SYSVOL 强化干扰 Tenable Identity Exposure

SYSVOL 是位于 Active Directory 域中每个域控制器 (DC) 的共享文件夹。它存储组策略 (GPO) 的文件夹和文件。SYSVOL 的内容会在所有 DC 中进行复制,且可通过通用命名约定 (UNC) 路径(例如 \\<example.com>\SYSVOL\\<DC_IP_or_FQDN>\SYSVOL)进行访问 。

SYSVOL 强化是指使用 UNC 强化路径参数,也称为“UNC 强化访问”、“强化的 UNC 路径”、“UNC 路径强化”或“强化路径”等。此功能会响应组策略中的 MS15-011 (KB 3000483) 漏洞。许多网络安全标准(例如 CIS 基准测试)要求强制执行此功能。

当您在服务器消息块 (SMB) 客户端上应用此强化参数时,它实际上会提高已加入域的计算机的安全性,以确保从 SYSVOL 检索的 GPO 内容不会被网络上的攻击者篡改。但在某些情况下,此参数也会干扰 Tenable Identity Exposure 的操作。

如果您发现强化的 UNC 路径中断了 Tenable Identity Exposure 和 SYSVOL 共享之间的连接,请遵循此故障排除部分中的指南。

受影响的环境

以下 Tenable Identity Exposure 部署选项可能会遇到此问题:

  • 本地

  • 具有安全中继的 SaaS

此部署选项不受影响:

  • 带 VPN 的 SaaS

SYSVOL 强化是一个客户端参数,这意味着它在连接 SYSVOL 共享的计算机上运行,而不是在域控制器上运行。

Windows 默认启用此参数,且此参数会干扰 Tenable Identity Exposure

一些组织亦想确保激活此参数,并通过使用相关的 GPO 设置或直接设置相应的注册表项来强制执行。

  • 您可以在“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths”下找到与 UNC 强化路径相关的注册表项:

  • 您可以在“Computer Configuration/Administrative Templates/Network/Network Provider/Hardened UNC paths”下找到相应的 GPO 设置:

当引用 SYSVOL 的 UNC 路径(例如“\\*\SYSVOL”)将参数“RequireMutualAuthentication”和“RequireIntegrity”设置为值“1”时,会强制执行 SYSVOL 强化。

SYSVOL 强化问题的迹象

当您怀疑存在与 Tenable Identity Exposure 相关的 SYSVOL 强化干扰时,请检查以下内容:

  1. Tenable Identity Exposure 中,转至“系统”>“域管理”以查看每个域的 LDAP 和 SYSVOL 初始化状态。

    具有正常连接的域会显示一个绿色指示符,而存在连接问题的域会显示一个持续尝试连接的指示符。

  2. 在目录侦听器或中继计算机上,打开日志文件夹:<Installation Folder>\DirectoryListener\logs

  3. 打开 Ceti 日志文件并搜索字符串“SMB 映射创建已失败”或“访问被拒绝”。包含此短语的错误日志表示可能在目录侦听器或中继计算机上发生了 UNC 强化。

修复选项

有两个可能的修复选项:切换到 Kerberos 身份验证禁用 SYSVOL 强化

禁用 SYSVOL 强化的风险

SYSVOL 强化是一项安全功能,禁用它会引发可能的风险。

  • 对于未加入域的计算机,禁用 SYSVOL 强化没有风险。由于这些计算机不应用 GPO,因此不会从 SYSVOL 共享获取内容以执行。

  • 对于 Tenable Identity Exposure 不建议加入域的但已加入域的计算机(目录侦听器或中继计算机),如果在目录侦听器或中继计算机与域控制器之间存在使攻击者处于“中间人”情况的潜在风险,则禁用 SYSVOL 强化会不安全。在这种情况下,Tenable Identity Exposure 建议您切换为 Kerberos 身份验证。

此停用范围仅限于目录侦听器或中继计算机,而不包括其他域计算机,更绝不包括域控制器。