NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.

Microsoft aktiviert mit dem Update einen neuen Security Mechanismus, s. https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041, mit dem der NetScaler aktuell nicht umgehen kann.

Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.

Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.

Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.

Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.

UPDATE:

Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:

The complete list of out-of-band updates released by Microsoft over the weekend includes:

Microsoft LDAP Security Update, März 2020

Microsoft LDAP Security Update, März 2020

Mit dem kommenden März Update ändert Microsoft das Verhalten für LDAP Abfragen. Zukünftig werden Abfragen an AD Domänen Controller nur noch verschlüsselt verarbeitet. Das hat zur Folge, dass alle Services wie z. B. NetScaler, SMTP Gateways, Telefonanlagen, etc., welche LDAP Abfragen an die AD DC’s stellen, auf Secure LDAP (LDAPS Port:636) umgestellt werden müssen. Zudem wird der Einsatz eines internen Zertifikats Authorisierung Services damit zwingend notwendig.

Weiterführende Informationen

Wie kann ich das Ausmass dieser Anpassung erfassen?

Das Ausmass kann mittels Event ID 2887 (AD DC’s im Eventlog «Directory Service») visualisiert werden. Der Event 2887 zeigt eine Statistik der vergangenen 24 Stunden für unsignierte und unverschlüsselte LDAP Anfragen an den jeweiligen AD DC.

Für ein detailliertes Log muss der Registry Key:

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\16 LDAP Interface Events

 von 0 auf 2 erhöht werden. Es ist kein Reboot notwendig. Es wird sofort eine neue EventID 2889 geloggt. In den Events 2889 finden sich dann Client-IP und/oder Service Account Namen, welche unverschlüsselte LDAP Anfragen an den AD DC gesendet haben.

Achtung: Vorgängig sollten jedoch alle bereits bekannten Systeme umgestellt, wie auch die maximale Log Grösse von «Directory Service» deutlich erhöht werden (Standard = 1 MB –> 64+ MB). Ansonsten werden auch die 2887 Events der letzten Monate überschrieben (evtl. vorgängig exportieren). Der Registry Key sollte ausserdem nicht dauerhaft auf dem Wert 2 verbleiben, sondern nach kurzer Zeit wieder auf 0 gesetzt werden, da ansonsten dauerhaft extensiv geloggt wird.

Lösungsansatz

Wir empfehlen folgendes, zeitnahes Vorgehen:

  1. Sicherstellen dass das Update (noch) NICHT installiert wird (z.B. Domain Controller)
  2. Sicherstellen dass LDAPS auf allen AD DC’s funktioniert
  3. Bekannte Applikationen prüfen & umstellen
  4. Unbekannte Applikationen prüfen & umstellen
  5. Auf den AD DC’s advanced LDAP Eventlogging einsetzen um die restlichen LDAP-Clients zu Identifizieren und jeweils umzustellen
  6. Update kontrolliert verteilen