الملخص
البروتوكول البعيد Netlogon (الذي يسمي أيضا MS-نربك) هو واجهه RPC التي يتم استخدامها بشكل حصري من قبل الاجهزه المتصلة بالمجال. تتضمن النربك أسلوب مصادقه وأسلوب تاسيس قناه Netlogon الامنه. تعمل هذه التحديثات علي فرض سلوك عميل Netlogon المحدد لاستخدام RPC الأمن مع القناة الامنه Netlogon بين أجهزه الكمبيوتر الأعضاء ووحدات التحكم بالمجال Active directory (AD).
يعالج هذا التحديث الأمني مشكله عدم الحصانة من خلال فرض RPC الأمن عند استخدام القناة الامنه Netlogon في الإصدار المرحلي الموضح في توقيت التحديثات لعنونه مشكله عدم حصانه NETLOGON CVE-2020-1472 مقطع. لتوفير الحماية من الغابات الاعلانيه ، يجب تحديث كل DCs ، حيث سيتم فرض RPC أمنا باستخدام القناة الامنه Netlogon. يشمل ذلك وحدات التحكم بالمجال للقراءة فقط (ردك).
للحصول علي مزيد من المعلومات حول مشكله عدم الحصانة ، راجع CVE-2020-1472.
اتخاذ اجراء
لحماية بيئتك ومنع الانقطاع ، يجب القيام بما يلي:
ملاحظه الخطوة 1 من تثبيت التحديثات التي تم إصدارها في 11 أغسطس أو 2020 أو إصدار أحدث ستتم معالجه المشكلة المتعلقة بالأمان في CVE و علاقات 2020-1472 الثقة والمجالات في Active directory ، بالاضافه إلى الاجهزه التي تعمل بنظام Windows. لتقليل المشكلة المتعلقة بالأمان للاجهزه التابعة لجهة خارجيه بالبالكامل ، ستحتاج إلى إكمال كل الخطوات.
تحذير بدء تشغيل فبراير 2021 ، سيتم تمكين وضع الفرض علي كل وحدات التحكم بالمجال في Windows وحظر الاتصالات التي تعرضه للهجم من الاجهزه غير المتوافقة. في ذلك الوقت ، لن تتمكن من تعطيل وضع الفرض.
-
قم بتحديث وحدات التحكم بالمجال التي تم إصدار تحديثاتها في 11 أغسطس أو 2020 أو الإصدارات الأحدث.
-
يمكنك العثور علي الاجهزه التي تقوم بالاتصالات التي تعمل بالثغرات الامنيه من خلال مراقبه
-
توجيه الاجهزه غير المتوافقة مع الاتصالات التي تعمل بالثغرات الامنيه.
-
تمكين وضع الفرض لعنوان CVE-2020-1472 في بيئتك.
ملاحظه إذا كنت تستخدم نظام التشغيل Windows Server 2008 R2 المزود بحزمه الخدمة SP1، ستحتاج إلى ترخيص التحديث الأمني الموسع (اسو) لتثبيت اي تحديث يعالج هذه المشكلة بنجاح. للحصول علي مزيد من المعلومات حول برنامج اسو ، الرجاء مراجعه الاسئله المتداولة حول دوره الحياة-تحديثات الأمان الموسعة.
في هذه المقالة:
توقيت تحديثات العنوان المتعلق ب Netlogon CVE-2020-1472
سيتم إصدار التحديثات في مرحلتين: المرحلة الاوليه للتحديثات التي تم إصدارها في 11 أغسطس 2020 ومرحله فرض التحديثات التي تم إصدارها في 9 فبراير ، 2021.
11 أغسطس 2020-مرحله النشر الاولي
تبدا مرحله النشر الاوليه بالتحديثات التي تم إصدارها في 11 أغسطس 2020 ويتابع مع تحديثات اللاحقة حتى مرحله الفرض. تعمل هذه التحديثات والإصدارات الأحدث علي اجراء تغييرات علي بروتوكول Netlogon لحماية أجهزه Windows بشكل افتراضي ، وتقوم بتسجيل الاحداث لاكتشاف الاجهزه غير المتوافقة وأضافه امكانيه تمكين الحماية لجميع الاجهزه المتصلة بالمجال باستثناءات صريحه. هذا الإصدار:
-
فرض استخدام RPC الأمن لحسابات الاجهزه علي الاجهزه المستندة إلى Windows.
-
فرض استخدام RPC الأمن لحسابات الثقة.
-
يفرض استخدام RPC الأمن لجميع النوافذ وغير المتعلقة بنظام التشغيل Windows.
-
يتضمن نهج مجموعه جديدا للسماح بحسابات الاجهزه غير المتوافقة (التي تستخدم اتصالات القناة الامنه Netlogon المتعلقة بالمشكلات المتعلقة بالمشكلات). حتى عند تشغيل DCs في وضع الفرض أو بعد تشغيل مرحله الفرض ، لن يتم رفض اتصال الاجهزه المسموح بها.
-
مفتاح تسجيل فولسيكوريكهانيلبروتيكشن لتمكين وضع فرض DC لجميع حسابات الاجهزه (ستقوم مرحله الفرض بتحديث DCs إلى وضع فرضDC).
