Souhrn

Vzdálený protokol Netlogon (také s názvem MS-NRPC) je rozhraní RPC, které se používá výhradně pro zařízení připojená k doméně. MS-NRPC obsahuje metodu ověřování a metodu vytvoření zabezpečeného kanálu Netlogon. Tyto aktualizace vynucuje zadané chování klienta Netlogon pro použití zabezpečeného volání procedur (RPC) pomocí zabezpečeného kanálu služby Netlogon mezi členskými počítači a řadiči domény služby Active Directory (AD).

Tato aktualizace zabezpečení řeší chybu zabezpečení tím, že vynucuje zabezpečené vzdálené volání procedur (RPC) při použití zabezpečeného kanálu Netlogon v průběhu dvoufázové verze, která je vysvětlena v tématu načasování aktualizací pro chybu zabezpečení služby Netlogon CVE-2020-1472 . Pokud chcete zajistit ochranu doménových struktur, je potřeba aktualizovat všechny řadiče domény, protože vynucuje zabezpečené volání procedur pomocí zabezpečeného kanálu Netlogon. Patří k nim řadiče domény jen pro čtení (RODC).

Další informace o této chybě najdete v článku CVE-2020-1472.

Provést akci

Abyste chránili prostředí a zabránili výpadkům, musíte udělat toto:

Poznámka: Krok 1 po instalaci aktualizací vydaných 11. srpna 2020 nebo novějším řeší potíže se zabezpečením v CVE-2020-1472 pro domény a vztahy důvěryhodnosti služby Active Directory i zařízení s Windows. Abyste plně zmírnění potíží se zabezpečením zařízení jiných výrobců, budete muset dokončit všechny kroky.

Upozornění Od února 2021 bude režim vynucení povolen na všech řadičích domén systému Windows a bude blokovat zranitelná připojení z nevyhovujících zařízení. V takovém případě nebudete moci režim vynucení zakázat.

  1. Aktualizujte řadiče domény s aktualizací vydanou 11. srpna 2020 nebo novější.

  2. Zjistěte , jaká zařízení vytváří chybná připojení tím, že sledují protokoly událostí.

  3. Adresovat nedodržující zařízení, která využívají chybná připojení.

  4. Povolte režim vynucení s adresou CVE-2020-1472 ve vašem prostředí.

Poznámka: Pokud používáte Windows Server 2008 R2 SP1, potřebujete licenci na rozšířenou aktualizaci zabezpečení (EVJ), která úspěšně nainstaluje jakoukoliv aktualizaci, která tento problém řeší. Další informace o programu EVJ najdete v části životního cyklu časté otázky – aktualizace zabezpečení, které jsou rozšířené.

V tomto článku:

Načasování aktualizace chyby zabezpečení služby Netlogon CVE-2020-1472

Aktualizace se vydávají ve dvou fázích: počáteční fáze aktualizací vydaných po 11.2020 a fázi vynucení pro vydání aktualizací vydaných v nebo po 9. únoru 2021.

11. srpna 2020 – úvodní fáze nasazení

Úvodní fáze nasazení začíná s aktualizacemi vydanými 11. srpna 2020 a pokračuje s pozdějšími aktualizacemi, dokud fázi vynucení. Tyto a pozdější aktualizace připravují protokol Netlogon na ochranu zařízení s Windows. ve výchozím nastavení protokoluje události pro zjištění nevyhovujícího zařízení a přidá možnosti pro povolení ochrany pro všechna zařízení připojená k doméně s explicitními výjimkami. Tato verze:

  • Vynucuje zabezpečené použití RPC pro účty počítačů na zařízeních s Windows.

  • Vynucuje zabezpečené používání vzdáleného volání procedur pro účty důvěry.

  • Vynucuje zabezpečené použití vzdáleného volání procedur pro všechny Windows a řadiče domény bez systému Windows.

  • Obsahuje nové zásady skupiny, které umožňují účtům zařízení, které nejsou kompatibilní s neodpovídajícími předpisy (které používají zabezpečené připojení kanálu Netlogon). I když jsou řadiče domény spuštěné v režimu vynucení nebo když se fáze vynucení nespustí, nebude dovolená zařízení odmítnuta.

  • FullSecureChannelProtection Key registr pro zapnutí režimu vynucení řadičů domény pro všechny účty počítačů (fáze vynucení aktualizuje řadiče domény na režim vynucení výkonu).

