Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Резюме

Netlogon отдалечен протокол (наричан също MS-NRPC) е RPC интерфейс, който се използва само от устройства, които са съединени с домейна. MS-NRPC включва метод за удостоверяване и метод на създаване на защитен канал в Netlogon. Тези актуализации налагат зададеното поведение на клиента на Netlogon, за да се използва Secure RPC с Netlogon Secure Channel между компютрите на членовете и домейновите контролери на Active Directory (AD).

Тази актуализация на защитата се отнася до уязвимостта, като налага защитата на RPC, когато използвате защитения канал на Netlogon в поетапно издание, обяснено във времето на актуализациите, за да се справите с Netlogon УЯЗВИМОСТ CVE-2020-1472 секция. За да предоставите AD Forest Protection, всички DCs трябва да бъдат актуализирани, тъй като те ще прилагат Secure RPC с Netlogon Secure Channel. Това включва домейнови контролери само за четене (RODC).

За да научите повече за уязвимостта, вж. CVE-2020-1472.

Предприемане на действия

За да защитите вашата среда и да предотвратите прекъсвания, трябва да направите следното:

Забележка Стъпка 1 от инсталирането на актуализации, издадена на 11 август, 2020 или по-нова версия, ще адресира проблема за защита в CVE-2020-1472 за домейни и тръстове на Active Directory, както и устройства с Windows. За да намалите напълно проблема със защитата за устройства от други разработчици, ще трябва да изпълните всички стъпки.

Предупреждение От 1 февруари 2021. Режимът на принудително изпълнение ще бъде разрешен на всички администратори на домейни на Windows и ще блокира уязвимите връзки от устройства, които не отговарят на изискванията. Тогава няма да можете да забраните режим на принудително изпълнение.

  1. Актуализирайте своите домейнови контролери с актуализация, издадена на 11 август, 2020 или по-нова версия.

  2. Намерете кои устройства правят уязвими връзки, като наблюдавате регистрационните файлове на събитията.

  3. Адресиране на несъвместими устройства, които правят уязвими връзки.

  4. Разрешаване на режим на принудително изпълнение за адресиране на CVE-2020-1472 във вашата среда.


Забележка Ако използвате Windows Server 2008 R2 SP1, имате нужда от лиценз за разширената актуализация на защитата (есе), за да инсталирате успешно актуализацията, която се отнася за този проблем. За повече информация относно програмата за есе вижте ЧЗВ за жизнения цикъл – разширените актуализации на защитата.

В тази статия:

Времена на актуализациите за адресиране на Netlogon уязвимост CVE-2020-1472

Актуализациите ще бъдат издадени на два етапа: Първоначалният етап на актуализациите, издадени на или след 11 август 2020 г., и фазата за изпълнение на актуализациите, издадени на или след 9 февруари 2021.

11 август 2020 – фаза на първоначално разполагане

Фазата на първоначалното разполагане започва с актуализациите, издадени на 11 август 2020. и продължава с по-нови актуализации до фазата на изпълнение. Тези и по-нови актуализации променят Netlogon протокол, за да защитят устройства с Windows по подразбиране, логове за събития за откриване на устройства, които не отговарят на изискванията и добавят възможност за защита за всички устройства, които са свързани с домейна, с изрични изключения. Това издание:

  • Прилага Secure RPC употребата за машинни акаунти на базирани на Windows устройства.

  • Прилага Secure RPC употребата за доверителни акаунти.

  • Прилага Secure RPC употребата за всички Windows и извън Windows DCs.

  • Включва нови групови правила, за да позволите акаунти, които не отговарят на изискванията, (тези, които използват уязвимите връзки с защитения канал Netlogon). Дори когато DCs се изпълняват в режим на принудително изпълнение или след стартиране на фазата на изпълнение , не се разрешават устройства за свързване.

  • FullSecureChannelProtection от системния регистър, за да разрешите режима за принудително изпълнение за всички машинни акаунти (фазата на изпълнение ще се актуализира в режимна принудително изпълнение на DC).

