Advisory: An Active Directory und CVE-2021-42287 gebundene macOS Geräte

Details zu den Schwachstellen:

Im Herbst 2021 identifizierte Microsoft ein Sicherheitsproblem in Active Directory Domain Services (ADDS), das als CVE-2021-42287 bekannt ist. Diese Schwachstelle ermöglicht es vielleicht potenziellen Angreifern, sich als Domain-Controller auszugeben. Das Problem ist eine Umgehung der Sicherheitsmaßnahmen, die das Kerberos Privilege Attribute Certificate oder PAC betrifft.

Obwohl Microsoft zusätzliche Details über das Problem bereitstellte und einen Leitfaden zur Behebung auf seiner Support-Website veröffentlichte, entdeckten Administratoren sofort ein weiteres Problem, das nach der Behebung entstand: Die korrigierten Server erlaubten es macOS nicht mehr, eine Bindung an Active Directory herzustellen.

Sofortige Schritte:

• Bewerten Sie die Umgebung – wenn Ihre Organisation keine Bindung der macOS Flotte an Active Directory Domain-Controller benötigt, ist keine weitere Aktion erforderlich. Allerdings verwenden viele Organisationen mit geteilten Geräten eine Bindung an AD für die zentralisierte Benutzeraccount-Verwaltung.

• Unternehmen Sie Schritte zur Sicherung von Active Directory: In den oben aufgelisteten Schritten zur Problembehebung von Microsoft stellen Sie den Registrierungsschlüssel PacRequestorEnforcement auf „1“ und prüfen dann, ob die macOS Geräte mit dem Domain Controller kommunizieren können.

• Feedback an Apple – Wenn Ihr Workflow erfordert, dass Geräte an AD gebunden sind, sollten Sie Apple Feedback liefern, um eindeutig zu identifizieren, wie viele Geräte betroffen sind, den Anwendungsfall und die Auswirkung auf Ihre Organisation.

• Planen Sie für die Zukunft: Microsoft beginnt am 12. Juli 2022 mit der Durchsetzung der Domain-Controller-Validierung. Während dieser Zeit kommen die Domain-Controller in die Durchsetzungsphase ein, was dazu führen kann, dass macOS Geräte, die sich bei der Authentifizierung auf ADDS verlassen, nicht mehr zugänglich sind, je nach der Infrastruktur Ihrer Organisation. Es wird Organisationen empfohlen, Alternativlösungen für den laufenden Betrieb zu finden.

Eine Zukunft ohne Bindung:

Unabhängig von den Maßnahmen, die Microsoft möglicherweise durchführen wird, können Änderungen bei der Implementierung der Bindung die Unterstützung der Workflows erschweren. Gleichzeitig ist die Akzeptanz der Tele- und Hybridarbeit klar, und viele Organisationen gehen in Richtung cloudbasierte Geräteverwaltung, Apps und Services, sowie Zugriffs- und Identitätsdienste. Die Verschiebung von Organisationen, Ressourcen und Infrastruktur in die Cloud macht die von der Bindung an eine Domain gebotene Funktionalität immer weniger erforderlich.

Jamf Connect ermöglicht es Apple Computern, die macOS verwenden, Benutzeraccounts mit Cloud-Identity-Anmeldedaten bereitzustellen, den Kontenzugriff mit zentralen Verwaltungsrechten zu sichern und die Anmeldedaten – onsite oder offsite – ohne Bindung an AD zu synchronisieren.

Bei der Telearbeit können Benutzer sich mit ihren institutionellen Anmeldedaten bei ihrem Mac anmelden – der vertraute Benutzername und das Passwort, das sie im Büro verwenden würden. IT-Administratoren entscheiden darüber, wer die lokalen Account-Administratorrechte mit der Funktion des cloudbasierten Verzeichnisdiensts des Identity Provider (IdP) erhält. Und Helpdesks erhalten weniger Anrufe über vergessene Passwörter, da Single Sign-On SSO von den Benutzern nur erfordert, dass sie sich ein Passwort für alle verwaltete Geräte und Services merken.

Wenn man im Büro arbeitet, verwendet Jamf Connect die gleichen Anmeldedaten, um Kerberos-Zertifikate ohne Bindung an Active Directory zu erhalten. Die Kerberos Tickets ermöglichen dann einen nahtlosen, sicheren Zugriff auf die geteilten Ressourcen vor Ort.

Einschränkungen:

Verwaltete Benutzer oder MDM-aktivierte Benutzer

Das Entfernen der Bindung erfordert Planung. Administratoren sollten bedenken, dass alle Benutzer, die sich bei einem Mac mit einem AD-Account authentifizieren, Zugriff auf die Konfigurationsprofile des Benutzerkanals benötigen. Ohne Bindung kann nur das erste örtliche Account, das während der automatisierte Geräteregistrierung erstellt wurde, oder der Benutzer, der das Gerät bei MDM in einem vom Benutzer gestarteten Registrierungsprozess angemeldet hat, auf Konfigurationsprofile auf Benutzerebene zugreifen.

Um zu identifizieren, welche Profile auf Benutzerebene bereitgestellt sind, sehen Sie bei Ihrem MDM-Server eine vollständige Liste der Konfigurationsprofile, die auf die Flotte Ihrer Organisation angewendet werden.

Bewerten Sie, wie diese Konfigurationsprofile in Ihrer Flotte verwendet werden. Wenn Geräte 1:1 ausgegeben werden, dürfte es wenig Probleme geben, wenn ein Profil auf der Computerebene angewendet wird. Um das zu vergleichen – Sie sind die einzige Person, die einen Schlüssel für Ihr Auto hat. Macht es dann wirklich einen Unterschied, ob Ihr Führerschein im Auto oder in Ihrer Brieftasche ist? Nicht wirklich, solange Sie die Kriterien erfüllen, eines zu haben.

Einige Netzwerksicherheitsprodukte von Cisco verfolgen individuelle Benutzer im Netzwerk mit einem zertifikatsbasierten Zugriff auf Benutzerebene. Administratoren sollten die Notwendigkeit für diese Verfolgung bewerten oder zu modernen cloudbasierten Netzwerksicherheitsprodukten wechseln, wie Jamf Private Access.

802.1x RADIUS Netzwerke

Mit Jamf Connect erfordert der Anmeldebildschirm Netzwerkkonnektivität, um sich beim cloudbasierten IdP zu authentifizieren. Benutzerbasierter 802.1x RADIUS Zugriff – entweder mit Benutzername und Passwort oder einem Zertifikat – ist in diesem Szenario nicht möglich.

Der Anmeldebildschirm gehört dem Root-Benutzer. Aus Sicherheitsgründen hat Root keinen Speicherplatz, keine macOS Keychain zum sicheren Speichern von Anmeldedaten oder Zertifikaten und kann daher keine Anmeldedaten auf Benutzerebene verwenden.

Ein verwaltetes Gerät sollte ein verwaltetes Zertifikat für den Zugriff auf verwaltete Netzwerke verwenden. In diesem Szenario sollten Administratoren auf Computerebene angewendete Konfigurationsprofile mit einem maschinenbasierten SCEP-Zertifikatszugriff auf RADIUS Netzwerke konfigurieren. Das ermöglicht eine zusätzliche Sicherheitsebene und stellt sicher, dass Geräte immer durch Administratoren und MDM-Befehle erreichbar sind, selbst wenn derzeit kein Benutzer angemeldet ist.