-
وتتضمن الاحداث الجديدة عند رفض الحسابات أو رفضها في وضع فرض DC (ستستمر في مرحله الفرض). يتم شرح معرفات الاحداث المحددة لاحقا في هذه المقالة.
التخفيف يتكون من تثبيت التحديث علي كل DCs و رودكس ومراقبه الاحداث الجديدة وعنونه الاجهزه غير المتوافقة التي تستخدم اتصالات القناة الامنه Netlogon المتعلقة بالمشكلات المتعلقة بالأمان. يمكن السماح لحسابات الاجهزه علي الاجهزه غير المتوافقة باستخدام اتصالات قنوات الأمان الامنه Netlogon المتعلقة بالمشكلات وعلي الرغم من ذلك ، يجب ان يتم تحديثها لدعم RPC الأمن لNetlogon والحساب الذي يتم فرضه في أقرب وقت ممكن لأزاله مخاطر الهجوم.
9 فبراير 2021-مرحله الفرض
يضع الإصدار 9 فبراير 2021 الانتقال إلى مرحله الفرض. سيكون DCs الآن في وضع الفرض بصرف النظر عن مفتاح تسجيل وضع الفرض. يتطلب ذلك كل الاجهزه التي تعمل بنظام التشغيل Windows وغيرها من الاجهزه التي تعمل بنظام التشغيل Windows لاستخدام RPC الأمن مع القناة الامنه Netlogon أو السماح بالحساب بشكل واضح باضافه استثناء للجهاز غير المتوافق. هذا الإصدار:
-
فرض استخدام RPC لحسابات الاجهزه علي الاجهزه التي تعمل بدون نظام التشغيل Windows ما لم يتم السماح بها "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
-
ستتم أزاله تسجيل معرف الحدث 5829. نظرا لأنه قد تم رفض كل الاتصالات غير المحصنة ، ستظهر الآن معرفات الاحداث 5827 و 5828 في سجل احداث النظام.
إرشادات النشر-نشر التحديثات وفرض التوافق
ستتكون مرحله النشر الاولي من الخطوات التالية:
-
نشر تحديثات شهر أغسطس 11علي كل DCs في الغابة.
-
(a) جهاز عرض لاحداث التحذيراتو (ب) يعمل علي كل حدث.
-
(a) بمجرد الحصول علي كل احداث التحذير ، يمكن تمكين الحماية الكاملة من خلال نشر وضع فرضDC. (ب) يجب حل جميع التحذيرات قبل تحديث مرحله فرض 9 فبراير 2021.
الخطوة 1: تحديث
نشر تحديثات 11 أغسطس 2020
قم بنشر تحديثات شهر أغسطس لكل وحدات تحكم المجال القابلة للتطبيق (DCs) في الغابة ، بما في ذلك وحدات التحكم بالمجال للقراءة فقط (رودكس). بعد نشر هذا التحديث باتشيد DCs س:
-
أبدا بفرض استخدام RPC الأمن لجميع حسابات الاجهزه المستندة إلى Windows وحسابات الثقة وكل DCs.
-
سجل معرفات الاحداث 5827 و 5828 في سجل حدث النظام ، إذا تم رفض الاتصالات.
-
سجل معرفات الاحداث 5830 و 5831 في سجل حدث النظام ، إذا كانت الاتصالات مسموح بها من قبل "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
-
سجل معرف الحدث 5829 في سجل حدث النظام في الوقت الذي يتم فيه السماح باتصال قناه أمنه من Netlogon. يجب ان يتم تعيين هذه الاحداث قبل ان يتم تكوين وضع فرض DC أو قبل ان تبدا مرحله الفرض في 9 فبراير 2021.
الخطوة 2 ج: البحث عن
الكشف عن الاجهزه غير المتوافقة باستخدام معرف الحدث 5829
بعد تطبيق تحديثات شهر أغسطس 11 ، 2020 علي DCs ، يمكن جمع الاحداث في سجلات احداث DC لتحديد الاجهزه التي تعمل في البيئة الخاصة بك باستخدام اتصالات القناة الامنه Netlogon المتعلقة بالمشكلة (المشار اليها بالاجهزه غير المتوافقة في هذه المقالة). راقب باتشيد DCs لاحداث معرف الحدث 5829. ستتضمن الاحداث المعلومات ذات الصلة للتعرف علي الاجهزه غير المتوافقة.
لمراقبه الاحداث ، استخدم برنامج مراقبه الاحداث المتوفر أو باستخدام برنامج نصي لمراقبه DCs. بالنسبة إلى البرنامج النصي الذي يمكنك القيام به للحصول علي البيئة الخاصة بك ، راجع البرنامج النصي للمساعدة في مراقبه معرفات الاحداث المتعلقة بتحديثات Netlogon ل CVE-2020-1472
الخطوة 2 ب: عنوان
معرفات حدث العنونة 5827 و 5828
بشكل افتراضي ، يجب الا تستخدم الإصدارات المعتمدة من Windows التي تم تحديثها بالبالكامل اتصالات قناه أمنه عبر الاجهزه التي تعمل بنظام التشغيل Netlogon. إذا تم تسجيل أحد هذه الاحداث في سجل حدث النظام لجهاز يعمل بنظام التشغيل Windows:
-
تاكد من ان الجهاز يستخدم إصدارات معتمده من Windows.