  • Obsahuje nové události v případě odepření nebo odmítnutí účtů v režimu vynucení výkonu (a bude pokračovat v fázi vynucení). Konkrétní ID události najdete dál v tomto článku.

Zklidňující je tvořená instalací aktualizace na všech řadičích DCs a RODC, monitorování nových událostí a řešení nevyhovujících zařízení, která používají chybná připojení zabezpečeného kanálu Netlogon. Účty počítačů na nekompatibilních zařízeních můžou používat zranitelná připojení zabezpečeného kanálu Netlogon. měli by ale být aktualizovány tak, aby podporovaly zabezpečené volání procedur (RPC) pro Netlogon a účet, co nejdříve, abyste riziko útoku odstranili.

9. února 2021 – fáze vynucení

Verze 9. února 2021 označuje přechod do fáze vynucení. Domény DCs budou teď v režimu vynucení bez ohledu na klíč registru v režimu vynucení. Tato možnost vyžaduje, aby všechna zařízení s Windows a jiným systémem používala zabezpečené vzdálené volání procedur (RPC) pomocí zabezpečeného kanálu Netlogon nebo výslovně účet povolili přidáním výjimky pro zařízení, které nesplňuje požadavky. Tato verze:

  • Vynucuje zabezpečené použití RPC pro účty počítačů na zařízeních, která nejsou založená na systému Windows, pokud to nepovolí "řadič domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

  • Protokolování události 5829 se odebere. Vzhledem k tomu, že všechna chybná připojení jsou odepřena, zobrazí se v protokolu událostí systému jenom ID událostí 5827 a 5828.

Pokyny k nasazení – nasazení aktualizací a vynucení dodržování předpisů

Úvodní fáze nasazení se skládá z následujících kroků:

  1. Nasazování 11. srpna Updatena všechny řadiče domény v doménové struktuře.

  2. (a) monitor pro upozorňovací události a prokaždou událost.

  3. (a) po dokončení všech varovných událostí může být plná ochrana aktivovaná při zavedení režimu vynucenídomény. (b) po aktualizaci fáze vynucení vymáhání vyhodnotit 2021 je potřeba vyřešit všechna upozornění.

krok 1: AKTUALIZACE

Nasazení aktualizací 11. srpna 2020

Zaveďte 11. srpna Update na všechny příslušné řadiče domény (DCs) v doménové struktuře, včetně řadičů domény jen pro čtení (RODC). Po nasazení této aktualizace budou tyto divize DCs:

  • Zahajte vynucování zabezpečeného použití RPC pro všechny účty zařízení s Windows, účty důvěryhodnosti a všechny řadiče domény.

  • Protokol událostí ID 5827 a 5828 v protokolu událostí systému, pokud jsou připojení odepřena.

  • Protokol událostí ID 5830 a 5831 v protokolu událostí systému, pokud jsou připojení dovolena řadiči domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

  • Do protokolu událostí systému v případě, že je povoleno připojení zabezpečeného kanálu Netlogon s chybou, protokolovat 5829 událost. Tyto události by měly být vyřešené před konfigurací režimu vynucení výkonu nebo před začátkem fáze vynucení 2021. únor:

 

kroku 2a: Vyhledání

Zjišťování nekompatibilních zařízení pomocí ID události 5829

Po aktualizaci 11. srpna 2020 na divize DCs se k událostem můžete shromažďovat události, abyste zjistili, která zařízení ve vašem prostředí používají zranitelná připojení zabezpečeného kanálu Netlogon (v tomto článku se označují jako nedodržující zařízení). Na událostech s ID události 5829 můžete monitorovat řadiče DCs. Události budou obsahovat relevantní informace pro identifikaci zařízení, která nejsou kompatibilní.

