVE-20120-1472 に関連付けられている Netlogon のセキュアチャネル接続の変更を管理する方法」で説明しています

NTLM 認証に関する詳しい情報は、どこで入手できますか。

ONTAP による SMB クライアント認証の処理を参照してください

NTLM または Kerberos を使用している CIFS / SMB 接続があるかどうかを確認する方法
  • ONTAP : 現在ログオンしているセッション
    で使用されている認証メカニズムクライアントを指定するには、このコマンドを実行しますvserver cifs session show -fields auth-mechanism

詳細については、メインページを参照してください。 vserver cifs session show

  • 7-Mode :対応するコマンドがありません。パケットキャプチャは、クライアント認証メカニズムを識別する唯一の方法です。

詳細については、 Data ONTAP 7-Mode で pktt を使用してネットワークトレースを収集する方法を参照してください

7-Mode で FullSecureChannelProtection が有効になっている場合、ストレージシステムのセキュリティ情報がドメインコントローラエラーと異なるのはなぜですか。
  • 7-Mode システムでは、この FullSecureChannelProtection set to 1, エラーによって NTLM 認証が拒否された場合、次のように表示されます。
    [fas02:auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.
  • DC によって拒否された NetrLogonSamLogon コールからのアクセス拒否は、このエラーになります
  • このエラーは誤解を招く可能性があり、このタイプの問題に対するトラブルシューティングをスローオフにする可能性がありますが、このシナリオではファイラーが同期していません。
  • 上記
    The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account. のケースを確認するために、 7-Mode CIFS サーバのコンピュータアカウントの DC :でイベント ID 5827 が表示されます。
  • このメッセージが 7-Mode システムに表示された場合は、前述の回避策問題の手順に従ってください。( Upgrade \enable option\resetdc - または -add computer account to GPO )