  • Включва нови събития, когато се откажат акаунти или ще бъде отказано в режим на ПРАВОПРИЛАГАНЕ DC (и ще продължи през фазата на изпълнение). Конкретните идентификатори на събитието са обяснени по-нататък в тази статия.

Смекчаване се състои от инсталирането на актуализацията на всички DCs и RODCs, мониторинг за нови събития и адресиране на неотговарящи на изискванията устройства, които използват уязвими Netlogon защитени връзки с канал. Акаунти за машини на устройства, които не отговарят на изискванията, могат да се използват за използване на уязвимите Netlogon защитени канали. Въпреки това те трябва да бъдат актуализирани, за да поддържат Secure RPC за Netlogon, и акаунтът да бъде наложен възможно най-скоро, за да се премахне рискът от нападение.

9 февруари 2021 – етап на изпълнение

Изданието на 9 февруари 2021 отбелязва прехода към фазата на изпълнение. Сега DCs ще бъде в режим на принудително изпълнение независимо от ключа за принудително изпълнение от системния регистър. Това изисква всички устройства с Windows и устройства, които не са с Windows, да използват Secure RPC с Netlogon Secure Channel или изрично да разрешат акаунта, като добавят изключение за устройството, което не отговаря на изискванията. Това издание:

  • Прилага Secure RPC употребата за машинни акаунти на устройства, които не са базирани на Windows, освен ако не са разрешени от "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

  • Регистриране на събитието ID 5829 ще бъде премахнато. Тъй като всички уязвими връзки са отхвърлени, сега ще виждате само идентификатори на събитието 5827 и 5828 в регистрационния файл на събитията на системата.

Указания за разполагането – разполагане на актуализации и прилагане на съответствие

Фазата на първоначалното разполагане ще се състои от следните стъпки:

  1. Разполагането на 11 август актуализацииза всички DCS в горите.

  2. (а) монитор за предупредителни събитияи (b) Act за всяко събитие.

  3. (а) след като бъдат решени всички предупреждения, пълна защита може да бъде разрешена, като разположите режим на DC принудително изпълнение. (б) всички предупреждения трябва да бъдат решени преди актуализацията от 9 февруари 2021 за изпълнение на фазата.

стъпка 1: АКТУАЛИЗИРАНЕ на

Разполагане на 11 август 2020 актуализации

Разполагане на 11 август актуализации за всички приложими контролери на домейни (DCs) в гората, включително домейнови контролери само за четене (RODCs). След разполагането на тази актуализация с кръпка DCs ще:

  • Започнете да прилагате защитена RPC употреба за всички базирани на Windows акаунти на устройства, надеждни акаунти и всички DCs.

  • Регистриране на събитието идентификатори 5827 и 5828 в системния регистър на събитията, ако се отхвърлят връзки.

  • Регистрационен файл на събитието IDs 5830 и 5831 в системния регистър на събитията, ако връзките са разрешени от "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

  • Регистрационен файл на събитието 5829 в регистрационния файл за системно събитие всеки път, когато е допусната уязвима Netlogon защитена връзка с канал. Тези събития трябва да бъдат адресирани, преди да е конфигуриран режимът DC принудително изпълнение , или преди фазата на изпълнение да започне на 9 февруари 2021.

 

стъпка 2 а: НАМИРАНЕ

Откриване на устройства, които не отговарят на изискванията, чрез ИД на събитие 5829

След 11 август 2020 актуализации, които са приложени към DCs, събитията могат да бъдат събирани в регистрите на събитията на DC, за да се определи кои устройства във вашата среда използват уязвимите връзки с защитения канал на Netlogon (наричани не отговаря на изискванията устройства в тази статия). Наблюдавайте кръпка DCs за събития, свързани с ИД на събитие 5829. Събитията ще включват подходяща информация за идентифициране на несъответстващите устройства.

