4
Nacharbeiten nach Patch für Domänencontroller erforderlich
Falls es jemand noch nicht mitbekommen haben sollte: seit etwa 2 Wochen gilt mal wieder "Alarmstufe rot" für Windows AD.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.
Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!
Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen
[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.
Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
In addition to installing the updates for CVE-2017-8563 are there any further steps I need to carry out to be protected from this CVE?
Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Und auch in letzterem Link steht dann wieder einiges im Kleingedruckten, das fatale Auswirkungen haben kann, wenn man es nicht Ernst nimmt:Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Notes
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.
Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!
Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen
:: win8.1/server2012R2
ver |findstr /C:"6.3.9600" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025333~31bf3856ad364e35~amd64~~6.3.1.6" /v CurrentState |findstr 0x70 && goto end
:: server2012
ver | findstr /C:"6.2.9200" && reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ApplicabilityEvaluationCache\Package_for_KB4025343~31bf3856ad364e35~amd64~~6.2.1.3" /v CurrentState |findstr 0x70 && goto end
:: win7/server2008R2
ver | findstr /C:"6.1.7601" && wmic qfe get Hotfixid | findstr "4025341 4025337" && goto end
:: win10v1607/server2016
ver | findstr /C:"10.0.14393" && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x5c8 0x5fc 0x639" && goto end
:: win10v1703
ver | findstr 15063 && reg query "HKLM\software\microsoft\windows nt\currentversion" |findstr "0x1e3 0x1f6 0x21c" && goto end
:: Server2008
ver | findstr /C:"6.0.6002" && wmic qfe get Hotfixid | findstr 4025409 && goto end
echo %date%>\\Someserver\logging$\!NichtUp2date\%computername%.txt
:end[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 344647
Url: https://administrator.de/contentid/344647
Printed on: April 24, 2024 at 13:04 o'clock
4 Comments
Latest comment
Herzlichen Dank für diesen Hinweis!
Edit: Skript beigefügt, welches auf allen Systemen nachschaut, ob der Patch drauf ist und neugestartet wurde.
Edit2: Skript angepasst, so dass es den letzten Patch von dieser Woche auch erkennt.
Und nochmal das Skript angepasst, um auch das gestrige CU zu erkennen.