-
تاكد من التحديث الكامل للجهاز.
-
تحقق للتاكد من عضو المجال: يتم تعيين بيانات القناة المؤمنة أو توقيعها رقميا (دائما) إلى ممكن.
بالنسبة للاجهزه التي تعمل بنظام التشغيل Windows التي تعمل بنظام التشغيل DC ، سيتم تسجيل هذه الاحداث في سجل حدث النظام عند استخدام اتصالات القناة الامنه Netlogon المتعلقة بالمشكلات. إذا تم تسجيل أحد الاحداث التالية:
-
مستحسن العمل مع بائع الشركة المصنعة للجهاز (OEM) أو البرنامج للحصول علي الدعم للحصول علي الدعم لبروتوكول RPC الأمن مع القناة الامنه Netlogon
-
إذا كان DC غير المتوافق يدعم RPC الأمن مع القناة الامنه Netlogon ، فقم بتمكين RPC الأمن علي DC.
-
إذا لم يكن DC المتوافق حاليا يدعم RPC الأمن ، فيمكنك العمل مع مورد الشركة المصنعة للجهاز (OEM) أو البرنامج للحصول علي تحديث يدعم RPC الأمن مع القناة الامنه Netlogon.
-
إيقاف DC غير المتوافق.
-
-
عرضه للتهديدات إذا تعذر علي DC غير المتوافق دعم RPC الأمن مع القناة الامنه Netlogon قبل ان تصبح وحده DCs في وضع الفرض، فأضف DC باستخدام ال"وحده تحكم المجال: السماح بتوصيلات القناة الامنه Netlogon "" نهج المجموعة "الموضحة أدناه.
تحذير السماح ل DCs باستخدام الاتصالات المعرضة للثغرات الامنيه من خلال "نهج المجموعة" ستجعل المجموعة عرضه للهجوم. يجب ان يكون هدف الانتهاء من عنوان كل الحسابات وأزالها من نهج المجموعة هذا.
حدث العنونة 5829
يتم إنشاء معرف الحدث 5829 عندما يكون الاتصال المعرض للثغرات الامنيه مسموحا به اثناء مرحله النشر الاوليه. سيتم رفض هذه الاتصالات عندما تكون DCs في وضع الفرض. في هذه الاحداث ، التركيز علي اسم الجهاز وإصدارات المجال ونظام التشغيل المحددة لتحديد الاجهزه غير المتوافقة وكيفيه التعامل معها.
الطرق التي يمكن من خلالها توجيه الاجهزه غير المتوافقة:
-
مستحسن يمكنك العمل مع بائع الشركة المصنعة للجهاز (OEM) أو البرنامج للحصول علي الدعم لبروتوكول RPC الأمن مع القناة الامنه Netlogon:
-
إذا كان الجهاز غير المتوافق يدعم RPC الأمن مع القناة الامنه Netlogon ، فقم بتمكين RPC الأمن علي الجهاز.
-
إذا لم يكن الجهاز المتوافق في الوقت الحالي يدعم RPC الأمن مع القناة الامنه Netlogon ، يمكنك العمل مع بائع البرامج أو الشركة المصنعة للجهاز للحصول علي تحديث يسمح بأمان RPC مع القناة الامنه للشبكة التي سيتم تمكينها.
-
إيقاف الجهاز غير المتوافق.
-
-
عرضه للتهديدات إذا تعذر علي جهاز غير متوافق دعم RPC الأمن مع القناة الامنه Netlogon من قبل في وضع الفرض، فأضف الجهاز الذي يستخدم ال"وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "" نهج المجموعة "الموضحة أدناه.
تحذير يسمح لك حسابات الاجهزه باستخدام الاتصالات المعرضة للثغرات الامنيه من خلال "نهج المجموعة" علي حسابات الإعلانات هذه في المخاطر. يجب ان يكون هدف الانتهاء من عنوان كل الحسابات وأزالها من نهج المجموعة هذا.
السماح بالاتصالات التي تعمل بالثغرات الامنيه من أجهزه خارجيه
استخدم ال"وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon " نهج المجموعة" لأضافه حسابات غير متوافقة. يجب اعتبار هذه العملية فقط التعويض عن المدى القصير حتى تتم معالجه الاجهزه غير المتوافقة مع الموضحة أعلاه. ملاحظه قد يكون للسماح بالاتصالات التي تواجه ثغرات أمنيه من أجهزه غير متوافقة تاثير أمان غير معروف ويجب السماح بها بحرص.
-
قمت بإنشاء مجموعه (مجموعات الأمان) للحسابات التي سيتم السماح لها باستخدام قناه Netlogon الامنه المعرضة للثغرات الامنيه.