За да следите за събития, използвайте наличния софтуер за проследяване на събития или като използвате скрипт, за да следите своите DCs.  За примерен скрипт, който можете да приспособите към вашата среда, вж. скрипт, който да ви помогне в наблюдението на идентификатори на събития, свързани с актуализации на Netlogon за CVE-2020-1472

стъпка 2 б: АДРЕС

Адресиране на идентификатори на събитие 5827 и 5828

По подразбиране поддържаните версии на Windows , които са напълно актуализирани, не трябва да използват уязвимите връзки за защитен канал на Netlogon. Ако едно от тези събития е регистрирано в системния регистър на събитията за устройство с Windows:

  1. Уверете се, че на устройството се изпълнява поддържана версия на Windows.

  2. Уверете се, че устройството е напълно актуализирано.

  3. Проверете, за да се уверите, че член на домейн: Цифрово шифроване или записване на данни от защитен канал (винаги) е зададено на разрешен.

За устройства, които не са на Windows, действащи като DC, тези събития ще се регистрират в регистрационния файл на събитията на системата, когато се използват уязвимите връзки с защитения канал на Netlogon. Ако е регистрирано едно от следните събития:

  • Препоръчва се Работа с производителя на устройства (OEM) или доставчик на софтуер, за да получите поддръжка за защитено RPC чрез Netlogon Secure Channel

    1. Ако несъвместимият DC поддържа Secure RPC с Netlogon Secure Channel, тогава разрешете защитено RPC на DC.

    2. Ако несъвместимият DC в момента не поддържа защитена RPC, работете с производителя на устройството (OEM) или доставчика на софтуер, за да получите актуализация, която поддържа защитена RPC с Netlogon Secure Channel.

    3. Оттегляте несъответстващ DC.

  • Уязвими Ако несъответстващ DC не може да поддържа Secure RPC с Netlogon Secure Channel, преди да са в режим на принудително изпълнение, добавете DC, като използвате "домейнов контролер: Позволяване на уязвимите връзки с защитения канал на Netlogon ", описани по-долу.

Предупреждение Разрешаването на DCs да използва уязвимите връзки от груповите правила ще направи горите уязвими за атаки. Крайната цел трябва да бъде адресирането и премахването на всички акаунти от тези групови правила.

 

Адресиране на събитие 5829

Събитието ID 5829 се генерира, когато е допусната уязвима връзка по време на фазата на първоначалното разполагане. Тези връзки ще бъдат отхвърлени, когато DCs са в режим на принудително изпълнение. В тези събития се фокусирайте върху името на машината, домейна и версиите на операционната система, идентифицирани за определяне на несъвместимите устройства и за това как те трябва да бъдат решени.

Начините за адресиране на несъответстващи устройства:

  • Препоръчва се Работете с производителя на устройства (OEM) или доставчика на софтуер, за да получите поддръжка за защитено RPC чрез Netlogon Secure Channel:

    1. Ако несъвместимото устройство поддържа Secure RPC с Netlogon Secure Channel, тогава разрешете защитено RPC на устройството.

    2. Ако несъвместимото устройство в момента не поддържа защитена RPC с Netlogon Secure Channel, работете с производителя на устройството или продавача на софтуера, за да получите актуализация, която позволява защитена RPC с Netlogon Secure Channel, за да се разреши.

    3. Да оттеглите устройството, което не отговаря на изискванията.

  • Уязвими Ако устройство, което не отговаря на изискванията, не може да поддържа защитено RPC чрез Netlogon Secure Channel, преди да са в режим на принудително изпълнение, добавете устройството чрез "домейнов контролер: Позволяване на уязвимите връзки с защитения канал на Netlogon ", описани по-долу.

Предупреждение Разрешаването на акаунти за устройства да използват уязвими връзки от груповите правила ще изложи тези реклами на рискови акаунти. Крайната цел трябва да бъде адресирането и премахването на всички акаунти от тези групови правила.

 

Позволяване на уязвими връзки от устройства от трети лица

Използвайте "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал " за групиране за добавяне на несъвместими акаунти. Това трябва да се счита за краткосрочно средство за защита, докато несъвместимите устройства не са адресирани, както е описано по-горе. Забележка Разрешаването на уязвимите връзки от устройства, които не отговарят на изискванията, може да има неочаквано въздействие върху защитата и трябва да бъде позволено

  1. Създали сте групи за защита за акаунти, които ще могат да използват уязвимия канал на Netlogon Secure.

