Microsoft セキュリティアドバイザリ CVE-20-1472 で CIFS を実行しているネットアップアプライアンスに影響が及びます または、 NFS で Netlogon サーバを利用している
環境
- Data ONTAP 7-Mode
- ONTAP 9
回答
MicrosoftCVE-20-1472 がONTAP および Data ONTAP 7-Mode に与える影響
- 次のマイクロソフトの記事に基づいて、 KB はこれらのマイクロソフトセキュリティアドバイザリへの応答を網羅しています。
- マイクロソフトが
FullSecureChannelProtection
の強制を有効にすると、 NTLM 認証の ONTAP に予想される影響は次のとおりです
ONTAP ( clustered Data ONTAP 8 を含む)
Data ONTAP – clustered ONTAP 、 CDOT – ネットログオンでセキュアチャネルをサポート。 適用フェーズ後に ONTAP を変更する必要はありません
Data ONTAP 7-Mode
以下に記載する回避策を導入しないと、すべての CIFS / SMB に影響する可能性があります NTLM 認証を使用するクライアント認証 |
- 7-Mode では、固定リリース( 8.2.5P5 7-Mode )で Netlogon Secure Channel がサポートされます。
- 詳細については、 1343982 :『 Support Netlogon Secure Channel in 7-Mode 』の CVE-20-1472 を参照してください
- 対処方法 1 :8.2.5P5 にアップグレードすることを推奨します
- セキュアなサポートを可能にする新しいオプションが導入されました Netlogon ( cifs.netlogon.secure_channel.enable )
- このオプションは vFiler 内に限定されます。ドメイン認証に関係するすべての vFiler で有効にする必要があります
- 回避策 2:[1] マイクロソフトは、脆弱なネットログオンでセキュリティ保護された接続を GPO 経由で許可する回避策を用意しています
- これで問題が解決しない場合は、 Microsoft のサポートに連絡して、協力してください。
- 対処方法 1 :8.2.5P5 にアップグレードすることを推奨します
- 詳細については 、ネットアップテクニカルサポートにお問い合わせください
よくある質問
ONTAP では、どのようなサイプファーがサポートされているかという制約はありますか。
- ONTAP では、 DES と HMAC-MD5 がサポートされている(強力なキーが設定されている場合)
- ONTAP では、ONTAP 9.10.1以降のネットログオンセキュアチャネルで(HMAC-SHA256)がサポートされています
FullSecureChannelProtection が適用されたあとに、 ONTAP で変更が必要になりますか。
いいえ
FullSecureChannelProtection が適用されたあとの 7-Mode での対処方法を教えてください。
回避策: 1 。
アップグレード後は cifs.smb2.client.enable 、の設定に関係なく、セキュアな netlogon 通信では SMB2 を DC 通信に使用します |
- 修正プログラム へのアップグレードは 1343982 : 7-Mode での Netlogon Secure Channel のサポート( CVE-2020-1472 、 8.2.5P5 以降)で利用できます
- アップグレード後に新しいオプションを使用できるようになります(デフォルトは off )。このオプションを有効にします。
options cifs.netlogon.secure_channel.enable on
このオプションは vFiler 内に限定されます。これはで有効にする必要があります ドメイン認証に関連するすべての vFiler |
vfiler run <vfiler> options cifs.netlogon.secure_channel.enable on
- モードを切り替え(有効 / 無効)
cifs resetdc
vfiler run <vfiler> cifs resetdc
するには、 DC への現在の接続をすべて切断し、新しいモードで DC に再接続するコマンド( vfilers を使用している場合は run )を実行する必要があります。
上記の操作を実行できない場合は、回避策 2 を実行します |
回避策 2.
[2]「 Domain controller : Allow vulnerable Netlogon secure channel connections 」グループポリシーに、 7-Mode CIFS サーバのコンピュータアカウントを追加します。このポリシーは、「 CVE-20120-1472 に関連付けられている Netlogon のセキュアチャネル接続の変更を管理する方法」で説明しています
NTLM 認証に関する詳しい情報は、どこで入手できますか。
NTLM または Kerberos を使用している CIFS / SMB 接続があるかどうかを確認する方法
- ONTAP : 現在ログオンしているセッション
で使用されている認証メカニズムクライアントを指定するには、このコマンドを実行しますvserver cifs session show -fields auth-mechanism
詳細については、メインページを参照してください。 vserver cifs session show
- 7-Mode :対応するコマンドがありません。パケットキャプチャは、クライアント認証メカニズムを識別する唯一の方法です。
詳細については、 Data ONTAP 7-Mode で pktt を使用してネットワークトレースを収集する方法を参照してください
7-Mode で FullSecureChannelProtection が有効になっている場合、ストレージシステムのセキュリティ情報がドメインコントローラエラーと異なるのはなぜですか。
- 7-Mode システムでは、この
FullSecureChannelProtection set to 1,
エラーによって NTLM 認証が拒否された場合、次のように表示されます。
[fas02:auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.
- DC によって拒否された NetrLogonSamLogon コールからのアクセス拒否は、このエラーになります
- このエラーは誤解を招く可能性があり、このタイプの問題に対するトラブルシューティングをスローオフにする可能性がありますが、このシナリオではファイラーが同期していません。
- 上記
The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
のケースを確認するために、 7-Mode CIFS サーバのコンピュータアカウントの DC :でイベント ID 5827 が表示されます。 - このメッセージが 7-Mode システムに表示された場合は、前述の回避策問題の手順に従ってください。( Upgrade \enable option\resetdc - または -add computer account to GPO )