Pokud chcete monitorovat události, použijte k dispozici dostupný software pro sledování událostí nebo pomocí skriptu pro monitorování svých řadičů domény.  Příklad skriptu, který se dá přizpůsobit vašemu prostředí, najdete v článku o nápovědě pro monitorování ID událostí souvisejících s aktualizacemi služby Netlogon pro CVE-2020-1472

ý Krok 2b: adresy

Adresování ID událostí 5827 a 5828

Ve výchozím nastavení by podporované verze plně aktualizovaných verzí systému Windows neměly používat zranitelné připojení zabezpečeného kanálu Netlogon. Pokud je některá z těchto událostí protokolována v protokolu událostí systému pro zařízení s Windows:

  1. Potvrďte, že zařízení používá podporované verze Windows.

  2. Ujistěte se, že je zařízení plně aktualizované.

  3. Zkontrolujte, jestli člena domény: Digitální šifrování nebo podepsat data zabezpečeného kanálu (vždy) je nastavená na zapnuto.

U zařízení, která nejsou v systému Windows, se při použití zranitelných připojení zabezpečeného kanálu Netlogon budou tyto události zaznamenávat do protokolu událostí systému. Pokud je tato událost protokolována:

  • Doporučené Práce s výrobcem zařízení (OEM) nebo dodavatelem softwaru pro získávání podpory zabezpečeného volání procedur pomocí zabezpečeného kanálu Netlogon

    1. Pokud řadič domény, který nedodržuje předpisy, podporuje zabezpečené vzdálené volání procedur pomocí zabezpečeného kanálu Netlogon, povolte zabezpečené volání procedur na řadiči domény.

    2. Pokud řadič domény, který nedodržuje předpisy momentálně nepodporuje zabezpečené vzdálené volání procedur, spolupracujte s výrobcem zařízení (OEM) nebo dodavatelem softwaru, abyste získali aktualizaci podporující zabezpečené volání procedur pomocí zabezpečeného kanálu RPC.

    3. Vyřaďte řadič domény, který nedodržuje předpisy.

  • Zranitelná chyba Pokud řadič domény bez předpisů nepodporuje zabezpečené vzdálené volání procedur (RPC) přes zabezpečený kanál služby Netlogon před tím, než se v režimu vynucenínacházejí, přidejte DC pomocí "Controller: Povolit zranitelné připojení zabezpečeného kanálu Netlogon: Zásady skupiny popsané níže.

Upozornění Pokud chcete, aby řadiče domény používaly zranitelná připojení podle zásad skupiny, bude se doménou zabezpečení zranitelnější. Koncovým cílem by mělo být odstranění všech účtů z těchto zásad skupiny.

 

Událost s adresováním 5829

Pokud bude během úvodního nasazení povolené zranitelné připojení, generuje se událost s ID 5829. Tato připojení budou odepřena, když budou domény v režimu vynucení. V těchto událostech se fokusem bude název počítače, verze domény a operačního systému určené k určení zařízení, která nejsou kompatibilní s vyhovujícími předpisy, a informace o tom, jak je potřeba adresovat.

Možnosti adresovat zařízení nedodržující předpisy:

  • Doporučené Spolupracujte s výrobcem zařízení (OEM) nebo dodavatelem softwaru, abyste získali podporu zabezpečeného volání procedur pomocí zabezpečeného kanálu Netlogon:

    1. Pokud zařízení nedodržující předpisy podporuje zabezpečené vzdálené volání procedur pomocí zabezpečeného kanálu Netlogon, povolte na zařízení zabezpečené volání procedur (RPC).

    2. Pokud zařízení nedodržující předpisy momentálně nepodporuje zabezpečené volání procedur pomocí zabezpečeného kanálu Netlogon, spolupracujte se svým výrobcem nebo dodavatelem softwaru a požádejte ho o aktualizaci, která umožňuje zapnutí zabezpečeného kanálu RPC se zabezpečeným kanálem Netlogon.

    3. Vyřaďte zařízení, které nesplňuje požadavky.

  • Zranitelná chyba Pokud nekompatibilní zařízení nepodporuje zabezpečené vzdálené volání procedur (RPC) přes zabezpečený kanál služby Netlogon před tím, než je v režimu vynucení, přidejte zařízení pomocí řadiče domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogon: Zásady skupiny popsané níže.

Upozornění Pokud chcete, aby účty zařízení používaly k používání zranitelných připojení Zásady skupiny, budou tyto účty služby AD ohroženy. Koncovým cílem by mělo být odstranění všech účtů z těchto zásad skupiny.