-
في "نهج المجموعة" ، انتقل إلى تكوين الكمبيوتر > إعدادات نظام التشغيل Windows > إعدادات الأمان > نهج محلي > خيارات الأمان
-
البحث عن "وحده التحكم بالمجال: السماح باتصالات القناة الامنه Netlogon ".
-
إذا كانت مجموعه المسؤول أو إذا كانت المجموعة التي لم يتم إنشاؤها بشكل خاص لاستخدامها مع نهج المجموعة هذا موجودة ، فقم بإزالتها.
-
أضافه مجموعه أمان التي تم إنشاؤها بشكل خاص لاستخدامها مع نهج المجموعة هذا لواصف الأمان مع الاذن "السماح". ملاحظه يعمل الاذن "رفض" بالطريقة نفسها التي يتم بها أضافه الحساب ، علي سبيل المثال. لن يتم السماح للحسابات بالعمل علي الاقنيه الامنه Netlogon.
-
بمجرد أضافه مجموعه (مجموعات) الأمان ، يجب ان يقوم نهج المجموعة بالنسخ المتماثل لكل وحده تحكم مجال DC.
-
وبشكل دوري ، يمكنك عرض احداث الاجهزه 5827 و 5828 و 5829 لتحديد الحسابات التي تستخدم اتصالات القناة الامنه التي تعمل بالأمان.
-
يمكنك أضافه حسابات الاجهزه هذه إلى مجموعه/مجموعات الأمان حسب الحاجة. أفضل ممارسه استخدم مجموعات الأمان في "نهج المجموعة" وأضف الحسابات إلى المجموعة بحيث يتم اجراء نسخ متماثل للعضوية من خلال النسخ المتماثل العادي للإعلان. يتجنب ذلك عمليات تاخير النسخ المتماثل وتحديثات نهج المجموعة المتكررة.
بمجرد التعامل مع جميع الاجهزه غير المتوافقة ، يمكنك نقل DCs إلى وضع الفرض (راجع القسم التالي).
تحذير السماح ل DCs باستخدام الاتصالات المعرضة للثغرات الموثوق بها لحسابات الثقة من خلال "نهج المجموعة" ستجعل المجموعة عرضه للهجمات. تتم تسميه حسابات الثقة عاده بعد المجال الموثوق به ، علي سبيل المثال: يحتوي DC في المجال-a علي ثقة مع DC في المجال-b. داخليا ، يحتوي DC في المجال-a علي حساب ثقة يحمل الاسم "مجال-b $" يمثل الكائن ثقة للمجال-b. إذا كانت وحده تحكم المجال DC في المجال-في المجال-تريد تعريض الغابة لمخاطر الهجوم عن طريق السماح بالمشكلات المتعلقة بالبريد الكتروني Netlogon المتعلقة بالبريد الكتروني من خلال حساب الثقة في مجال-b ، يمكن للمسؤول استخدام الوظيفة الاضافيه أدجروبميمبير – الهوية "-الافراد"-
الخطوة 3 ج: تمكين ال
الانتقال إلى وضع "الفرض" مسبقا لمرحله فرض 2021 فبراير
بعد ان يتم التعامل مع جميع الاجهزه غير المتوافقة ، اما عن طريق تمكين RPC الأمن أو السماح للاتصالات غير المحصنة بال"وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة" ، قم بتعيين مفتاح التسجيل فولسيكوريكهانيلبروتيكشن إلى 1.
ملاحظه إذا كنت تستخدم ال"وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon "نهج المجموعة" ، تاكد من انه قد تم النسخ المتماثل لنهج المجموعة وتطبيقه علي كل DCs قبل تعيين مفتاح التسجيل فولسيكوريكهانيلبروتيكشن.
عند نشر مفتاح التسجيل فولسيكوريكهانيلبروتيكشن ، سيكون DCs في وضع الفرض. يتطلب هذا الاعداد ان كل الاجهزه التي تستخدم القناة الامنه Netlogon اما:
-
استخدم RPC الأمن.
-
مسموح به في "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
تحذير سيتم رفض عملاء الجهات الخارجية التي لا تدعم RPC الأمن مع اتصالات القناة الامنه Netlogon عند نشر مفتاح تسجيل وضع الفرض في الاجهزه التي يمكنها تعطيل خدمات الإنتاج.
الخطوة 3 ب: مرحله الفرض
نشر تحديثات 9 فبراير و 2021
نشر التحديثات التي تم إصدارها من 9 فبراير ، 2021 أو الإصدارات الأحدث سيتم تشغيل وضع فرضDC. ان وضع الفرض الخاص بوحدات التحكم بالوصول (DC) يكون مطلوبا عند المطالبة باستخدام RPC الأمن أو انه يجب أضافه الحساب إلى "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة". في الوقت الحالي ، لم يعد هناك حاجه إلى مفتاح التسجيل فولسيكوريكهانيلبروتيكشن ولن يتم دعمه بعد الآن.
"وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon التي تعرضها لمشكلات Netlogon
يعد استخدام مجموعات الأمان في "نهج المجموعة" أفضل الممارسات. التالي ، يتم النسخ المتماثل للعضوية من خلال النسخ المتماثل الطبيعي للإعلان. يتجنب ذلك عمليات تاخير النسخ المتماثل وتحديثات نهج المجموعة المتكررة.
|
مسار النهج واسم الاعداد |
الوصف |
|
مسار النهج: تكوين الكمبيوتر > إعدادات نظام التشغيل > إعدادات الأمان > نهج محلي > خيارات الأمان أعاده التشغيل مطلوبه ؟ لا |
يحدد هذا الاعداد ما إذا كانت وحده التحكم بالمجال تتجاوز RPC الأمن لاتصالات القناة الامنه لNetlogon لحسابات الاجهزه المحددة. يجب تطبيق هذا النهج علي كل وحدات التحكم بالمجال في الغابة من خلال تمكين النهج الموجود في وحده تحكم المجال OU. عند تكوين قائمه "إنشاء اتصالات بالثغرات الامنيه" (قائمه السماح):
تحذير سيؤدي تمكين هذا النهج إلى عرض الاجهزه المتصلة بالمجال ومجموعه تفرعات Active directory ، والتي قد تعرضها للخطر. يجب استخدام هذا النهج كمقياس مؤقت للاجهزه الأخرى عند نشر التحديثات. بمجرد تحديث جهاز تابع لجهة خارجيه لدعم استخدام RPC الأمن مع القناات الامنه Netlogon ، يجب أزاله الحساب من القائمة إنشاء اتصالات بالثغرات الامنيه. لفهم المخاطر التي سيتم السماح لها باستخدام الحسابات الخاصة بالمشكلات التي يمكنك الاطلاع عليها بشكل أفضل ، تفضل بزيارة https://go.microsoft.com/fwlink/?linkid=2133485. افتراض لم يتم تكوين هذا النهج. لا يتم استثناء اي من حسابات الثقة أو الاجهزه التي تعمل بشكل واضح من خلال بروتوكول RPC الأمن مع فرض اتصالات القناة الامنه Netlogon. هذا النهج معتمد علي Windows Server 2008 R2 SP1 والإصدارات الأحدث. |
أخطاء سجل احداث Windows المتعلقة ب CVE-2020-1472
هناك ثلاث فئات من الاحداث:
1. يتم تسجيل الاحداث عند رفض الاتصال لأنه تمت محاولة الوصول إلى القناة الامنه Netlogon Netlogon:
-
خطا 5827 (حسابات الاجهزه)
-
خطا 5828 (حسابات الثقة)
2. يتم تسجيل الاحداث عند السماح بالاتصال لأنه تمت أضافه الحساب إلى ال"وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة":
-
تحذير 5830 (حسابات الاجهزه)
-
تحذير 5831 (حسابات الثقة)
3. يتم تسجيل الاحداث عند السماح باجراء اتصال في الإصدار الاولي الذي سيتم رفضه في وضع فرضDC:
-
تحذير 5829 (حسابات الاجهزه)
معرف الحدث 5827
سيتم تسجيل معرف الحدث 5827 عند رفض اتصال قناه أمنه لتسجيل الدخول عبر الاجهزه التي يمكن الوصول اليها من حساب جهاز.
|
سجل الاحداث |
النظام |
|
مصدر الحدث |
دخول |
|
معرف الحدث |
5827 |
|
المستوى |
الخطأ |
|
نص رسالة الحدث |
رفضت خدمه Netlogon اتصال قناه أمنه عبر الاجهزه التي يمكن الوصول اليها من حساب جهاز. ساماككونتنامي الجهاز: المجال: نوع الحساب: نظام التشغيل الجهاز: بنيه نظام التشغيل الجهاز: حزمه خدمات نظام التشغيل الجهاز: للحصول علي مزيد من المعلومات حول سبب رفض هذا الأمر ، تفضل بزيارة https://go.microsoft.com/fwlink/?linkid=2133485. |
معرف الحدث 5828
سيتم تسجيل معرف الحدث 5828 عند رفض اتصال قناه موثوق بها للشبكة التي يمكن الوصول اليها من خلال حساب ثقة.
|
سجل الاحداث |
النظام |
|
مصدر الحدث |
دخول |
|
معرف الحدث |
5828 |
|
المستوى |
الخطأ |
|
نص رسالة الحدث |
رفضت خدمه Netlogon اتصال قناه أمنه من المشكلات التي يمكن الوصول اليها باستخدام حساب ثقة. نوع الحساب: اسم الثقة: هدف الثقة: عنوان IP الخاص بالعميل: للحصول علي مزيد من المعلومات حول سبب رفض هذا الأمر ، تفضل بزيارة https://go.microsoft.com/fwlink/?linkid=2133485. |
معرف الحدث 5829
سيتم تسجيل معرف الحدث 5829 خلال مرحله النشر الاوليفقط ، عند السماح بوجود اتصال قناه أمنه عبر الشبكة التي يمكن الحصانة من حساب الجهاز.