  2. В "групови правила" отидете на конфигурацията на компютър > Настройки на Windows > настройки за защита > локални правила > Опции за защита

  3. Извършете търсене за "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал ".

  4. Ако групата на администраторите или група, която не е създадена специално за използване с тази група правила, е налице, премахнете я.

  5. Добавете група за защита, специално направена за използване с тези групови правила, към дескриптора за защита с разрешение "позволи". Забележка Разрешението "отричане" се държи по същия начин, по който не е добавен акаунтът, т. е. акаунтите няма да могат да направят уязвими Netlogon защитени канали.

  6. След като са добавени групите за защита, груповите правила трябва да се репликират за всеки DC.

  7. Периодично наблюдавайте събитията 5827, 5828 и 5829, за да определите кои акаунти използват уязвимите връзки със защитения канал.

  8. Добавете тези акаунти за машината към групите за защита, както е необходимо. Най-добра практика Използвайте групите за защита в правилата за групи и добавете акаунти към групата, така че членството да е репликирано чрез обичайната репликация на реклами. Това предотвратява чести актуализации на груповите правила и закъснения при репликация.

След като всички устройства, на които не отговаряте на изискванията, са адресирани, можете да преместите вашия DCs в режим на принудително изпълнение (вж. следващия раздел).

Предупреждение Разрешаването на DCs да използва уязвимите връзки за доверителни акаунти от груповите правила ще направи горите уязвими за атаки. Доверителните акаунти обикновено се именуват след надеждния домейн, например: DC в домейна – a има доверие с DC в домейна – b. Вътрешно – DC в домейна – а има акаунт за доверително име "Domain – b $", който представлява обекта за надеждност за домейна – b. Ако DC в домейна – a иска да изобличи гората за опасност от нападение, като позволява уязвимите Netlogon защитени канали от акаунта за доверително управление на домейна, администраторът може да използва добавката adgroupmember – самоличност "име на групата за защита" – потребители "Domain – b $", за да добави доверителния акаунт към групата за защита.

 

стъпка 3 а: Разрешаване на

Преместване в режим на принудително изпълнение по-рано от фазата за изпълнение от 2021 февруари

След като всички устройства, на които не отговаряте на изискванията, са адресирани, или чрез разрешаване на защитено RPC, или чрез предоставяне на уязвими връзки с "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила Задайте FullSecureChannelProtection от системния регистър ключ на 1.

Забележка Ако използвате "домейнов контролер: Позволяване на уязвими Netlogonи връзки в защитен канал "за групови правила, уверете се, че груповите правила са повторени и приложени към всички DCs, преди да зададете ключа от системния регистър FullSecureChannelProtection.

Когато се разполага ключът от системния регистър на FullSecureChannelProtection, DCs ще бъде в режим на принудително изпълнение. Тази настройка изисква всички устройства, които използват Netlogon Secure Channel, или:

Предупреждение От други клиенти, които не поддържат защитени RPC с Netlogon, ще бъде отказано свързване с ключове от системния регистър за режим DC принудително разполагане, което може да попречи на производствените услуги.

 

стъпка 3 б: Етап на изпълнение

Разполагане на 9 февруари 2021 актуализации

Разполагането на актуализациите, издадени на 9 февруари, 2021 или по-нова версия, ще включи режим DC принудително изпълнение. Режимът за принудително изпълнение на DC е, когато всички връзки от Netlogon или са необходими, за да се използва Secure RPC, или акаунтът трябва да е добавен към "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила. В момента ключът от системния регистър на FullSecureChannelProtection вече не е необходим и повече няма да се поддържа.

"Домейнов контролер: Позволяване на уязвими Netlogon връзки в защитен канал "групови правила

Най-добра практика е да се използват групи за защита в правилата за групи, така че членството да е репликирано чрез обичайната репликация на реклами. Това предотвратява чести актуализации на груповите правила и закъснения при репликация.