 

Povolení zranitelných připojení ze zařízení třetích stran

Použijte "řadič domény: Pokud chcete přidat účty, které nevyhovují, zásady skupiny povolit zranitelné připojení zabezpečeného kanálu Netlogon. Tento postup by měl být považován za krátkodobé nápravy, dokud se nedodržují zařízení, která nejsou kompatibilní s tím, jak je popsáno výše. Poznámka: Povolení zranitelných připojení z nekompatibilních zařízení může mít neznámý dopad na zabezpečení a měl by být s nimi obezřetně.

  1. Vytvořili jste skupiny zabezpečení pro účty, které budou moct používat ohrožený kanál zabezpečeného přihlášení k Netlogon.

  2. V zásadách skupiny přejít na konfigurace počítače > Nastavení systému Windows > nastavení zabezpečení > místním zásadám > možnostech zabezpečení

  3. Vyhledání řadiče domény: Povolte chybná připojení zabezpečeného kanálu Netlogon.

  4. Pokud je skupina správce nebo skupina, která se specificky nevytvořila pro použití s touto zásadou skupiny, odeberte ji.

  5. Přidejte skupinu zabezpečení speciálně vytvořenou pro použití s touto zásadou skupiny do popisovače zabezpečení s oprávněním povolit. Poznámka: Oprávnění Odepřít se chová stejně jako v případě, že účet nebyl přidaný, tj. účty nebudou moct vytvářet zranitelné zabezpečené kanály Netlogon.

  6. Po přidání skupin zabezpečení musí zásady skupiny replikovat na každý řadič domény.

  7. Sledujte události 5827, 5828 a 5829, abyste zjistili, které účty používají zranitelné připojení zabezpečeného kanálu.

  8. Přidejte účty počítačů do skupin zabezpečení podle potřeby. Doporučený postup Používejte skupiny zabezpečení v zásadách skupiny a ke skupině přidejte účty, abyste mohli členství replikovat pomocí normální replikace AD. Tím předejdete častým aktualizacím zásad skupiny a zpoždění replikací.

Jakmile jsou adresována všechna zařízení, která nejsou kompatibilní, můžete je přesunout do režimu vynucení (viz další část).

Upozornění Pokud chcete, aby řadiče domény používaly u těchto zásad zabezpečení zranitelné připojení pro účty důvěřující, bude se doménou zabezpečení zranitelnější. Účty důvěryhodnosti jsou obvykle pojmenované po důvěryhodné doméně, třeba: ŘADIČ domény-a má vztah důvěryhodnosti se serverem DC v doméně-b. Interně: řadič domény v doméně-a má účet důvěry s názvem Domain-b $, který představuje objekt důvěry pro doménu-b. Pokud řadič domény, který je v doméně, chce vystavit doménou riziko útoku tím, že povolí zranitelné připojení zabezpečeného kanálu Netlogon od účtu domény-b, může správce pomocí Add-ADGroupMember – identity "název skupiny zabezpečení" – Členové "Domain-b $" Přidat účet důvěry do skupiny zabezpečení.

 

Krok 3a: Povolte

Přechod do režimu vynucení před fázi vynucení v únoru 2021

Po zpřístupnění všech zařízení, která nejsou splňující požadavky, buď tím, že povolíte zabezpečené vzdálené volání procedur nebo povolíte zranitelnou připojení pomocí řadič domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásadu skupiny nastavte na hodnotu 1.

Poznámka: Pokud používáte řadič domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogonzásady skupiny, ujistěte se, že zásady skupiny byly replikovány a použity u všech řadičů domény před nastavením klíče registru FullSecureChannelProtection.

Po nasazení klíče registru FullSecureChannelProtection budou mít domény DCs v režimu vynucení. Toto nastavení vyžaduje, aby všechna zařízení, která používají zabezpečený kanál služby Netlogon, buď:

Upozornění Klienti třetích stran, kteří nepodporují zabezpečené vzdálené volání procedur (RPC) pomocí zabezpečeného kanálu zabezpečení Netlogon, budou odepřeni, když bude zaveden klíč registru režimu vynucení výkonu , což může způsobit přerušení produkčních služeb

 

Krok 3B: fáze vynucení

Nasazení 9. února 2021 Update

Zavedení aktualizací vydaných 9. únorem 2021 nebo novějším zapne režim vynucení výkonu. Režim vynucení DC je v případě, že je nutné, aby všechna připojení k síti Netlogon vyžadovala zabezpečené volání procedur (RPC), nebo byl účet přidaný do řadiči domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny. V současné době už nepotřebujete klíč registru FullSecureChannelProtection a už ho nebudete podporovat.

