This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
TakahiroS
Employee
Employee
‎2022-06-14 05:48 PM

<お知らせ>チェックポイント製品でIdentity Awarenessを利用し、かつAD-Query機能ををご利用頂いているお客様に対して

 

sk176148に関して - 2022年6月14日リリースされる予定のMicrosoftActive Directory側のアップデートにより、お知らせです。

 

CVE-2021-26414: マイクロソフト社DCOMサーバのセキュリティ強化に関連し、チェック・ポイント機器でのAD Queryの動作に影響が発生しますので、以下ご案内いたします。

 

影響あるユーザ : チェック・ポイント製品でIdentity Awarenessを利用し、かつAD-Query機能ををご利用頂いているお客様

対応 当該機能をお使いの場合は、以下SKを参照いただき、対応JHF適用をお願い致します

 

 

チェック・ポイントはこの問題に対してすでに修正をリリースしています。

- すべてのバージョンのJHFJumbo Hot Fix GAはすでに数週間前にリリースされています

- 今回の対応についてはsk176148をご覧ください。

 

< sk176148のサマリ >

該当製品/バージョン

Identity Awareness, Quantum Security Management, Multi-Domain Security Managementにおけるすべてのバージョン

  • AD Queryをアイデンティティ・ソースとして設定している環境
  • アイデンティティ・ログ機能が有効な環境

 

問題の症状

マイクロソフトWindowsドメインコントローラにKB5004442に記載されている更新プログラムをインストールすると、ネットワーク上のチェック・ポイントの Security Management Server / Multi-Domain Security Management ServerがIdentity Awareness Access Roleオブジェクトを期待どおりに照合しなくなるという問題が発生します。

この場合、Windows Domain Controller(DC)では、Windowsイベントビューアに以下のようなログが表示されます。

 

"The server-side authentication level policy does not allow the user \SID (S-1-5-21-xxxx-xxxx-xxxx-xx) from address x.x.x.x to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application."

「サーバー側の認証レベルポリシーでは、アドレス x.x.x.x のユーザー \SID (S-1-5-21-xxxx-xxxx-xxxx-xx) DCOM サーバーをアクティブにすることは許可されていません。クライアントアプリケーションで起動認証レベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。」

 

チェック・ポイントのActive Directory Logツール(adlog)で、以下のようなエラーメッセージが表示されることがあります。

 

"bad credentials or firewall blocks DCOM traffic [ntstatus = 0xc0000022]"

「不正な認証情報またはファイアウォールによるDCOMトラフィックのブロック [ntstatus = 0xc0000022]

 

原因

チェック・ポイントのAD Query および Identity Logging 機能は、Microsoft Active Directory Security Event Logs に問い合わせを行い、IP アドレスにマッピングされたユーザおよびコンピュータの情報を抽出します。このプロセスは、Windows Management Instrumentation(WMI)をベースにしています。

WMIは、DCOM/RPCをベースにしていますが、マイクロソフトはDCOMトラフィックに対してより高いレベルの認証を強制するハードニングの変更をリリースしました(Microsoft Knowledge Base;KB5004442)。

 

この新しいハードニングの変更により、チェック・ポイントの AD Queryの動作が阻害されてしまいます。

 

対応策

チェック・ポイントでは、AD Query の代わりに Identity Collector を ID ソースとして使用することを推奨しています。

詳しくは以下のドキュメント、skを参照して下さい。

 

上記のハードニングの変更はIdentity Collectorの動作に影響を与えないため、DCサーバー上でKB5004442に従ってIdentity CollectorIDソースとして使用することができます。

マイクロソフトのハードニングを適用して、AD QueryおよびIdentity Loggingを引き続き使用するには、Hotfixをインストールする必要があります

このHotfixは、Security Gateway / Security Management / Multi-Domain ServersでサポートされるバージョンのJumbo Hotfix Accumulatorsに含まれています。

 

Quantum Spark アプライアンスに関する注意事項

Gaia Embedded OSを搭載したQuantum Sparkアプライアンスは、Identity Collectorをサポートしません。

これらのアプライアンスには、R80.20.40以降にHotfixが含まれています。

 

 

 

0 Kudos
0 Replies
Upcoming Events

    CheckMates Events