Път за правила и име на настройка

Описание

Път на правилата: Конфигуриране на компютър > настройки на Windows > настройки за защита > локални правила > опции за защита

Име на настройката: домейнов контролер: Позволяване на уязвими Netlogon връзки със защитения канал

Необходима ли е рестартирането? Не

Тази настройка за защита определя дали домейновият контролер заобикаля защитеното RPC за Netlogon защитени връзки за канали за зададени акаунти за машината.

Тези правила трябва да бъдат приложени към всички домейнови контролери в дадена структура, като се даде възможност на правилата за домейновите контролери OU.

Когато е конфигуриран списъкът "създаване на уязвими връзки" (списъкът с разрешени) е конфигуриран:

  • Позволите Домейновият контролер ще позволи на зададените групи/акаунти да използват Netlogon Secure Channel без защитено RPC.

  • Откажи Тази настройка е същата като поведението по подразбиране. Домейновият контролер ще изисква зададените групи/акаунти, за да използват Netlogon Secure Channel с Secure RPC.

Предупреждение Разрешаването на тези правила ще покаже вашите устройства, Съединени с домейна, и горите на Active Directory, които могат да ги поставят в риск. Тези правила трябва да се използват като временни мерки за устройства на трети лица, докато разполагате актуализации. След като устройство от трето лице е актуализирано за поддръжка чрез защитено RPC чрез защитени канали на Netlogon, акаунтът трябва да бъде премахнат от списъка създаване на уязвими връзки. За да разберете по-добре риска от конфигуриране на акаунти, които да могат да използват уязвимите Netlogon, посетете https://go.microsoft.com/fwlink/?linkid=2133485.

Подразбиране Тези правила не са конфигурирани. Без устройства или доверителни акаунти изрично се освобождават от Secure RPC с Netlogon на защитен канал connections (правоприлагане).

Тези правила се поддържат в Windows Server 2008 R2 SP1 и по-нови версии.

Грешки в регистрационния файл на събитията на Windows, свързани с CVE-2020-1472

Има три категории събития:

1. Събитията са влезли, когато е отказана връзка, защото е направен опит за уязвими Netlogon защитена връзка с канал:

  • Грешка 5827 (акаунти за машината)

  • 5828 (доверителни акаунти) грешка

2. Събитията са влезли, когато е разрешена връзка, понеже Акаунтът е добавен към "домейнов контролер: Позволяване на уязвими Netlogon връзки със защитения канал "за групови правила:

  • Предупреждение за 5830 (акаунти за машинни)

  • Предупреждение за 5831 (доверителни акаунти)

3. Събитията са влезли, когато е допусната връзка в първоначалното издание, която ще бъде отхвърлена в РЕЖИМА DC принудително изпълнение:

  • Предупреждение за 5829 (акаунти за машинни)

ИД на събитие 5827

Събитието ID 5827 ще бъде записано, когато е отказано свързване на уязвими Netlogon защитена канал от акаунт за машината.

Регистрационен файл на събитията

Система

Източник на събитие

NETLOGON

ИД на събитие

5827

Ниво

Грешка

Текст на съобщение за събитие

Услугата Netlogon отказано е уязвима Netlogon защитена канална връзка от компютър акаунт.

Машинен SamAccountName:

Домейн:

Тип акаунт:

Машинна операционна система:

Изграждане на операционната система на машината:

Сервизен пакет за машинна операционна система:

За повече информация относно причината за това е било отказано, посетете HTTPS://Go.Microsoft.com/fwlink/?LinkId=2133485.

 

ИД на събитие 5828

Събитието ID 5828 ще бъде записано, когато е отказано свързване на уязвими Netlogon защитена канал от надежден акаунт.

Регистрационен файл на събитията

Система

Източник на събитие

NETLOGON

ИД на събитие

5828

Ниво

Грешка

Текст на съобщение за събитие

Услугата Netlogon отказано е уязвима Netlogon защитена връзка с канал чрез надежден акаунт.

Тип акаунт:

Име на гарант:

Целева цел за надеждност:

IP адрес на клиента:

За повече информация относно причината за това е било отказано, посетете HTTPS://Go.Microsoft.com/fwlink/?LinkId=2133485.