"Řadič domény: Povolit zabezpečení připojení zabezpečeného kanálu Netlogon v zásadách skupiny

Doporučeným postupem je použití skupin zabezpečení v zásadách skupiny, takže členství se replikuje pomocí normální replikace AD. Tím předejdete častým aktualizacím zásad skupiny a zpoždění replikací.

Cesta a název zásad

Popis

Cesta k zásadám: Konfigurace počítače > nastavení systému Windows > nastavení zabezpečení > místní zásady > možnostech zabezpečení Název nastavení: řadič domény: Povolte zranitelná připojení zabezpečeného kanálu Netlogon

Je potřeba restartovat počítač? Ne

Toto nastavení zabezpečení určuje, jestli řadič domény obchází zabezpečené vzdálené volání procedur pro připojení zabezpečeného kanálu RPC u určených účtů počítačů.

Tato zásada se dá použít pro všechny řadiče domény v doménové struktuře tím, že povolíte zásady na organizační jednotce řadiče domény.

Když je nakonfigurovaný seznam pro vytvoření seznamu chybných připojení (seznam povolit):

  • Způsobit Řadič domény umožní zadané skupině nebo účtům používat zabezpečený kanál Netlogon bez zabezpečeného volání procedur (RPC).

  • Naopak Toto nastavení je stejné jako výchozí chování. Řadič domény musí u zadané skupiny nebo účtu vyžadovat použití zabezpečeného kanálu Netlogon pomocí zabezpečeného volání procedur (RPC).

Upozornění Když tuto zásadu povolíte, zobrazí se zařízení připojená k doméně a doménová struktura služby Active Directory, která by mohla být na riziko. Tato zásada se dá použít jako dočasné měření pro zařízení třetích stran při zavádění aktualizací. Po aktualizaci zařízení třetích stran, které podporuje zabezpečené volání procedur pomocí zabezpečeného kanálu RPC, by měl být účet z seznamu vytvořit seznam chybných připojení odstraněný. Abyste líp pochopili riziko, že konfigurace účtů bude moct používat zranitelné připojení zabezpečeného kanálu Netlogon, přejděte prosím na https://go.microsoft.com/fwlink/?linkid=2133485.

Implicit Tato zásada není nakonfigurovaná. Na základě vynucení zabezpečeného kanálu zabezpečeného připojení pomocí protokolu RPC nemusíte explicitně vyjmout žádné počítače ani účty důvěryhodnosti.

Tato zásada je podporovaná u Windows serveru 2008 R2 SP1 a novějších verzí.

Chyby protokolu událostí systému Windows týkající se CVE-2020-1472

Existují tři kategorie událostí:

1. Události protokolované při odepření připojení kvůli zranitelnému připojení zabezpečeného kanálu Netlogon:

  • 5827 (účet počítače)

  • 5828 (Trust Accounts) – Chyba

2. Události protokolované v případě, že je připojení povolené, protože účet byl přidaný do řadiči domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogonzásady skupiny:

  • 5830 (účty počítačů) – upozornění

  • 5831 (Trust Accounts) – upozornění

3. Události protokolované v případě, že je v prvním vydání povolené připojení, které bude v režimu vynucenídomény odmítnuté:

  • 5829 (účty počítačů) – upozornění

ID události 5827

Pokud je odepřené připojení zabezpečeného kanálu Netlogon z účtu počítače, bude protokolována událost s ID 5827.

Protokol událostí

Systém

Zdroj události

SLUŽBU

ID události

5827

Úroveň

Chyba

Text zprávy události

Služba Netlogon odmítla připojení zabezpečeného kanálu Netlogon z účtu počítače k chybám.

Počítač SamAccountName:

Doména:

Typ účtu:

Operační systém počítače:

Build počítačového operačního systému:

Aktualizace Service Pack operačního systému počítače:

Další informace o tom, proč byl tento odmítnutý, najdete na webu https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID události 5828

Pokud je odepřené připojení zabezpečeného kanálu Netlogon z účtu důvěry, bude protokolována událost s ID 5828.

Protokol událostí

Systém

Zdroj události

SLUŽBU

ID události

5828

Úroveň

Chyba

Text zprávy události

Služba Netlogon zamítla zranitelné připojení zabezpečeného kanálu Netlogon pomocí účtu důvěry.