عند نشر وضع فرض DC أو عند بدء تشغيل مرحله الفرض بنشر تحديثات شهر فبراير ، 2021 ، سيتم رفض هذه الاتصالات سيتم تسجيل معرف الحدث 5827. ولهذا السبب من المهم ان تراقب الحدث 5829 اثناء مرحله النشر الاولي والتصرف قبل مرحله الفرض لتجنب الانقطاع.
|
سجل الاحداث |
النظام |
|
مصدر الحدث |
دخول |
|
معرف الحدث |
5829 |
|
مستوي |
تحذر |
|
نص رسالة الحدث |
تسمح خدمه Netlogon باتصال قناه أمنه من المشكلات التي تعرض للهجمات. تحذير: سيتم رفض هذا الاتصال بمجرد إصدار مرحله الفرض. لفهم مرحله الفرض بشكل أفضل ، تفضل بزيارة https://go.microsoft.com/fwlink/?linkid=2133485. ساماككونتنامي الجهاز: المجال: نوع الحساب: نظام التشغيل الجهاز: بنيه نظام التشغيل الجهاز: حزمه خدمات نظام التشغيل الجهاز: |
معرف الحدث 5830
سيتم تسجيل معرف الحدث 5830 عند السماح لاتصال حساب جهاز القناة الامنه عبر Netlogon من خلال "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
|
سجل الاحداث |
النظام |
|
مصدر الحدث |
دخول |
|
معرف الحدث |
5830 |
|
المستوى |
تحذير |
|
نص رسالة الحدث |
تسمح خدمه Netlogon باتصال قناه أمنه عبر البريد الخاص ب Netlogon نظرا لان حساب الجهاز مسموح به في "وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon "لنهج المجموعة". تحذير: يؤدي استخدام القناات التي تعمل بالمشكلات الامنه Netlogon التي ستعرض الاجهزه المتصلة بالمجال للهجوم. لحماية جهازك من الهجوم ، قم بازاله حساب جهاز من "وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon "لنهج المجموعة" بعد تحديث عميل Netlogon التابع لجهة خارجيه. لفهم مخاطر تكوين حسابات الاجهزه بشكل أفضل ليسمح لك باستخدام اتصالات قنوات الأمان الخاصة بالمشكلات الامنه Netlogon ، تفضل بزيارة https://go.microsoft.com/fwlink/?linkid=2133485. ساماككونتنامي الجهاز: المجال: نوع الحساب: نظام التشغيل الجهاز: بنيه نظام التشغيل الجهاز: حزمه خدمات نظام التشغيل الجهاز: |
معرف الحدث 5831
سيتم تسجيل معرف الحدث 5831 عند السماح لاتصال حساب الثقة بالقناة الامنه لتسجيل الدخول عبر البريد الموثوق به من قبل "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
|
سجل الاحداث |
النظام |
|
مصدر الحدث |
دخول |
|
معرف الحدث |
5831 |
|
المستوى |
تحذير |
|
نص رسالة الحدث |
تسمح خدمه Netlogon باتصال قناه أمنه من خلال المشكلة الموثوق بها (netlogon) لان حساب الثقة مسموح به في "وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon "لنهج المجموعة". تحذير: سيؤدي استخدام القناات التي تستخدم الثغرات الامنه Netlogon إلى عرض مجموعات تفرعات Active directory للهجوم. لحماية مجموعات تفرعات Active Directory من الهجوم ، يجب ان تستخدم كل الثقات RPC الامنه مع القناة الامنه Netlogon. أزاله حساب ثقة من "وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon التي تتضمن الاجهزه التي تستخدمها. لفهم المخاطر التي سيتم السماح لها بتكوين حسابات الثقة بشكل أفضل لاستخدام اتصالات قنوات الأمان الامنه Netlogon المعتمدة ، الرجاء زيارة https://go.microsoft.com/fwlink/?linkid=2133485. نوع الحساب: اسم الثقة: هدف الثقة: عنوان IP الخاص بالعميل: |
قيمه السجل لوضع الفرض
تحذير قد تحدث مشاكل خطيره إذا قمت بتعديل السجل بطريقه غير صحيحه باستخدام "محرر السجل" أو باستخدام أسلوب آخر. قد تتطلب هذه المشاكل أعاده تثبيت نظام التشغيل. لا تضمن Microsoft ان تتمكن من حل هذه المشاكل. يمكنك تعديل السجل علي مسؤوليتك الشخصية.
تقدم تحديثات 11 أغسطس 2020 اعداد السجل التالي لتمكين وضع الفرض في وقت مبكر. سيتم تمكين ذلك بغض النظر عن اعداد التسجيل في مرحله "الفرض" بدءا من 9 فبراير ، 2021:
|
مفتاح السجل الفرعي |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
القيمة |
فولسيكوريكهانيلبروتيكشن |
|
نوع البيانات |
REG_DWORD |
|
بيانات |
1 – يؤدي ذلك إلى تمكين وضع الفرض. سيرفض DCs اتصالات القناة الامنه التي تعرضها للشبكة التي يمكن التحكم بها. السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة". 0 – DCs يسمح لاتصالات القناات الامنه Netlogon المتعلقة بالاجهزه التي تعمل بنظام التشغيل Windows. سيكون هذا الخيار مهملا في إصدار مرحله الفرض. |
|
أعاده التشغيل مطلوبه ؟ |
لا |
الاجهزه التابعة لجهة خارجيه التي تطبق [MS-نربك]: البروتوكول البعيد Netlogon
يجب ان يستخدم كل الخوادم أو العملاء التابعين لجهة خارجيه RPC الامنه مع القناة الامنه Netlogon. الرجاء الاتصال بالشركة المصنعة للجهاز (OEM) أو بائعي البرامج لتحديد ما إذا كانت البرامج متوافقة مع البروتوكول البعيد Netlogon الأخير.