 

ИД на събитие 5829

Събитието ID 5829 ще бъде регистрирано само по време на фазата на първоначалното разполагане, когато е позволена защитена връзка от Netlogon Secure Channel от акаунт за машината.

Когато се разполага режим DC принудително изпълнение или след като фазата на изпълнение започне с разполагането на актуализацията от 9 февруари 2021, тези връзки ще бъдат отказани и ще се регистрира събитието ID 5827. Затова е важно да се следи за събитието 5829 по време на първоначалното разполагане и да се действа преди фазата на изпълнение, за да се избегнат прекъсвания.

Регистрационен файл на събитията

Система

Източник на събитие

NETLOGON

ИД на събитие

5829

Ниво

Предупреждение

Текст на съобщение за събитие

Услугата за Netlogon разреши защитена връзка за Netlogon Secure Channel.  

Предупреждение: Тази връзка ще бъде отказана, след като фазата за изпълнение бъде издадена. За да разберете по-добре фазата на изпълнение, посетете HTTPS://Go.Microsoft.com/fwlink/?LinkId=2133485.  

Машинен SamAccountName:  

Домейн:  

Тип акаунт:  

Машинна операционна система:  

Изграждане на операционната система на машината:  

Сервизен пакет за машинна операционна система:  

ИД на събитие 5830

Събитието ID 5830 ще бъде регистрирано, когато е допусната връзка с акаунт за Netlogon Secure Channel за машинен канал чрез "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

Регистрационен файл на събитията

Система

Източник на събитие

NETLOGON

ИД на събитие

5830

Ниво

Предупреждение

Текст на съобщение за събитие

Услугата за Netlogon разреши защитена връзка с Netlogon Secure Channel, защото акаунтът за машината е разрешен в "домейновия контролер: Позволяване на уязвими Netlogonи връзки в защитен канал "групови правила.

Предупреждение: Използването на уязвимите канали за защита на Netlogon ще покаже всички свързани с домейна устройства за атаки. За да предпазите устройството си от атаки, премахнете акаунт за машината от "домейнов контролер: Позволяване на уязвими Netlogon защитени канални връзки "групови правила, след като клиент на Netlogon от други разработчици е актуализиран. За да разберете по-добре риска от конфигуриране на акаунти за машината, които да могат да използват уязвимите Netlogon, посетете HTTPS://Go.Microsoft.com/fwlink/?LinkId=2133485.

Машинен SamAccountName:

Домейн:

Тип акаунт:

Машинна операционна система:

Изграждане на операционната система на машината:

Сервизен пакет за машинна операционна система:

 

ИД на събитие 5831

Събитието ID 5831 ще бъде регистрирано, когато е допусната връзка с доверителния акаунт за надежден канал на защитен канал от "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

Регистрационен файл на събитията

Система

Източник на събитие

NETLOGON

ИД на събитие

5831

Ниво

Предупреждение

Текст на съобщение за събитие

Услугата за Netlogon разреши защитена връзка с Netlogon Secure Channel, защото Доверителният акаунт е разрешен в "домейновия контролер: Позволяване на уязвими Netlogonи връзки в защитен канал "групови правила.

Предупреждение: Използването на уязвимите Netlogon защитени канали ще покаже горите на Active Directory за атаки. За защита на горите на Active Directory от атаки, всички тръстове трябва да използват Secure RPC с Netlogon Secure Channel. Премахване на акаунт за доверие от "домейнов контролер: Позволяване на уязвимите връзки с Netlogon Secure Channel "групови правила, след като клиент на Netlogon от други разработчици в домейновите контролери е актуализиран. За да разберете по-добре риска от конфигуриране на доверителни акаунти, които да могат да използват уязвимите Netlogon, посетете HTTPS://Go.Microsoft.com/fwlink/?LinkId=2133485.

Тип акаунт:

Име на гарант:

Целева цел за надеждност:

IP адрес на клиента:

Стойността в системния регистър за режим на принудително изпълнение

внимание сериозните проблеми може да възникнат, ако промените системния регистър неправилно, като използвате редактора на системния регистър или друг метод. Тези проблеми може да се наложи да преинсталирате операционната система. Microsoft не гарантира, че тези проблеми могат да бъдат решени. Променете системния регистър на свой собствен риск. 