Typ účtu:

Název vztahu důvěryhodnosti:

Cíl důvěryhodnosti:

IP adresa klienta:

Další informace o tom, proč byl tento odmítnutý, najdete na webu https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID události 5829

Událost s ID 5829 bude protokolována jenom při počáteční fázi nasazení, pokud je povolené připojení zabezpečeného kanálu Netlogon z účtu počítače.

Při nasazení režimu vynucení nepravidel nebo při zahájení fáze vynucení v případě, že se jedná o aktualizaci, která je od 9. února 2021, budou tato připojení odepřena a událost ID 5827 bude protokolována. To je důvod, proč je důležité monitorovat událost 5829 během úvodního nasazení a jednat předtím, než se pohnula výpadkům.

Protokol událostí

SCVMM

Zdroj události

SLUŽBU

ID události

5829

Před

Volán

Text zprávy události

Služba Netlogon umožňovala připojení zabezpečeného kanálu Netlogon s chybou.  

Upozornění: Po vydání fáze vynucení bude toto připojení odmítnuté. Pokud chcete lépe poznat fázi vynucení, přejděte na https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Počítač SamAccountName:  

Doména:  

Typ účtu:  

Operační systém počítače:  

Build počítačového operačního systému:  

Aktualizace Service Pack operačního systému počítače:  

ID události 5830

Pokud je připojení účtu počítače zabezpečené bezpečné kanál služby Netlogon povolené pomocí řadiče domény, bude protokolována ID události 5830: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

Protokol událostí

Systém

Zdroj události

SLUŽBU

ID události

5830

Úroveň

Upozornění

Text zprávy události

Služba Netlogon umožňovala připojení zabezpečeného kanálu Netlogon s chybou zabezpečení, protože účet počítače je povolený v řadiči domény: Povolte zásadu skupiny povolit zranitelné připojení zabezpečeného kanálu Netlogon.

Upozornění: Díky zranitelným zabezpečeným kanálům Netlogon bude útok na počítač vystavený doménou. Pokud chcete ochránit vaše zařízení před útokem, odeberte účet počítače z řadiče domény: Zásada skupiny povolit připojení zabezpečeného kanálu Netlogon po aktualizaci klienta Netlogon od jiného výrobce. Abyste líp pochopili riziko, že se konfigurace účtů počítačů povolí používat zranitelné připojení zabezpečeného kanálu Netlogon, přejděte prosím na https://go.Microsoft.com/fwlink/?LinkId=2133485.

Počítač SamAccountName:

Doména:

Typ účtu:

Operační systém počítače:

Build počítačového operačního systému:

Aktualizace Service Pack operačního systému počítače:

 

ID události 5831

Pokud je připojení účtu důvěry zabezpečené zabezpečený kanál služby Netlogon povolené pomocí řadiče domény, bude protokolována ID události 5831: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

Protokol událostí

Systém

Zdroj události

SLUŽBU

ID události

5831

Úroveň

Upozornění

Text zprávy události

Služba Netlogon umožňovala připojení zabezpečeného kanálu Netlogon s chybou zabezpečení, protože účet důvěryhodnosti je povolený v řadiči domény: Povolte zásadu skupiny povolit zranitelné připojení zabezpečeného kanálu Netlogon.

Upozornění: Používáním zranitelných zabezpečeného kanálu Netlogon se zpřístupní doménové struktury Active Directory pro útok. Všechny vztahy důvěryhodnosti musí u zabezpečeného kanálu služby Netlogon použít zabezpečené volání procedur (RPC). Odebrání účtu důvěry z řadiče domény: Zásada skupiny povolit zranitelné připojení zabezpečeného kanálu Netlogon po aktualizaci klienta Netlogon od jiného výrobce na řadičích domény. Abyste líp pochopili riziko, že se konfigurace důvěřujících účtů povolí používat zranitelné připojení zabezpečeného kanálu Netlogon, přejděte prosím na https://go.Microsoft.com/fwlink/?LinkId=2133485.

Typ účtu:

Název vztahu důvěryhodnosti:

Cíl důvěryhodnosti:

IP adresa klienta:

Hodnota registru pro režim vynucení

upozornění závažným potížím se může stát, že při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem. Tyto problémy by mohly vyžadovat přeinstalaci operačního systému. Microsoft nezaručuje, že se tyto problémy dají vyřešit. Registr upravujete na vlastní nebezpečí. 