يمكن العثور علي تحديثات البروتوكول علي موقع وثائق بروتوكول Windows.
الاسئله المتداولة (FAQ)
-
نظام التشغيل Windows & الاجهزه المتصلة بالمجالات التابعة لجهة خارجيه في Active directory (AD)
-
نظام التشغيل Windows Server & وحدات التحكم بالمجالات التابعة لجات خارجيه في مجالات الثقة & موثوق بها التي تملك حسابات ثقة في AD
قد تكون الاجهزه التابعة لجهة خارجيه غير متوافقة. إذا كان الحل التابع لجهة خارجيه يحافظ علي حساب جهاز في AD ، فاتصل بالبائع لتحديد ما إذا كنت متاثرا بذلك.
قد تتسبب عمليات التاخير في النسخ المتماثل AD و Sysvol أو فشل تطبيق نهج المجموعة في عمليه مصادقه DC في التغيرات التي تم اجراؤها علي "نهج المجموعة" في وحده التحكم بالمجال: السماح بوجود اتصالات قنوات البريد الأمن Netlogon التي يمكن الوصول اليها " ستكون غير موجودة ستؤدي إلى رفض الحساب.
قد تساعدك الخطوات التالية علي استكشاف المشكلة وإصلاحها:
-
إذا قمت بتكوين النهج ليحتوي علي مجموعه واجراء تغييرات علي عضويه المجموعة لأضافه الحساب ، فتاكد من ان DC الذي رفض الاتصال قد قام بنسخ العضوية علي المجموعة محليا. ملاحظه لا يوصي باضافه الحسابات مباشره إلى نهج المجموعة.
-
إذا قمت بتغيير النهج وقامت باضافه حساب جديد أو مجموعه جديده ، فتحقق من النسخ المتماثل لتغيير النهج وتطبيقه: تشغيل الأوامر gpupdate/force و gpresult/h
-
للحصول علي مزيد من المعلومات حول استكشاف الأخطاء وإصلاحها في تطبيق نهج المجموعة والمكونات ذات الصلة ، راجع ما يلي:
بشكل افتراضي ، يجب الا تستخدم الإصدارات المعتمدة من Windows التي تم تحديثها بالبالكامل اتصالات قناه أمنه عبر الاجهزه التي تعمل بنظام التشغيل Netlogon. إذا تم تسجيل معرف الحدث 5827 في سجل احداث النظام لجهاز يعمل بنظام التشغيل Windows:
-
تاكد من ان الجهاز يستخدم إصدارات معتمده من Windows.
-
تاكد من التحديث الكامل للجهاز من Windows Update.
-
تحقق للتاكد من عضو المجال: يتم تعيين بيانات القناة المؤمنة أو توقيعها رقميا (دائما) إلى ممكنة في كائن نهج المجموعة المرتبط ب OU لجميع أجهزه DCs ، علي سبيل المثال ، وحده تحكم المجال الافتراضية GPO.
نعم ، يجب ان يتم تحديثها ، ولكن لا يمكن عرضه بشكل خاص لCVE-2020-1472.
لا ، DCs هي الدور الوحيد الذي تاثر ب CVE-2020-1472 ويمكن تحديثها بشكل مستقل عن خوادم WINDOWS غير DC وأجهزه windows الأخرى.
لا يمكن الوصول إلى نظام التشغيل Windows Server 2008 المزود بحزمه الخدمة SP2 لهذه الCVE المحددة لأنه لا يستخدم AES المقياس ل RPC الأمن.
نعم ، أنت بحاجه إلى التحديث الأمني الموسع (اسو) لتثبيت التحديثات علي العنوان CVE-2020-1472 لنظام التشغيل Windows Server 2008 R2 المزود بحزمه الخدمة SP1.
من خلال نشر تحديثات شهر أغسطس 11 أو 2020 أو الإصدارات الأحدث لكل وحدات تحكم المجال في البيئة الخاصة بك.
تاكد من عدم وجود اي من الاجهزه التي تمت اضافتها إلى "وحده التحكم بالمجال: السماح لاتصالات القناة الامنه Netlogon الخاصة بالخدمات الامنه في الاعمال الاضافيه " تملك خدمات امتيازات مسؤول المؤسسة أو مسؤول المجال ، مثل SCCM أو Microsoft Exchange. ملاحظه سيتم السماح لأي جهاز في قائمه "السماح" باستخدام الاتصالات المعرضة للثغرات الامنيه ويمكن ان يعرض بيئتك للهجوم.
