AD-dsHeuristics
Diese ist eine Seite der Serie zu Windows Security Changes 2023 mit den Seiten RPC Sealing, PAC Signing mit Kerberos und Cert Logon Unsicherheit (KB5014754). Alle behandeln Sicherheitslücken, die durch ein Update nicht sofort geschlossen wurden, sondern erst nach vielen Monaten nach und nach durchgesetzt werden.
Auslöser
Microsoft hat im November 2021 das Update herausgebracht, welches entsprechende Objekte und Zugriffe im Eventlog protokolliert. Unter bestimmten Umständen kann ein Benutzer ein Computerobjekt anlegen und damit weitere Rechte erhalten.
- CVE-2021-42291 Active Directory Domain
Services Elevation of Privilege
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42291 - KB5008383 – Active
Directory-Berechtigungsupdates
(CVE-2021-42291)
https://support.microsoft.com/de-de/topic/kb5008383-active-directory-berechtigungsupdates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1
Allerdings aktiviert das Update nur eine Protokollierung im Eventlog und aktiviert noch nicht eine starken Schutz. Sieh haben nun zwei Optionen darauf zu reagieren
- Warten bis 9. Jan 2024
Das ist der früheste Zeitpunkt, wann Microsoft laut KB5008383 das Enforcement aktiviert. Es kann aber auch noch später sein - Manuell vorziehen
Sie können aber nach der Installation von KB5008383 ihre Eventlog auf entsprechende Meldungen kontrollieren und wenn diese eine frühere Aktivierung erlauben, die Durchsetzung manuell vorziehen.
Ich würde ihnen raten, das Eventlog zu kontrollieren und dann nicht auf die Aktivierung von Microsoft zu warten.
Wenn Sie selbst das sichere Verhalten früher erzwingen, sind sie zum einen erst einmal "sicherer" aber sie können den Zwang bei Problemen schnell wieder abschalten. Da mittlerweile aber wohl alle Firmen das Nov 2021 Update installiert haben sollten, schauen wir erst einmal ins Eventlog
Eventlog
Nach dem 9. Nov 2011 Update sollten alle Domain Controller im "Directory Eventlog" eventuell die folgenden Meldungen hinterlassen, wenn Dienste, Konten oder Programme die kritischen Berechtigungen nutzen. Die Meldungen unterscheiden sich je nach aktiviertem Mode.:
EventID | Mode | Text |
---|---|---|
3044 |
Enforce |
The directory service denied an LDAP add request for the following object. The request was denied because the client did not have permission to write one or more attributes included in the add request, based on the default merged security descriptor. |
2045 |
Enforce |
The directory service denied an LDAP add request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the add request but did not have explicit permission to write one or more parts of the new security descriptor, based on the default merged security descriptor. |
3045 |
Enforce |
The directory service denied an LDAP add request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the add request but did not have explicit permission to write one or more parts of the new security descriptor, based on the default merged security descriptor. |
3046 |
Enforce |
The directory service denied an LDAP modify request for the following object. The request was denied because the client included an nTSecurityDescriptor attribute in the modify request but did not have explicit permission to write one or more parts of the new security descriptor, based on the object's existing security descriptor. |
3047 |
Audit |
The directory service
detected an LDAP add request
for the following object
that normally would have
been blocked for the
following security reasons. |
3048 |
Audit |
Text The directory service detected an LDAP add request for the following object that normally would have been blocked for the following security reasons. |
3049 |
Audit |
The directory service detected an LDAP modify request for the following object that normally would have been blocked for the following security reasons. |
3050 |
Change |
The directory has been configured to enforce per-attribute authorization during LDAP add operations. |
3051 |
Change |
The directory has been configured to not enforce per-attribute authorization during LDAP add operations. Warning events will be logged, but no requests will be blocked. |
3052 |
Change |
The directory has been configured to not enforce per-attribute authorization during LDAP add operations. No events will be logged, and no requests will be blocked. |
3053 |
Change |
The directory has been configured to block implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations. |
3054 |
Change |
The directory has been configured to allow implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations. Warning events will be logged, but no requests will be blocked. |
3055 |
Change |
The directory has been configured to allow implicit owner privileges when initially setting or modifying the nTSecurityDescriptor attribute during LDAP add and modify operations. No events will be logged, and no requests will be blocked. |
3056 |
Audit |
The directory service processed a query for the sdRightsEffective attribute on the object specified below. The returned access mask included WRITE_DAC, but only because the directory has been configured to allow implicit owner privileges which is not a secure setting. |
Idealerweise finden sie keine solche Eventlogs. Sollten Sie aber Events finden, dann müssen Sie klären, welche Dienste, Konten und Programme an den Sicherheitseinstellungen von Computerobjekten etwas verändern und ob dies gewollt ist. Es kann ja durchaus sein, dass eine Software-Management-Lösung oder Identity-Verwaltung auch Computerkonten betreut und davon gebraucht macht. Dann sollten sie mit dem Hersteller besprechen, wie damit nach Aktvierung von KB5008383 umgegangen werden wird. Eventuell gibt es ein Update oder eine Anpassung. Im schlimmsten Fall muss das Dienstkonto zukünftig als DomainAdmin weiter arbeiten.
