Störung des Tenable Identity Exposure-Betriebs durch SYSVOL-Härtung

SYSVOL ist ein freigegebener Ordner, der sich auf jedem Domänencontroller (DC) in einer Active Directory-Domäne befindet. In ihm werden die Ordner und Dateien für Gruppenrichtlinienobjekte (GPOs) gespeichert. Der Inhalt des SYSVOL-Ordners wird über alle DCs repliziert und der Zugriff erfolgt über UNC-Pfade (Universal Naming Convention) wie \\<beispiel.com>\SYSVOL oder \\<DC_IP_oder_FQDN>\SYSVOL.

SYSVOL-Härtung bezieht sich auf die Verwendung des Parameters „UNC Hardened Paths“, auch bekannt als „Gehärteter UNC-Zugriff“, „UNC-Pfad-Härtung“ oder „Gehärtete Pfade“ usw. Diese Funktion wurde als Reaktion auf die Schwachstelle MS15-011 (KB 3000483) in Gruppenrichtlinien entwickelt. Viele Cybersicherheitsstandards wie CIS-Benchmarks schreiben die Durchsetzung dieser Funktion vor.

Wenn Sie diesen Härtungsparameter auf SMB-Clients (Server Message Block) anwenden, erhöht er tatsächlich die Sicherheit der in die Domäne eingebundenen Computer, um sicherzustellen, dass der GPO-Inhalt, den die Computer von SYSVOL abrufen, nicht von einem Angreifer im Netzwerk manipuliert wird. In bestimmten Situationen kann dieser Parameter jedoch auch die Funktion von Tenable Identity Exposure stören.

Befolgen Sie die Anleitung in diesem Fehlerbehebungsabschnitt, wenn Sie feststellen, dass gehärtete UNC-Pfade die Konnektivität zwischen Tenable Identity Exposure und der SYSVOL-Freigabe unterbrechen.

Betroffene Umgebungen

Dieses Problem kann bei den folgenden Tenable Identity Exposure-Bereitstellungsoptionen auftreten:

  • On-Premises

  • SaaS mit Secure Relay

Diese Bereitstellungsoption ist nicht betroffen:

  • SaaS mit VPN

Die SYSVOL-Härtung ist ein clientseitiger Parameter und wird daher auf den Computern angewendet, die eine Verbindung zur SYSVOL-Freigabe herstellen, und nicht auf den Domänencontrollern.

Dieser Parameter wird von Windows standardmäßig aktiviert und kann die Funktion von Tenable Identity Exposure stören.

Einige Organisationen möchten die Aktivierung dieses Parameters sicherstellen und erzwingen seine Nutzung, indem sie die zugehörige GPO-Einstellung verwenden oder den entsprechenden Registrierungsschlüssel direkt festlegen.

  • Sie finden die Registrierungsschlüssel zu gehärteten UNC-Pfaden unter „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths“:

  • Die entsprechende GPO-Einstellung finden Sie unter „Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkanbieter/Gehärtete UNC-Pfade“:

Die SYSVOL-Härtung wird erzwungen, wenn in einem UNC-Pfad, der auf SYSVOL verweist – zum Beispiel „\\*\SYSVOL“ – die Parameter „RequireMutualAuthentication“ und „RequireIntegrity“ auf den Wert „1“ festgelegt sind.

Anzeichen für durch SYSVOL-Härtung verursachte Probleme

Wenn Sie vermuten, dass die SYSVOL-Härtung die Funktion von Tenable Identity Exposure stört, überprüfen Sie Folgendes:

  1. Gehen Sie in Tenable Identity Exposure zu System > Domänenverwaltung, um den LDAP- und SYSVOL-Initialisierungsstatus für jede Domäne anzuzeigen.

    Für eine Domäne mit normaler Konnektivität wird ein grüner Indikator angezeigt, während für eine Domäne mit Konnektivitätsproblemen ein Durchforstungsindikator angezeigt werden kann, der endlos weiterläuft.

  2. Öffnen Sie auf dem Directory Listener- oder Relay-Computer den Protokollordner: <Installationsordner>\DirectoryListener\logs.

  3. Öffnen Sie die Ceti-Protokolldatei und suchen Sie nach der Zeichenfolge „SMB mapping creation failed“ oder „Access is denied“. Fehlerprotokolle, die diesen Ausdruck enthalten, weisen darauf hin, dass wahrscheinlich eine UNC-Härtung auf dem Directory Listener- oder Relay-Computer stattfindet.

Mögliche Behebungsmaßnahmen

Es gibt zwei mögliche Behebungsmaßnahmen: Wechsel zur Kerberos-Authentifizierung oder Deaktivierung der SYSVOL-Härtung.

Risiken bei der Deaktivierung der SYSVOL-Härtung

Die SYSVOL-Härtung ist eine Sicherheitsfunktion, deren Deaktivierung berechtigte Bedenken aufwerfen kann.

  • Nicht in die Domäne eingebundene Computer: Es besteht kein Risiko beim Deaktivieren der SYSVOL-Härtung. Da diese Computer keine GPOs anwenden, erhalten sie keine Inhalte von der SYSVOL-Freigabe, um sie auszuführen.

  • In Domänen eingebundene Computer (Directory Listener- oder Relay-Computer) (wird von Tenable Identity Exposure nicht empfohlen): Wenn das potenzielle Risiko besteht, dass sich ein Angreifer in einer „Man-in-the-Middle“-Situation zwischen dem Directory Listener- oder Relay-Computer und den Domänencontrollern befindet, ist die Deaktivierung der SYSVOL-Härtung nicht sicher. In diesem Fall empfiehlt Tenable Identity Exposure, stattdessen zur Kerberos-Authentifizierung zu wechseln.

Diese Deaktivierung wird nur auf den Directory Listener- oder Relay-Computer angewendet, nicht auf andere Domänencomputer und niemals auf die Domänencontroller.