تعمل عمليه تثبيت التحديثات التي تم إصدارها في 11 أغسطس أو 2020 أو إصدار لاحق علي وحدات تحكم المجال علي حماية حسابات الاجهزه المستندة إلى Windows ، وحسابات الثقة وحسابات وحده التحكم بالمجال.
لا تتم حماية حسابات جهاز Active directory للاجهزه الأخرى المتصلة بالمجال حتى يتم نشر وضع الفرض. لا تتم حماية حسابات الاجهزه أيضا إذا تمت اضافتها إلى "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
تاكد من ان كل وحدات التحكم بالمجال في بيئتك قد قمت بتثبيت تحديثات 11 أو 2020 أو الإصدارات الأحدث بشهر أغسطس.
اي من هويات الاجهزه التي تمت اضافتها إلى "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon التي تعرضها المشكلات التي قد تعرض "نهج المجموعة" للهجوم.
تاكد من ان كل وحدات التحكم بالمجال في بيئتك قد قمت بتثبيت تحديثات 11 أو 2020 أو الإصدارات الأحدث بشهر أغسطس.
تمكين وضع الفرض لرفض الاتصالات غير المحصنة من هويات الاجهزه التابعة لجهة خارجيه غير متوافقة.
ملاحظه مع تمكين وضع الفرض ، يمكنك القيام بأي هويات أجهزه تابعه لجهة خارجيه تتم اضافتها إلى ال "وحده التحكم بالمجال: السماح ب اتصالات القناة الامنه Netlogon التي تعرضها الاجهزه التي تعمل بالاجهزه التي تعمل بأمان
يطلب وضع الفرض ان وحدات التحكم بالمجال لا تسمح باتصالات Netlogon من الاجهزه التي لا تستخدم RPC الأمن الا إذا تمت أضافه حساب الجهاز هذا إلى "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة".
للحصول علي مزيد من المعلومات ، راجع المقطع قيمه السجل لوضع الفرض .
لا يمكن أضافه سوي حسابات الاجهزه للاجهزه التي لا يمكن تحويلها بأمان عبر تمكين RPC الأمن علي القناة الامنه Netlogon إلى نهج المجموعة. من المستحسن جعل هذه الاجهزه متوافقة أو استبدال هذه الاجهزه لحماية بيئتك.
يمكن للمهاجم القيام بذلك من خلال هويه جهاز Active directory التي تمت اضافتها إلى نهج المجموعة التالي زيادة الأذونات الخاصة بهويه الجهاز.
إذا كان لديك جهاز تابع لجهة خارجيه لا يدعم RPC الأمن للقناه الامنه Netlogon وكانت تريد تمكين وضع الفرض ، فيجب أضافه حساب الجهاز لهذا الجهاز إلى نهج المجموعة. هذا الأمر غير مستحسن وقد يترك مجالك في حاله تعرضها للخطر. من المستحسن استخدام نهج المجموعة هذا للسماح للوقت بتحديث اي أجهزه تابعه لجهة خارجيه أو استبدالها لجعلها متوافقة.
يجب تمكين وضع الفرض في أقرب وقت ممكن. يجب ان يتم التعامل مع اي جهاز تابع لجهة خارجيه اما عن طريق جعلها متوافقة أو عن طريق اضافتها إلى "وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة". ملاحظه سيتم السماح لأي جهاز في قائمه "السماح" باستخدام الاتصالات المعرضة للثغرات الامنيه ويمكن ان يعرض بيئتك للهجوم.
مصطلحات
|
شان |
تعريف |
|
لحرك |
Active directory |
|
تحكم |
وحده التحكم بالمجال |
|
مفتاح التسجيل الذي يسمح لك بتمكين وضع الفرض مقدما من 9 فبراير 2021. |
|
|
المرحلة بدءا من 9 فبراير ، 2021 تحديثات حيث يتم تمكين وضع الفرض علي كل وحدات التحكم بالمجال في Windows ، بغض النظر عن اعداد السجل. سيقوم DCs بمنع الاتصالات غير المحصنة من جميع الاجهزه غير المتوافقة ، ما لم تتم اضافتها إلى ال"وحده التحكم بالمجال: السماح بتوصيلات القناة الامنه Netlogon "نهج المجموعة". |
|
|
المرحلة بدءا من 11 أغسطس 2020 تحديث ومتابعه التحديثات اللاحقة حتى مرحله الفرض. |
|
|
حساب الجهاز |
يشار اليها أيضا ب "كمبيوتر Active directory" أو "كائن الكمبيوتر". الرجاء الاطلاع علي قاموس مصطلحات MS نبرك للحصول علي التعريف الكامل. |
|
البروتوكول البعيد ل Microsoft Netlogon |
|
|
جهاز غير متوافق |
الجهاز غير المتوافق هو أحد الاجهزه التي تستخدم اتصال قناه أمنه من المشكلات المتعلقة ب Netlogon. |
|
ردك |
وحدات التحكم بالمجال للقراءة فقط |
|
اتصال معرض للثغرات الامنيه |
اتصال القناة الامنه Netlogon الذي لا يستخدم RPC الأمن. |