Steuerung
Sie müssen und sollten aber nicht auf das Update "Jan 2024" warten, bis Microsoft den Schutzlevel automatisch durchsetzt. Über eine Änderung des AD-Attribut "dSHeuristics" an folgendem AD-Objekt können Sie dies steuern.
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>"
Dies ist wieder ein numerischer Wert, an dem jede Stelle eine Bedeutung hat. Für KB5008383 sind folgende Stellen relevant:
Stelle | Bedeutung |
---|---|
10/20 Stelle |
Schauen Sie sich den aktuellen Wert von dSHeuristics an. |
28 |
Additional AuthZ verifications for LDAP Add operations
|
29 |
Temporary removal of Implicit Owner for LDAP Modify operations
|
Die Konfiguration dieser Einstellung ist wirklich nicht sehr schön von Microsoft gelöst und fehleranfällig. Das Feld konfiguriert noch deutlich mehr Verhaltensweisen des Active Directory, so das Sie ganz genau abzählen sollten und sowohl den KB5008383-Artikel als auch die folgenden Links genau lesen sollten.
Ich habe extra kein Skript oder importierbare LDIF-Datei bereitgestellt.
- 6.1.1.2.4.1.2 dSHeuristics
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5 - DS-Heuristics attribute
https://learn.microsoft.com/en-us/windows/win32/adschema/a-dsheuristics - CVE-2021-42291 Active Directory Domain
Services Elevation of Privilege
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42291 - KB5008383 – Active
Directory-Berechtigungsupdates
(CVE-2021-42291)
https://support.microsoft.com/de-de/topic/kb5008383-active-directory-berechtigungsupdates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1
Weitere Links
- Alte Clients
- Altclient Windows 2008
- TLS 1.2 Enforcement
- RPC Sealing
- PAC Signing
- Kerberos RC4 Abschaltung - DES ist weg und RC4 will auch keiner mehr haben. Weckruf durch Nov 2022 Updates
- Microsoft 365 Message Center
- May 2023 enforcement coming for servers running Active Directory Certificate
Services and Windows domain controllers
https://admin.microsoft.com/#/MessageCenter/:/messages/MC465515 - Alt-Security-Identities attribute
https://docs.microsoft.com/en-us/windows/win32/adschema/a-altsecurityidentities - Kerberos protocol registry entries and
KDC configuration keys in Windows
https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/kerberos-protocol-registry-kdc-configuration-keys - Erlaubte Relative Distinguished Names
(RDNs) im Subject ausgestellter Zertifikate
https://www.gradenegger.eu/?p=2717 - Die Reihenfolge der Relative
Distinguished Names (RDNs) im Subject
ausgestellter Zertifikate ändern
https://www.gradenegger.eu/?p=10183 - November-Update bringt 3 Patches für
Domain-Controller (CVE-2022-37966,
CVE-2022-37967, CVE-2022-38023)
https://www.windowspro.de/news/november-update-bringt-3-patches-fuer-domain-controller-cve-2022-37966-cve-2022-37967-cve-2022 - Windows-Härtung: Termine 2023
https://www.borncity.com/blog/2023/05/02/windows-hrtung-termine-2023 - Microsoft shares DCOM, Kerberos,
Netlogon, Azure hardening timeline till 2024
https://www.neowin.net/news/microsoft-shares-dcom-kerberos-netlogon-azure-hardening-timeline-till-2024/