Актуализациите от 11 август 2020 въвеждат следната настройка в системния регистър, за да се разреши режимът на принудително изпълнение по-рано. Това ще бъде разрешено независимо от настройката в системния регистър на фазата на изпълнение, започваща на 9 февруари 2021: 

Подключ от системния регистър

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Стойност

FullSecureChannelProtection

Тип на данните

REG_DWORD

Данни

1 – това дава възможност за режим на принудително изпълнение. DCs ще откаже уязвимите Netlogon защитени връзки с канал, освен ако акаунтът не е разрешен от списъка "създаване на уязвими връзки" в "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.  

0 – DCs ще позволи уязвими Netlogon защитени канални връзки от устройства, които не са с Windows. Тази опция ще бъде прекратена в изданието за изпълнение на фазата.

Необходима ли е рестартирането?

Не

 

Внедряване на устройства от други разработчици [MS-NRPC]: Netlogon отдалечен протокол

Всички клиенти или сървъри на други разработчици трябва да използват Secure RPC чрез защитения канал на Netlogon. Консултирайте се с производителя на устройството (OEM) или доставчиците на софтуер, за да определите дали неговият софтуер е съвместим с последните Netlogon отдалечен протокол. 

Актуализациите на протокола могат да бъдат намерени на сайта за документиране на протокола на Windows

Често задавани въпроси (FAQ)

  • Устройства с Windows & други разработчици, които имат акаунти, които имат машинни акаунти в Active Directory (AD)

  • Сървър на Windows & други домейнови контролери в надеждна & доверяване на домейни, които имат надеждни акаунти в AD

Възможно е устройства от други разработчици да не отговарят на изискванията. Ако вашето решение на друг разработчик поддържа акаунт за машината в AD, се обърнете към продавача, за да определите дали сте засегнати.

Закъснения в приложението за репликация на AD и SYSVOL репликация или неуспешно използване на групови правила за удостоверяване на DC може да доведе до промяна на груповите правила "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "групови правила за отсъстване и за предизвикване на отказ на акаунта. 

Стъпките по-долу може да ви помогнат да отстраните проблема:

По подразбиране поддържаните версии на Windows , които са напълно актуализирани, не трябва да използват уязвимите връзки за защитен канал на Netlogon. Ако събитиен ID 5827 е влязъл в системния регистър на събитията за устройство с Windows:

  1. Уверете се, че на устройството се изпълнява поддържана версия на Windows.

  2. Уверете се, че устройството е напълно актуализирано от Windows Update.

  3. Проверете, за да се уверите, че член на домейн: Шифроването с цифрово шифроване или записването на данните на защитения канал (винаги) е зададено на разрешен в GPO, свързан с OU за всички ваши DCs, като напр. GPO на домейновите контролери по подразбиране.

Да, те трябва да бъдат актуализирани, но те не са конкретно уязвими за CVE-2020-1472.

Не, "DCs" са единствената роля, засегната от CVE-2020-1472 , и могат да бъдат актуализирани независимо от сървъри, които не са DC и други устройства с Windows.

Windows Server 2008 SP2 не е уязвим за тази конкретна CVE, тъй като не използва AES за защитено RPC.

Да, ще ви трябва разширена актуализация на защитата (есе) , за да инсталирате актуализациите на адрес CVE-2020-1472 за Windows Server 2008 R2 SP1.

Чрез разполагането на 11 август, 2020 или по-нови актуализации за всички домейнови контролери във вашата среда.

Уверете се, че нито едно от устройствата не са добавени към "домейнов контролер: Позволяване на уязвимите връзки с Netlogon Secure Channel "групови правила имат корпоративни услуги за администриране или домейн – администратор, като напр. SCCM или Microsoft Exchange.  Забележка Всички устройства в списъка с разрешени потребители ще могат да използват уязвимите връзки и могат да разкрият вашата среда за нападението.

