การเข้าถึงถูกปฏิเสธการแชร์ IPC $ บน Windows Domain Controller เมื่อมีการตั้งค่าเซสชัน SMB ด้วย Kerberos 5

1

ฉันกำลังเขียนระบบที่ดำเนินการเข้าสู่ระบบของผู้ใช้และให้การเข้าถึงแบบครั้งเดียวสู่การใช้ SMB ที่ใช้ร่วมกันภายในเครือข่าย

การเข้าสู่ระบบของผู้ใช้เสร็จสิ้นกับ Kerberos 5 เพื่อยืนยันตัวตนของผู้ใช้และรับตั๋ว TGT เมื่อเข้าถึงการแชร์ SMB ตั๋ว TGT จะถูกใช้เพื่อรับตั๋ว TGS สำหรับเซิร์ฟเวอร์ที่โฮสต์ถูกแชร์และการตั้งค่าเซสชันจะดำเนินการกับ TGS นั้น (โดยการบรรลุ SSO)

ทำงานได้ดีจนกว่าผู้ใช้จะพยายามเข้าถึงการแชร์ SMB บน DC ในกรณีนั้น DC จะคืนค่า STATUS_ACCESS_DENIED ให้กับคำขอเชื่อมต่อแบบต้นไม้ดังที่แสดงในลิงค์ด้านล่าง

จับภาพ Wireshark

ผู้ใช้เป็นสมาชิกของกลุ่ม Domain Admins ดังนั้นควรเข้าถึง IPC $ ได้

สิ่งที่น่าสนใจคือถ้าแทนที่จะทำการเซ็ตอัพเซสชันด้วย TGS ฉันจะใช้ NTLMSSP (ใช้ข้อมูลประจำตัวของผู้ใช้เดียวกัน) DC อนุญาตให้เชื่อมต่อกับการแชร์ได้

ทำไมสิทธิ์ต่าง ๆ ที่กำหนดให้กับเซสชัน SMB ขึ้นอยู่กับการรับรองความถูกต้องที่ดำเนินการ (NTLMSSP กับ Kerberos 5)

สิ่งนี้มีกลิ่นเหมือนการกำหนดค่า GPO / GPP แต่ความรู้ของฉันมี จำกัด

จำเป็นต้องมีขั้นตอนเพิ่มเติมในการตั้งค่าเซสชันกับ DC เมื่อใช้ Kerberos 5 หรือไม่ หรือว่าปลอดภัยที่จะสมมติว่าฉันทำอย่างถูกต้องหากเซิร์ฟเวอร์ส่งคืน STATUS_SUCCESS

หมายเหตุสองประการ:

  • ไคลเอนต์ SMB พยายามเชื่อมต่อกับการแชร์ IPC $ เพื่อดำเนินการ IOCTL บางอย่างก่อนที่จะเชื่อมต่อกับการแชร์ที่ต้องการ
  • ฉันตรวจสอบแล้วว่าวันที่และเวลาในระบบของฉันซิงโครไนซ์กับ DC
  • ระบบนี้พัฒนาบน Linux, ฉันใช้ libkrb5 ของ heimdal และไคลเอนต์ SMB ที่เป็นกรรมสิทธิ์ (ฉันมีความสามารถในการแก้ไขไลบรารีทั้งสอง)

อัปเดต: แม้เมื่อข้ามการเชื่อมต่อกับการแชร์ IPC $ และฉันเชื่อมต่อกับการแชร์ที่ต้องการโดยตรงพฤติกรรมก็เหมือนกัน DC จะส่งคืน STATUS_ACCESS_DENIED ไปยังคำขอเชื่อมต่อแบบต้นไม้

windows-server-2012-r2  domain-controller  windows-server-2016  kerberos  cifs 
นาดิมซี
แหล่งที่มา
แน่นอนว่ามีเพียงสมาชิกของกลุ่ม Domain Admins เท่านั้นที่จะได้รับอนุญาตให้เข้าถึงการแชร์ของผู้ดูแลระบบใน DC หากเกี่ยวข้องกับนโยบายคุณควรตรวจสอบการตั้งค่าที่ตัวเลือก Settings \ Local Settings \ Local คอมพิวเตอร์ มีการอธิบายการตั้งค่านโยบายบางอย่างและผลกระทบที่มีต่อ IPC $ ได้ที่นี่: support.microsoft.com/en-us/help/3034016//
twconnell
@twconnell ผู้ใช้ที่พยายามเชื่อมต่อกับการแบ่งปันนั้นจริงๆแล้วเป็นสมาชิกของ Domain Admins ฉันอัปเดตคำถามเพื่อสะท้อนว่า ฉันเริ่มคิดว่าสิ่งนี้ไม่เกี่ยวข้องกับการแชร์ IPC $ ฉันปรับเปลี่ยนพฤติกรรมของลูกค้า SMB เพื่อเชื่อมต่อโดยตรงกับเครือข่ายที่ใช้ร่วมกันโดยไม่ลอง IPC $ ก่อนและพบปัญหาเดียวกัน พยายามเล่นด้วยการตั้งค่าที่ตัวเลือก Policy \ Security Settings \ Local Settings \ Local ของคอมพิวเตอร์ Configuration \ Windows แต่ไม่มีโชคเลย ฉันอาจจะคิดถึงบางสิ่งบางอย่าง
Nadim Z

คำตอบ:

1

Windows DC โดยค่าเริ่มต้นต้องมีการเซ็นข้อความ SMB นี้เป็นโฆษณาโดย DC ในโหมดการรักษาความปลอดภัยส่วนหนึ่งของการเจรจาต่อรองพิธีสารการตอบสนอง

(ที่เป็นกรรมสิทธิ์) ลูกค้า SMB ในคำถามที่ถูกละเลยธงรักษาความปลอดภัยนี้เมื่อใช้ Kerberos และการแสดงที่ไม่ได้ลงชื่อจองต้นไม้ Connect สิ่งนี้ทำให้เซิร์ฟเวอร์ (DC) ปฏิเสธการเข้าถึงการแชร์

หลังจากแก้ไขไคลเอนต์ SMB และให้ความเคารพกับการทำเครื่องหมายการลงลายมือชื่อrequredเมื่อใช้ข้อมูลรับรอง Kerberos การเชื่อมต่อกับการแบ่งปัน SMB ของ DC เป็นไปได้

นาดิมซี
แหล่งที่มา
เยี่ยมมาก! สิ่งนี้จะช่วยคนในอนาคตอย่างแน่นอน
twconnell
เยี่ยมมาก! สิ่งนี้จะช่วยคนในอนาคตอย่างแน่นอน
twconnell
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.