SYSVOL 強化干擾 Tenable Identity Exposure

SYSVOL 是位於 Active Directory 網域中每個網域控制器 (DC) 上的共用資料夾,其中儲存了群組原則 (GPO) 的資料夾和檔案。SYSVOL 的內容會在所有 DC 之間複製,且可透過通用命名慣例 (UNC) 路徑存取,例如:\\<example.com>\SYSVOL\\<DC_IP_or_FQDN>\SYSVOL

SYSVOL 強化是指使用「UNC 強化路徑」參數,也稱為「UNC 強化存取」、「強化的 UNC 路徑」、「UNC 路徑強化」或「強化路徑」等。此功能的出現是為了回應群組原則中的 MS15-011 (KB 3000483) 弱點。許多網路安全標準 (例如 CIS Benchmarks) 都要求強制執行此功能。

當您在伺服器訊息區 (SMB) 用戶端上套用此強化參數時,它實際上會提高加入網域之電腦的安全性,確保電腦從 SYSVOL 擷取的 GPO 內容不會遭到網路上的攻擊者竄改。但在某些情況下,此參數也會干擾 Tenable Identity Exposure 的運作。

如果您發現強化的 UNC 路徑會中斷 Tenable Identity Exposure 和 SYSVOL 共用之間的連線,請遵照本疑難排解章節中的指引採取動作。

受影響的環境

下列 Tenable Identity Exposure 部署選項可能會遇到此問題:

  • 內部部署

  • 採用安全轉送的 SaaS

此部署選項不受影響:

  • 採用 VPN 的 SaaS

SYSVOL 強化是一個用戶端參數,表示它是在連線至 SYSVOL 共用的電腦上運作,而非在網域控制器上運作。

Windows 會依預設啟用此參數,但可能會干擾 Tenable Identity Exposure

有些組織也希望確保啟用此參數,並透過使用相關的 GPO 設定或直接設定對應的登錄機碼來強制執行此參數。

  • 您可以在「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths」下找到與 UNC 強化路徑相關的登錄機碼:

  • 您可以在「Computer Configuration/Administrative Templates/Network/Network Provider/Hardened UNC paths」下找到對應的 GPO 設定:

當參照 SYSVOL 的 UNC 路徑 (例如「\*\SYSVOL」) 將參數「RequireMutualAuthentication」和「RequireIntegrity」的值設定為「1」時,就會發生 SYSVOL 強化強制執行。

SYSVOL 強化問題的徵兆

當您懷疑 SYSVOL 強化對 Tenable Identity Exposure 造成干擾時,請檢查下列項目:

  1. Tenable Identity Exposure 中,前往「系統」>「網域管理」,查看每個網域的 LDAP 和 SYSVOL 初始化狀態。

    正常連線的網域會顯示綠色指示器,而具有連線問題的網域可能會顯示無限持續的抓取指示器。

  2. 在目錄接聽程式或轉送電腦上,開啟記錄資料夾:<Installation Folder>\DirectoryListener\logs

  3. 開啟 Ceti 記錄檔並搜尋字串「SMB 對應建立失敗」或「存取遭到拒絕」。包含此詞組的錯誤記錄表示目錄接聽程式或轉送電腦上可能已執行 UNC 強化。

修復選項

可能的修復選項有兩種:切換為 Kerberos 驗證停用 SYSVOL 強化

停用 SYSVOL 強化時的風險

SYSVOL 強化是一項安全功能,若停用可能會導致嚴重問題。

  • 未加入網域的電腦:停用 SYSVOL 強化沒有風險。這些電腦未套用 GPO,因此不會從 SYSVOL 共用取得內容並執行之。

  • 加入網域的電腦 (目錄接聽程式或轉送電腦) (Tenable Identity Exposure 不建議這麼做):如果在目錄接聽程式或轉送電腦與網域控制器之間可能存在便於攻擊者執行「攔截式攻擊」的風險,則停用 SYSVOL 強化是不安全的行為。在此情況下,Tenable Identity Exposure 建議您改用 Kerberos 驗證。

此停用的範圍僅限於目錄接聽程式或轉送電腦,非其他網域電腦,並且絕對不包括網域控制器。