sk176148に関して - 2022年6月14日リリースされる予定のMicrosoftのActive Directory側のアップデートにより、お知らせです。

CVE-2021-26414:　マイクロソフト社DCOMサーバのセキュリティ強化に関連し、チェック・ポイント機器でのAD Queryの動作に影響が発生しますので、以下ご案内いたします。

影響あるユーザ ： チェック・ポイント製品でIdentity Awarenessを利用し、かつAD-Query機能ををご利用頂いているお客様

対応 ： 当該機能をお使いの場合は、以下SKを参照いただき、対応JHF適用をお願い致します。

チェック・ポイントはこの問題に対してすでに修正をリリースしています。

- すべてのバージョンのJHF（Jumbo Hot Fix） GAはすでに数週間前にリリースされています

- 今回の対応についてはsk176148をご覧ください。

< sk176148のサマリ >

該当製品/バージョン

Identity Awareness, Quantum Security Management, Multi-Domain Security Managementにおけるすべてのバージョン

• AD Queryをアイデンティティ・ソースとして設定している環境
• アイデンティティ・ログ機能が有効な環境

問題の症状

マイクロソフトWindowsドメインコントローラにKB5004442に記載されている更新プログラムをインストールすると、ネットワーク上のチェック・ポイントの Security Management Server / Multi-Domain Security Management ServerがIdentity Awareness Access Roleオブジェクトを期待どおりに照合しなくなるという問題が発生します。

この場合、Windows Domain Controller（DC）では、Windowsイベントビューアに以下のようなログが表示されます。

"The server-side authentication level policy does not allow the user \SID (S-1-5-21-xxxx-xxxx-xxxx-xx) from address x.x.x.x to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application."

「サーバー側の認証レベルポリシーでは、アドレス x.x.x.x のユーザー \SID (S-1-5-21-xxxx-xxxx-xxxx-xx) が DCOM サーバーをアクティブにすることは許可されていません。クライアントアプリケーションで起動認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。」

チェック・ポイントのActive Directory Logツール（adlog）で、以下のようなエラーメッセージが表示されることがあります。

"bad credentials or firewall blocks DCOM traffic [ntstatus = 0xc0000022]"

「不正な認証情報またはファイアウォールによるDCOMトラフィックのブロック [ntstatus = 0xc0000022]」

原因

チェック・ポイントのAD Query および Identity Logging 機能は、Microsoft Active Directory Security Event Logs に問い合わせを行い、IP アドレスにマッピングされたユーザおよびコンピュータの情報を抽出します。このプロセスは、Windows Management Instrumentation（WMI）をベースにしています。

WMIは、DCOM/RPCをベースにしていますが、マイクロソフトはDCOMトラフィックに対してより高いレベルの認証を強制するハードニングの変更をリリースしました（Microsoft Knowledge Base；KB5004442）。

この新しいハードニングの変更により、チェック・ポイントの AD Queryの動作が阻害されてしまいます。

対応策

チェック・ポイントでは、AD Query の代わりに Identity Collector を ID ソースとして使用することを推奨しています。

詳しくは以下のドキュメント、skを参照して下さい。

• Identity Awareness Clients Administration Guide > Identity Collector section
• sk179544 - Identity-Based Access Control and Threat Prevention - Design Guidelines - Identity Collec...

上記のハードニングの変更はIdentity Collectorの動作に影響を与えないため、DCサーバー上でKB5004442に従ってIdentity CollectorをIDソースとして使用することができます。

マイクロソフトのハードニングを適用して、AD QueryおよびIdentity Loggingを引き続き使用するには、Hotfixをインストールする必要があります。

このHotfixは、Security Gateway / Security Management / Multi-Domain ServersでサポートされるバージョンのJumbo Hotfix Accumulatorsに含まれています。

• Jumbo Hotfix Accumulator for R81.10 starting from Take 55
• Jumbo Hotfix Accumulator for R81 starting from Take 60
• Jumbo Hotfix Accumulator for R80.40 starting from Take 158
• Jumbo Hotfix Accumulator for R80.30 starting from Take 251
• Jumbo Hotfix Accumulator for R80.20 starting from Take 208

Quantum Spark アプライアンスに関する注意事項

Gaia Embedded OSを搭載したQuantum Sparkアプライアンスは、Identity Collectorをサポートしません。

これらのアプライアンスには、R80.20.40以降にHotfixが含まれています。