メインコンテンツまでスキップ

Microsoft セキュリティアドバイザリ CVE-20-1472 で CIFS を実行しているネットアップアプライアンスに影響が及びます または、 NFS で Netlogon サーバを利用している

Views:
5,850
Visibility:
Public
Votes:
2
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • Data ONTAP 7-Mode
  • ONTAP 9

回答

MicrosoftCVE-20-1472 がONTAP および Data ONTAP 7-Mode に与える影響
ONTAP ( clustered Data ONTAP 8 を含む)

Data ONTAP – clustered ONTAP 、 CDOT – ネットログオンでセキュアチャネルをサポート。 適用フェーズ後に ONTAP を変更する必要はありません

Data ONTAP 7-Mode
以下に記載する回避策を導入しないと、すべての CIFS / SMB に影響する可能性があります NTLM 認証を使用するクライアント認証
よくある質問
ONTAP では、どのようなサイプファーがサポートされているかという制約はありますか。
FullSecureChannelProtection が適用されたあとに、 ONTAP で変更が必要になりますか。

いいえ

FullSecureChannelProtection が適用されたあとの 7-Mode での対処方法を教えてください。

回避策: 1 。

アップグレード後は cifs.smb2.client.enable、の設定に関係なく、セキュアな netlogon 通信では SMB2 を DC 通信に使用します 
  1. 修正プログラム へのアップグレードは 1343982 : 7-Mode での Netlogon Secure Channel のサポート( CVE-2020-1472 、 8.2.5P5 以降)で利用できます
  2. アップグレード後に新しいオプションを使用できるようになります(デフォルトは off )。このオプションを有効にします。

options cifs.netlogon.secure_channel.enable on

このオプションは vFiler 内に限定されます。これはで有効にする必要があります ドメイン認証に関連するすべての vFiler

vfiler run <vfiler> options cifs.netlogon.secure_channel.enable on

  1. モードを切り替え(有効 / 無効) cifs resetdcvfiler run <vfiler> cifs resetdcするには、 DC への現在の接続をすべて切断し、新しいモードで DC に再接続するコマンド( vfilers を使用している場合は run )を実行する必要があります。
上記の操作を実行できない場合は、回避策 2 を実行します

回避策 2.

[2]「 Domain controller : Allow vulnerable Netlogon secure channel connections 」グループポリシーに、 7-Mode CIFS サーバのコンピュータアカウントを追加します。このポリシーは、「 CVE-20120-1472 に関連付けられている Netlogon のセキュアチャネル接続の変更を管理する方法」で説明しています

NTLM 認証に関する詳しい情報は、どこで入手できますか。

ONTAP による SMB クライアント認証の処理を参照してください

NTLM または Kerberos を使用している CIFS / SMB 接続があるかどうかを確認する方法
  • ONTAP : 現在ログオンしているセッション
    で使用されている認証メカニズムクライアントを指定するには、このコマンドを実行しますvserver cifs session show -fields auth-mechanism

詳細については、メインページを参照してください。 vserver cifs session show

  • 7-Mode :対応するコマンドがありません。パケットキャプチャは、クライアント認証メカニズムを識別する唯一の方法です。

詳細については、 Data ONTAP 7-Mode で pktt を使用してネットワークトレースを収集する方法を参照してください

7-Mode で FullSecureChannelProtection が有効になっている場合、ストレージシステムのセキュリティ情報がドメインコントローラエラーと異なるのはなぜですか。
  • 7-Mode システムでは、この FullSecureChannelProtection set to 1, エラーによって NTLM 認証が拒否された場合、次のように表示されます。
    [fas02:auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.
  • DC によって拒否された NetrLogonSamLogon コールからのアクセス拒否は、このエラーになります
  • このエラーは誤解を招く可能性があり、このタイプの問題に対するトラブルシューティングをスローオフにする可能性がありますが、このシナリオではファイラーが同期していません。
  • 上記
    The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account. のケースを確認するために、 7-Mode CIFS サーバのコンピュータアカウントの DC :でイベント ID 5827 が表示されます。
  • このメッセージが 7-Mode システムに表示された場合は、前述の回避策問題の手順に従ってください。( Upgrade \enable option\resetdc - または -add computer account to GPO )

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.