Aktualizace 11. srpna 2020 přináší následující nastavení registru k včasnému zapnutí režimu vynucení. Tato možnost se povolí bez ohledu na nastavení registru ve fázi vynucení od 9. února 2021: 

Podklíč registru

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Hodnota

FullSecureChannelProtection

Datový typ

REG_DWORD

Data

1: umožňuje režim vynucení. Divize DCs odepře zranitelná připojení zabezpečeného kanálu Netlogon, pokud účet není povolený v seznamu vytvořit seznam s zranitelným připojením na řadiči domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.  

0 – divize DCs povolí zranitelná připojení zabezpečeného kanálu Netlogon od jiných zařízení než Windows. Tato možnost se v této fázi vynucení nepoužívá.

Je potřeba restartovat počítač?

Ne

 

Zařízení jiných výrobců implementovaná [MS-NRPC]: Vzdálený protokol Netlogon

Všechny klienty nebo servery třetích stran musí použít zabezpečené volání procedur (RPC) pomocí zabezpečeného kanálu Netlogon. Pokud chcete zjistit, jestli je software kompatibilní s nejnovějším vzdáleným protokolem Netlogon, obraťte se na výrobce zařízení (OEM) nebo dodavatele softwaru. 

Aktualizace protokolů najdete na webu dokumentace systému Windows

Časté otázky

  • Windows & zařízení připojená k doméně, která mají účty počítačů ve službě Active Directory (AD).

  • Windows Server & řadičů domén třetích stran v důvěryhodných & důvěřujících doménách, které mají účty důvěryhodnosti v AD

Zařízení třetích stran můžou být nekompatibilní. Pokud vaše řešení od jiného výrobce udržuje účet počítače ve službě Active Directory, obraťte se na dodavatele, který vám pomůže zjistit, jestli máte dopad na.

Zpoždění při replikacích AD a SYSVOL nebo selhání aplikací zásad skupiny u ověřovacího řadiče domény může způsobit změny zásad skupiny "řadič domén: Povolit zabezpečení připojení zabezpečeného kanálu Netlogon zásady skupiny nebudou k dispozici a výsledkem odepření účtu. 

Při řešení tohoto problému se můžou zobrazit následující kroky:

Ve výchozím nastavení by podporované verze plně aktualizovaných verzí systému Windows neměly používat zranitelné připojení zabezpečeného kanálu Netlogon. Pokud je v protokolu událostí systému k disblokování ID události 5827 pro zařízení s Windows:

  1. Potvrďte, že zařízení používá podporované verze Windows.

  2. Ujistěte se, že je zařízení plně aktualizované z Windows Update.

  3. Zkontrolujte, jestli člena domény: Digitální šifrování nebo podepsat data zabezpečeného kanálu (vždy) je nastavené na hodnotu povoleno v objektu GPO připojeném k organizační jednotce pro všechny vaše DCs, jako je třeba výchozí objekt GPO Domain Controllers.

Ano, měli byste je aktualizovat, ale nejsou specificky zranitelné s CVE-2020-1472.

Ne, divize DCs představují jedinou roli, která byla postižena CVE-2020-1472 a může být aktualizována nezávisle na jiných než DCCH serverech Windows a dalších zařízeních s Windows.

Windows Server 2008 SP2 není touto specifickou chybou zabezpečení ohrožen, protože nepoužívá AES pro zabezpečené volání procedur (RPC).

Ano, budete potřebovat rozšířenou aktualizaci zabezpečení (EVJ) , která vám pomůže nainstalovat aktualizace, 2020-1472 které jsou pro Windows Server 2008 R2 SP1.

Nasazením 11. srpna 2020 nebo novějších aktualizací na všechny řadiče domény ve vašem prostředí.

Ujistěte se, že žádná z zařízení přidaných do "řadič domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogon: Zásady skupiny mít Enterprise – správce nebo služby oprávnění správce domény, jako je třeba SCCM nebo Microsoft Exchange.  Poznámka: Na jakémkoliv zařízení v seznamu povolených kontaktů budete moct používat zranitelná připojení, která by mohla vaše prostředí vystavit útoku.

