AD-dsHeuristics

Diese ist eine Seite der Serie zu Windows Security Changes 2023 mit den Seiten RPC Sealing, PAC Signing mit Kerberos und Cert Logon Unsicherheit (KB5014754). Alle behandeln Sicherheitslücken, die durch ein Update nicht sofort geschlossen wurden, sondern erst nach vielen Monaten nach und nach durchgesetzt werden.

Auslöser

Microsoft hat im November 2021 das Update herausgebracht, welches entsprechende Objekte und Zugriffe im Eventlog protokolliert. Unter bestimmten Umständen kann ein Benutzer ein Computerobjekt anlegen und damit weitere Rechte erhalten.

Allerdings aktiviert das Update nur eine Protokollierung im Eventlog und aktiviert noch nicht eine starken Schutz. Sieh haben nun zwei Optionen darauf zu reagieren

  • Warten bis 9. Jan 2024
    Das ist der früheste Zeitpunkt, wann Microsoft laut KB5008383 das Enforcement aktiviert. Es kann aber auch noch später sein
  • Manuell vorziehen
    Sie können aber nach der Installation von KB5008383 ihre Eventlog auf entsprechende Meldungen kontrollieren und wenn diese eine frühere Aktivierung erlauben, die Durchsetzung manuell vorziehen.

Ich würde ihnen raten, das Eventlog zu kontrollieren und dann nicht auf die Aktivierung von Microsoft zu warten.

Wenn Sie selbst das sichere Verhalten früher erzwingen, sind sie zum einen erst einmal "sicherer" aber sie können den Zwang bei Problemen schnell wieder abschalten. Da mittlerweile aber wohl alle Firmen das Nov 2021 Update installiert haben sollten, schauen wir erst einmal ins Eventlog

Eventlog

Nach dem 9. Nov 2011 Update sollten alle Domain Controller im "Directory Eventlog" eventuell die folgenden Meldungen hinterlassen, wenn Dienste, Konten oder Programme die kritischen Berechtigungen nutzen. Die Meldungen unterscheiden sich je nach aktiviertem Mode.:

EventID Mode Text

3044

Enforce

The directory service denied an LDAP add request for the following object. The request was denied because the client did not have permission to write one or more attributes included in the add request, based on the default merged security descriptor.

2045

Enforce

 The directory service denied an LDAP add request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the add request but did not have explicit permission to write one or more parts of the new security descriptor, based on the default merged security descriptor.

3045

Enforce

The directory service denied an LDAP add request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the add request but did not have explicit permission to write one or more parts of the new security descriptor, based on the default merged security descriptor.

3046

Enforce

The directory service denied an LDAP modify request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the modify request but did not have explicit permission to write one or more parts of the new security descriptor, based on the object's existing security descriptor.

3047

Audit

 The directory service detected an LDAP add request for the following object that normally would have been blocked for the following security reasons.

3048

Audit

Text The directory service detected an LDAP add request for the following object that normally would have been blocked for the following security reasons.

3049

Audit

The directory service detected an LDAP modify request for the following object that normally would have been blocked for the following security reasons.

3050

Change

The directory has been configured to enforce per-attribute authorization during LDAP add operations.

3051

Change

The directory has been configured to not enforce per-attribute authorization during LDAP add operations. Warning events will be logged, but no requests will be blocked.

3052

Change

The directory has been configured to not enforce per-attribute authorization during LDAP add operations. No events will be logged, and no requests will be blocked.

3053

Change

The directory has been configured to block implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations.

3054

Change

The directory has been configured to allow implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations. Warning events will be logged, but no requests will be blocked.

3055

Change

The directory has been configured to allow implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations. No events will be logged, and no requests will be blocked.

3056

Audit

The directory service processed a query for the sdRightsEffective attribute on the object specified below. The returned access mask included WRITE_DAC, but only because the directory has been configured to allow implicit owner privileges which is not a secure setting.

Idealerweise finden sie keine solche Eventlogs. Sollten Sie aber Events finden, dann müssen Sie klären, welche Dienste, Konten und Programme an den Sicherheitseinstellungen von Computerobjekten etwas verändern und ob dies gewollt ist. Es kann ja durchaus sein, dass eine Software-Management-Lösung oder Identity-Verwaltung auch Computerkonten betreut und davon gebraucht macht. Dann sollten sie mit dem Hersteller besprechen, wie damit nach Aktvierung von KB5008383 umgegangen werden wird. Eventuell gibt es ein Update oder eine Anpassung. Im schlimmsten Fall muss das Dienstkonto zukünftig als DomainAdmin weiter arbeiten.

Steuerung

Sie müssen und sollten aber nicht auf das Update "Jan 2024" warten, bis Microsoft den Schutzlevel automatisch durchsetzt. Über eine Änderung des AD-Attribut "dSHeuristics" an folgendem AD-Objekt können Sie dies steuern.

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>"

Dies ist wieder ein numerischer Wert, an dem jede Stelle eine Bedeutung hat. Für KB5008383 sind folgende Stellen relevant:

Stelle Bedeutung

10/20 Stelle

    Schauen Sie sich den aktuellen Wert von dSHeuristics an.

  • 10-19 stellen lang
    Dann müssen Sie die 10te Stelle auf "1" setzen
  • 20+ stellen lang
    Dann müssen Sie die 20te Stelle auf "1" setzen

28

Additional AuthZ verifications for LDAP Add operations

  • 0=Audit Mode by Default enabled
    Zugriff von "nicht Domain Admins" auf den "securitydescriptor" auf Computerobjekte werden protokolliert
  • 1=Enforcemode
    Änderungen von Nicht DomainAdmins werden unterbunden
  • 2=Deaktiviert
    Der Schutz wird abgeschaltet

29

Temporary removal of Implicit Owner for LDAP Modify operations

  • 0=Audit Mode by Default enabled
    Zugriff von "nicht Domain Admins" auf den "securitydescriptor" auf Computerobjekte werden protokolliert
  • 1=Enforcemode
    Änderungen von Nicht DomainAdmins werden unterbunden
  • 2=Deaktiviert
    Der Schutz wird abgeschaltet

Die Konfiguration dieser Einstellung ist wirklich nicht sehr schön von Microsoft gelöst und fehleranfällig. Das Feld konfiguriert noch deutlich mehr Verhaltensweisen des Active Directory, so das Sie ganz genau abzählen sollten und sowohl den KB5008383-Artikel als auch die folgenden Links genau lesen sollten.

Ich habe extra kein Skript oder importierbare LDIF-Datei bereitgestellt.

Weitere Links