警告:绑域的macOS设备和 CVE-2021-42287
漏洞详细信息:
2021年秋季,微软发现了Active Directory域服务(ADDS)中存在的安全问题,称为CVE-2021-42287。此漏洞可能允许潜在攻击者模拟域控制器。这个问题是一个安全旁路漏洞,它会影响Kerberos特权属性证书(PAC)。
虽然微软提供了有关该问题的更多详细信息,以及在其支持网站上的补救指导,但管理员立即发现因采取纠正措施而出现的后续问题:修复后的服务器不再允许macOS绑定到Active Directory。
立即采取的步骤:
评估您的环境:如果您的组织不需要其macOS绑定到Active Directory域控制器,则无需采取进一步行动。然而,许多拥有共享设备的组织使其绑定到AD进行集中用户帐户管理。
采取措施保护Active Directory:在微软的上述补救步骤中,将PacRequestorEnforcement的注册表项设置为“1”,并测试macOS设备是否能够与域控制器通信。
向苹果提交反馈:如果您的工作流程要求设备绑定到AD,请向苹果提交反馈,明确识别受影响的设备数量、使用案例和对组织的影响。
未来计划:微软将于2022年7月12日开始实施域控制器验证。在此期间,域控制器将进入执行阶段,这可能会导致依赖ADDS身份验证的macOS设备无法访问,具体取决于您组织的基础设施。建议各组织为持续的业务运营找到替代解决方案。
无约束力的未来:无论微软可能采取什么行动,绑定实现方式的改变都可能使工作流更难以获得支持。与此同时,采用远程和混合工作环境是明确的,许多组织正在转向基于云的设备管理、应用程序和服务、访问和身份服务。将组织、资源和基础设施迁移到云端使绑定到域提供的功能越来越没有必要。
了解云身份如何改变Mac安全性,并发现Jamf Connect在促进流程方面的重要作用。
Jamf Connect 让运行macOS 的Apple 电脑能够为用户帐户提供具有云身份凭证的用户帐户,通过集中管理权限来确保帐户访问安全,并使凭证在企业内部外部都保持同步,而无需绑定到AD。
远程工作时,用户可以使用他们的机构凭据登录Mac—与他们在本地使用的熟悉用户名和密码相同。IT管理员通过身份提供商(IdP)基于云的目录服务的力量决定谁获得本地帐户管理员权限。由于单点登录(SSO) 要求用户只记住所有托管设备和服务的一个密码,因此服务台接到的有关忘记密码的电话更少。
如果在办公室工作,Jamf Connect使用相同的凭据获取Kerberos证书,而无需绑定到Active Directory。然后,Kerberos票证允许无缝、安全地访问内部共享资源。
限制:
受管用户或支持MDM的用户
移除绑定需要计划。管理员应考虑所有使用AD帐户对Mac进行身份验证的用户都可以访问用户通道配置文件。在没有绑定的情况下,只有自动设备注册期间创建的第一个本地帐户或在用户发起的注册过程中在MDM中注册设备的用户才能利用用户级别的配置文件。
要确定哪些配置文件的范围属于用户级别,请在MDM服务器中查看适用于您组织的配置文件的完整列表。
评估这些配置文件如何在您的组织中使用。如果设备分配为1:1,那么如果配置文件应用于计算机级别,应该没有多少担忧。换句话说,如果你是唯一一个有车钥匙的人,你的驾照放在你的车里或钱包里,这有区别吗?没有,只要你符合拥有一个的标准。
一些思科网络安全产品使用基于用户级别证书的访问来跟踪网络上的单个用户。管理员应评估这种级别跟踪的需求,或考虑转向基于云的现代网络安全产品,如Jamf Private Access。
802.1x RADIUS网络
使用Jamf Connect,登录屏幕需要网络连接才能根据基于云的IDP进行身份验证。在这种情况下,基于用户的802.1x RADIUS访问,无论是使用用户名和密码还是证书,都是不可能的。
登录屏幕归根用户所有。为了安全考虑,根没有存储空间,没有 macOS 钥匙串来安全地存储凭证或证书,因此无法使用用户级凭证。
托管设备应使用托管证书访问托管网络。在这种情况下,管理员应配置计算机级应用配置文件,并使用基于机器的SCEP证书访问RADIUS网络。这允许增加一层安全性,确保管理员和MDM命令始终可以访问设备,即使当前没有用户登录。
不确定你的下一步? 我们可以提供帮助!
一起讨论出,让您的Mac大军迁移到云认证的最佳计划。
2011年, SolutionKeys将Jamf (Casper Suite)首次引入了中国。 SolutionKeys是大中华地区优质Jamf授权经销商和Jamf的关键服务伙伴(Jamf授权集成商)。我们确保Jamf管理和部署的黄金标准。