Windows Netlogon 协议中的加密协议漏洞导致NetApp存储CIFS认证失败

问题描述

微软正在努力为Windows 中的CVE-2022-38023 变化制定一个分阶段实施计划。截至2023 年4 月5 日，该计划如下（基于信息 KB5021130: 如何管理与 CVE-2022-38023 相关的 Netlogon 协议更改）。由于这个计划可能会进一步改变—请参考微软的文章以确认或更新。

2022 年 11 月 8 日 – 初始部署阶段

初始部署阶段始于 2022 年 11 月 8 日发布的更新，然后继续进行后续 Windows 更新，直到强制执行阶段。 2022 年 11 月 8 日或之后的 Windows 更新将通过在所有 Windows 客户端上强制执行 RPC 密封来解决 CVE-2022-38023 安全绕过漏洞。

默认情况下，设备将设置为兼容性模式。 如果 Netlogon 客户端运行的是 Windows，或者充当域控制器或信任帐户，Windows 域控制器将要求其使用 RPC 密封。

在此阶段，对基于ONTAP 的存储虚拟机（SVM）使用NTLM/Netlogon 认证没有影响。

2023 年 4 月 11 日 – 初始强制执行阶段

2023 年 4 月 11 日或之后发布的 Windows 更新将通过将值 0 设置为 RequireSeal 注册表子项来删除禁用 RPC 密封的功能。

在此阶段，对ONTAP 存储虚拟机（SVM）使用NTLM/Netlogon 认证没有影响。

2023 年 6 月 13 日 – 默认强制执行阶段

RequireSeal 注册表子项将迁移至强制模式，除非管理员明确将其配置为兼容性模式。 来自所有客户端，包括第三方（这包括使用NTLM/Netlogon 认证的基于ONTAP 的SVM）的易受攻击连接将被拒绝身份验证。关于如何配置“兼容模式“，请参见下面的“Workaround解决方法“部分。

在此阶段，在运行下面 “解决方案”部分中具有此增强功能的ONTAP版本之一（或更高版本）系统上的ONTAP SVM不会受到影响。

2023 年 7 月 11 日 – 强制执行阶段

2023 年 7 月 11 日发布的 Windows 更新将删除将值 1 设置为 RequireSeal 注册表子项的功能。 这将启用 CVE-2022-38023 的强制执行阶段。

在此阶段，在运行下面 “解决方案”部分中具有此增强功能的ONTAP版本之一（或更高版本）系统上的ONTAP SVM不会受到影响。

故障现象

一旦在Windows 域控制器上启用Netlogon RPC Sealing，当基于ONTAP 的SVM 试图通过Netlogon 传递NTLM 认证信息时，Windows 域控制器将返回” Access Denied”。

当这种情况发生时，ONTAP 将在EMS 事件日志中报告故障，如：

[c-alert type=”error”]
secd.cifsAuth.problem 和FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))
[/c-alert]

Windows 域控制器可能记录事件ID： 5838（下面的例子）

[c-alert type=”error”]
Log Name:      System
Source:        NETLOGON
Date:          2/22/2023 3:17:28 PM
Event ID:      5838
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      dc1.demo.netapp.local
Description:
The Netlogon service encountered a client using RPC signing instead of RPC sealing.
Machine SamAccountName: CIFSSERVERNAME
[/c-alert]

临时解决方法

在微软默认强制执行阶段之前或期间，创建

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

注册表键，并在所有的Windows 域控制器上将其值设置为1。

这将启用“兼容模式“。更多信息请参见如何管理与CVE-2022-38023 有关的Netlogon 协议变化。

在最后的微软强制执行阶段时，没有workaround解决方法。上述“兼容模式“注册表更改在最后强制执行阶段将不起作用，必须运行下面“解决方案”部分中具有此增强功能的ONTAP版本之一（或更高版本），基于域的Netlogon 认证才能使用。

最终解决办法

升级到具有此增强功能的ONTAP 版本，以支持微软要求使用Netlogon RPC sealing，详见CVE-2022-38023。

以下 ONTAP 版本中引入了此增强功能：

• 9.7P22 (published April 11, 2023)
  • Cloud Volumes ONTAP version here
• 9.8P18 (published April 19, 2023)
  • Cloud Volumes ONTAP version here
• 9.9.1P15 (published April 7, 2023)
  • Cloud Volumes ONTAP version here
• 9.10.1P12 (published April 25, 2023)
  • Cloud Volumes ONTAP version here
• 9.11.1P8 (published April 28, 2023)
  • Cloud Volumes ONTAP version here
• 9.12.1P2 (published April 10, 2023)
  • Cloud Volumes ONTAP version here
• 9.13.0P1 (Published April 12, 2023 as a Cloud Volumes ONTAP specific release)
• 9.13.1RC1 (published May 4, 2023)

附加信息

要确定CIFS 客户端使用的是哪种认证机制，请使用以下命令：

set diag
vserver cifs session show -vserver <vserver> -fields auth-mechanism,address,windows-user

[start-plane type=”3″]
任何具有NTLMv1 或NTLMv2 的授权机制的条目都容易受到影响。
[/start-plane]