Instalace aktualizací vydaných 11. srpna 2020 nebo novějším na řadičích domény chrání účty počítačů založených na systému Windows, účty důvěry a řadič domény. 

Účty počítačů, které jsou spojené s doménou třetích stran, nejsou chráněné, dokud se nespustí režim vynucení. Účty počítačů nejsou chráněny ani v případě, že se přidají do řadiče domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

Ujistěte se, že všechny řadiče domény ve vašem prostředí nainstalovaly aktualizaci 11. srpna 2020 nebo novější.

Všechny identity zařízení, které jsou přidané do řadiče domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogon zásady skupiny budou zranitelné vůči útoku.   

Ujistěte se, že všechny řadiče domény ve vašem prostředí nainstalovaly aktualizaci 11. srpna 2020 nebo novější. 

Zapnutím režimu vynucení odepřete zranitelná připojení z nekompatibilních identit zařízení třetích stran.Poznámka: Pokud je povolený režim vynucení, všechny identity zařízení třetích stran, které byly přidány do řadiče domény: Povolit zranitelné připojení zabezpečeného kanálu Netlogon bude stále zranitelnější a může útočníkovi povolit neoprávněný přístup ke svojí síti nebo zařízení.

Režim vynucení vyžádá řadiče domény, aby nepovolovali připojení Netlogon ze zařízení, která nepoužívají zabezpečené volání procedur, pokud není tento účet přidaný do řadiči domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

Další informace najdete v části hodnota registru pro režim vynucení .

Do zásad skupiny by měly být přidány jenom účty počítačů, které se nedají zabezpečit tím, že povolíte zabezpečené vzdálené volání procedur přes zabezpečený kanál Netlogon. Doporučujeme, aby tato zařízení byla kompatibilní nebo aby je nahradila.

Útočník může převzít identitu počítače s adresářem Active Directory, která je přidaná do zásad skupiny, a potom využít jakákoliv oprávnění, která má identita počítače.

Pokud máte zařízení třetích stran, které nepodporuje zabezpečené volání procedur zabezpečeného kanálu Netlogon a chcete povolit režim vynucení, měli byste pro toto zařízení přidat účet počítače do zásad skupiny. Tento postup se nedoporučuje a může vaši doménu mít ve stavu, který by mohl být ohrožený.  Tuto zásadu doporučujeme použít, pokud chcete, aby se v případě, že budete chtít podle potřeby aktualizovat nebo nahrazovat jakékoli zařízení třetích stran, povolovat.

Režim vynucení by měl být povolen hned, jak to bude možné. Všechny zařízení třetích stran se bude muset řešit tím, že jim vyhovují nebo je přidáte do řadiči domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny. Poznámka: Na jakémkoliv zařízení v seznamu povolených kontaktů budete moct používat zranitelná připojení, která by mohla vaše prostředí vystavit útoku.

 

Slovníček

Podmínky

Definice

INZERÁT

Služba Active Directory

DC

Řadič domény

Režim vynucení

Klíč registru, který vám umožní povolit režim vynucení s předstihem 9. února 2021.

Fáze vynucení

Phase počínaje 9. únorovou aktualizací 2021, kde bude povolený režim vynucení na všech řadičích domén systému Windows bez ohledu na nastavení registru. Divize DCs odepře zranitelná připojení ze všech zařízení, která nejsou splňující požadavky, pokud nejsou přidána do řadiče domény: Povolte zabezpečené připojení kanálu zabezpečení Netlogonzásady skupiny.

Úvodní fáze nasazení

Fáze počínaje 11. srpna 2020 aktualizuje a pokračuje s pozdějšími aktualizacemi, dokud se nespustí fáze vynucení.

účet počítače

Označuje se také jako počítač nebo objekt počítače Active Directory.  Úplnou definici najdete v glosáři MS-NPRC .

MS-NRPC

Vzdálený protokol Microsoft Netlogon

Zařízení bez předpisů

Zařízení, které není vyhovující předpisům, je takové, které používá zranitelné připojení zabezpečeného kanálu Netlogon.

ŘADIČ

řadiče domény jen pro čtení

Zranitelné připojení

Zranitelné připojení je připojení zabezpečeného kanálu Netlogon, které nepoužívá zabezpečené volání procedur (RPC).

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.