Frage zur Netlogon-Protokolländerungen RC4 (CVE-2022-38023)

[phatair 38]

Guten Morgen zusammen,

 

ich habe eine Frage zu der Kerberos-Protokolländerungen die mit dem KB5021130 begonnen wurde.

Wir haben eine AD mit Domänenfunktionsebene und Gesamtstrukturfunktionsebene die noch 2012R2 ist. Die DCs sind 2019er.

 

Mit dem November Update wurde ja die Initial deplyoment phase gestartet und über die EventLogs kann man prüfen welche Anmeldungen betroffen sind.

Nun ist es bei uns so, dass hier das vCenter auftaucht.

Event Source	NETLOGON
Event ID	5840
Event Text	The Netlogon service created a secure channel with a client with RC4.

 

Dazu hat auch vmware einen KB Beitrag erstellt.

 

Weitere Einträge erscheinen im Eventlog nicht.

Nun habe ich mir mal das vCenter AD Objekt angeschaut und das Attribut ms-DS-SupportedEncryptionType ist leer.

Mit einem Script habe ich dann erstmal alle Computer Objekte geprüft. Hier war folgendes zu sehen

 

Folgende Fragen stellen sich mir nun, da mit dem November Update ja mehrere Änderungen am Kerberos und Netlogon Protokoll gemacht bzw. gestartet

1. Bedeutet das Ergebnis vom Script, dass ich die 13 Geräte die keinen ms-DS-SupportedEncryptionType Eintrag haben prüfen muss? 
   Aktuell meldet sich ja nur das vCenter im Eventlog da es eine RC4 Verbindung nutzt, ich würde es also so verstehen, dass die anderen 12 Computer Objekte, die kein ms-DS-SupportedEncryptionType Attribut gefüllt haben, keine Probleme bekommen.
2. Muss das ms-DS-SupportedEncryptionType Attribut im Computer Objekt gesetzt werden oder sollte das Attribut leer sein?
3. Wenn das Attribut leer ist, wie bzw. wo wird der Standard geregelt? Wird das über die GPO Einstellung "Network security: Configure encryption types allowed for Kerberos" geregelt?
4. Kann man davon ausgehen, wenn die genannten Eventlog IDs aus den hier verlinkten Beiträgen keine Treffer zeigen, dass man dann erstmal keine Probleme bekommt bzw. weitere Schritte durchführen muss?

 

Für Tipps wäre ich sehr dankbar. 

Grüße

 

[daabm 1.185]

Die Doku von MS dazu ist "bescheiden"... Wir haben Dein 3. konfiguriert, mußten aber 2. auch noch machen, um ein konsistentes Verhalten zu bekommen. Steht nur nirgends genau beschrieben.

[phatair 38]

Hi Martin,

 

danke für deine Rückmeldung.

Das heißt ihr habt die GPO Einstellung gesetzt und zusätzlich noch das ms-DS-SupportedEncryptionType Attribut geleert oder gefüllt?

 

Bei uns ist aktuell auf 99% der Computerobjekte das ms-DS-SupportedEncryptionType Attribut schon gefüllt mit dem Wert 28 was RC4, AES128, AES256 bedeutet.

 

Ich würde es jetzt also so verstehen, wenn im EventLog nichts weiter protokolliert wird, sind wir erstmal sauber konfiguriert bzw. haben keine Geräte im Netz die eine schwache Kerberosauthentifzierung verwenden. Oder sehe ich das falsch?

 

Gruß,

Steffen

[daabm 1.185]

Genau das - SupportedETypes auf 28 gesetzt zusätzlich zur GPO.

[Gipsy 13]

Hallo zusammen,

muss die GPO nur auf die DCs gesetzt werden oder für alle Systeme oder beides ?

Wie habt Ihr das gemacht?

 

Grüße

 

Nachtrag:

Bei 28 ist doch RC4 auch enthalten oder?

Bei GPO kann ich RC4 rausnehmen und dann müsste ich doch eher 24 nehmen oder? Dabei ist RC4 nicht enthalten.

 

Nachtrag2:

Muss der Wert nur auf Computer-Objekte oder auch auf User-Objekte gesetzt werden?

 

bearbeitet 9. März 2023 von Gipsy
Nachtrag / Nachtrag2

[daabm 1.185]

Bitte selber lesen

 

https://techcommunity.microsoft.com/t5/itops-talk-blog/tough-questions-answered-can-i-disable-rc4-etype-for-kerberos-on/ba-p/382718

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797

 

Und ja, es ist wirr... Da ist wohl viel Gefrickel bei den zuständigen Teams von MSFT im Spiel.