Инсталирането на актуализациите, издадени на 11 август, 2020 или по-нова версия на домейновите контролери, защитава акаунтите на базираните на Windows акаунти, акаунтите за доверие и акаунтите за домейнови контролер 

Акаунтите за машинния указател на Active Directory за регистрираните устройства на други разработчици не са защитени, докато не се разполага режимът на принудително изпълнение. Акаунтите за машината също не са защитени, ако са добавени към "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

Уверете се, че всички домейнови контролери във вашата среда са инсталирали актуализациите на 11, 2020 или по-нови версии на август.

Всички самоличности на устройства, които са добавени към "домейнов контролер: Позволяване на уязвимите връзки с защитения канал на Netlogon "групови правила ще бъдат уязвими за атаки.   

Уверете се, че всички домейнови контролери във вашата среда са инсталирали актуализациите на 11, 2020 или по-нови версии на август. 

Разрешете режим на принудително изпълнение, за да откажете уязвимите връзки от несъвместими самоличности за устройства.

Забележка С разрешен режим за принудително изпълнение всички самоличности на устройства, които са добавени към "домейнов контролер: Позволяване на уязвимите връзки с защитения канал на Netlogon "правила за групи" все още ще бъдат уязвими и би позволило на нападателя неупълномощен достъп до вашата мрежа или устройства.

Режим на принудително изпълнение указва, че домейновите контролери не позволяват Netlogon връзки от устройства, които не използват защитено RPC, освен ако този акаунт за устройство не е добавен към "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

За повече информация вижте раздела за стойността в системния регистър за режим на принудително изпълнение .

Само акаунти за машини за устройства, които не могат да бъдат направени защитени, като се даде възможност за защитено RPC на Netlogon Secure Channel, трябва да бъдат добавени към груповите правила. Препоръчително е да направите тези устройства съвместими или заместени тези устройства, за да защитите вашата среда.

Атакуващият може да поеме самоличност от машината на Active Directory за всеки машинен акаунт, добавен към груповите правила, и след това да използва всички разрешения, които се използват от машината.

Ако имате устройство на друг разработчик, което не поддържа Secure RPC за защитения канал на Netlogon, и искате да разрешите режим на принудително изпълнение, трябва да добавите акаунта за машината за това устройство към груповите правила. Това не се препоръчва и може да напусне домейна ви в потенциално уязвимо състояние.  Препоръчително е да използвате тези групови правила, за да позволите да актуализирате или заместите всички устройства от други разработчици, за да ги направите съвместими.

Режимът на принудително изпълнение трябва да бъде разрешен колкото е възможно по-скоро. Всяко устройство от други разработчици ще трябва да бъде адресирано или като се направи съвместимо, или чрез добавянето им към "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила. Забележка Всички устройства в списъка с разрешени потребители ще могат да използват уязвимите връзки и могат да разкрият вашата среда за нападението.

 

Терминологичен речник

Срока

Дефиницията

AD

Active Directory

DC

Домейнов контролер

Режим на принудително изпълнение

Ключът от системния регистър, който ви позволява да разрешите режим на принудително изпълнение по-рано от 9 февруари 2021.

Етап на изпълнение

Phase започвайки от 9 февруари, 2021 актуализации, където режимът на принудително изпълнение ще бъде разрешен на всички домейнови контролери на Windows, независимо от настройката в системния регистър. DCs ще откаже уязвимите връзки от всички устройства, които не отговарят на изискванията, освен ако те не се добавят към "домейнов контролер: Позволяване на уязвими Netlogon защитени връзки с канал "за групови правила.

Фаза на първоначално разполагане

Phase, започвайки от 11 август, 2020 актуализации и продължава с по-нови актуализации до фазата на изпълнение.

машинен акаунт

Наричан също компютър или компютърен обект на Active Directory.  Вижте речника MS-NPRC за пълна дефиниция.

MS – NRPC

Отдалечен протокол на Microsoft Netlogon

Устройство, което не отговаря на изискванията

Устройство, което не отговаря на изискванията, е това, което използва уязвима връзка за защитен канал на Netlogon.

RODC

домейнови контролери само за четене

Уязвима връзка

Уязвима връзка е Netlogon защитена канална връзка, която не използва защитена RPC.
Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×