Původní datum publikování: úterý 13. srpna 2025
ID znalostní báze: 5066014
V tomto článku:
Shrnutí
CVE-2025-49716 řeší chybu zabezpečení typu Denial-of-Service, kdy vzdálení neověření uživatelé můžou provádět řadu vzdálených volání procedur (RPC) založených na Netlogonu, která nakonec spotřebovávají veškerou paměť na řadiči domény(DC). Za účelem zmírnění tohoto ohrožení zabezpečení byla provedena změna kódu v aktualizaci Zabezpečení Windows z května 2025 pro Windows Server 2025 a v červenci 2025 Zabezpečení Windows Aktualizace pro všechny ostatní serverové platformy od Windows Server 2008SP2 do Windows Server 2022 včetně. Tato aktualizace zahrnuje změnu posílení zabezpečení protokolu Microsoft RPC Netlogon. Tato změna zlepšuje zabezpečení tím, že zpřísňuje kontroly přístupu pro sadu požadavků vzdáleného volání procedur (RPC). Po instalaci této aktualizace již řadiče domény služby Active Directory nebudou umožňovat anonymním klientům vyvolávat některé požadavky RPC prostřednictvím serveru Rpc Netlogon. Tyto požadavky obvykle souvisejí s umístěním řadiče domény.
Po této změně může být ovlivněn některé soubory & software tiskové služby, včetně Samba. Samba vydala aktualizaci, která tuto změnu přizpůsobí. Další informace najdete v článku Samba 4.22.3 – Zpráva k vydání verze .
Abychom vyhověli scénářům, ve kterých nelze aktualizovat ovlivněný software třetích stran, vydali jsme v aktualizaci Zabezpečení Windows ze srpna 2025 další možnosti konfigurace. Tato změna implementuje přepínač založený na klíči registru mezi výchozím režimem vynucení, režimem auditování, který bude protokolovat změny, ale nebude blokovat neověřená volání RPC Netlogon, a režimem zakázáno (nedoporučuje se).
Přijmout opatření
Abyste ochránili své prostředí a vyhnuli se výpadkům, aktualizujte nejprve všechna zařízení, která hostují řadič domény služby Active Directory nebo roli serveru LDS, a to instalací nejnovějších aktualizací systému Windows. Řadiče domény, které mají Zabezpečení Windows Aktualizace z 8. července 2025 nebo novější (nebo Windows Server 2025 řadiče domény s květnovými aktualizacemi), jsou ve výchozím nastavení zabezpečené a ve výchozím nastavení nepřijímají neověřená volání RPC založená na Netlogonu. Řadiče domény, které mají Zabezpečení Windows Aktualizace ze 12. srpna 2025 nebo novější, ve výchozím nastavení nepřijímají neověřená volání RPC na základě Netlogonu, ale je možné je nakonfigurovat tak, aby tak dočasně dělaly.
-
Monitorujte problémy s přístupem ve svém prostředí. Pokud k tomu dojde, ověřte, jestli původní příčinou jsou změny posílení zabezpečení protokolu RPC netlogonu.
-
Pokud jsou nainstalovány pouze červencové aktualizace, povolte podrobné protokolování Netlogon pomocí příkazu "Nltest.exe /dbflag:0x2080ffff" a pak monitorujte výsledné protokoly, aby se položky podobaly následujícímu řádku. Pole OpNum a Method se mohou lišit a představují zablokovanou operaci a metodu RPC:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: odmítnutí neoprávněného volání RPC z [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Pokud jsou nainstalované aktualizace Windows v srpnu nebo novější, vyhledejte na řadičích domény Security-Netlogon událost 9015 a zjistěte, jaká volání RPC se zamítají. Pokud jsou tato volání kritická, můžete řadič domény během řešení potíží dočasně umístit do režimu auditování nebo zakázaného režimu.
-
Proveďte změny tak, aby aplikace používala ověřená volání rpc Netlogon, nebo se obraťte na dodavatele softwaru a požádejte o další informace.
-
-
Pokud řadiče domény přepnete do režimu auditování, monitorujte událost Security-Netlogon 9016, abyste zjistili, která volání RPC by byla odmítnuta, kdybyste zapnuli režim vynucení. Pak proveďte změny tak, aby aplikace používala ověřená volání rpc Netlogon, nebo se obraťte na dodavatele softwaru a požádejte o další informace.
Poznámka: Na serverech s Windows 2008 SP2 a Windows 2008 R2 se tyto události zobrazí v protokolech událostí systému jako události Netlogon 5844 a 5845 pro režim vynucení a režim auditování.
Načasování aktualizací Windows
Tyto aktualizace Windows byly vydány v několika fázích:
-
Počáteční změna Windows Server 2025 (13. května 2025) – Původní aktualizace, která byla posílena proti neověřeným voláním RPC založeným na Netlogonu, byla zahrnuta do aktualizace Zabezpečení Windows z května 2025 pro Windows Server 2025.
-
Počáteční změny na jiných serverových platformách (8. července 2025) – Aktualizace, které byly posíleny proti neověřeným voláním RPC založeným na Netlogonu pro jiné serverové platformy, byly zahrnuty do Zabezpečení Windows Aktualizace z července 2025.
-
Přidání režimu auditování a zakázaného režimu (12. srpna 2025) – V Zabezpečení Windows Aktualizace ze srpna 2025 bylo ve výchozím nastavení zahrnuto vynucování s možností pro režimy auditování nebo zakázáno.
-
Odebrání režimu auditování a zakázaného režimu (TBD) – Později se z operačního systému můžou odebrat režimy auditování a zakázáno. Tento článek bude aktualizován po potvrzení dalších podrobností.
Pokyny k nasazení
Pokud nasadíte srpnový Zabezpečení Windows Aktualizace a chcete nakonfigurovat řadiče domény v režimu auditování nebo zakázaného režimu, nasaďte níže uvedený klíč registru s odpovídající hodnotou. Nevyžaduje se žádné restartování.
|
Cesta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Hodnota registru |
DCLocatorRPCSecurityPolicy |
|
Typ hodnoty |
REG_DWORD |
|
Data hodnoty |
0 – Zakázaný režim1 – Režimauditování 2 – Režim vynucení (výchozí) |
Poznámka: Neověřené požadavky budou povolené v režimu auditování i zakázaném režimu.
Nově přidané události
Zabezpečení Windows Aktualizace z 12. srpna 2025 také přidá nové protokoly událostí na Windows Server 2012 prostřednictvím řadičů domény Windows Server 2022:
|
Protokol událostí |
Microsoft-Windows-Security-Netlogon/Operational |
|
Typ události |
Informace |
|
ID události |
9015 |
|
Text události |
Netlogon odmítl volání RPC. Zásada je v režimu vynucení. Informace o klientovi: Název metody: %method% Opnum metody: %opnum% Adresa klienta: <IP adresa> Identita klienta: <identifikátor SID volajícího> Další informace najdete v tématu https://aka.ms/dclocatorrpcpolicy. |
|
Protokol událostí |
Microsoft-Windows-Security-Netlogon/Operational |
|
Typ události |
Informace |
|
ID události |
9016 |
|
Text události |
Netlogon povolil volání RPC, které by normálně bylo odepřeno. Zásada je v režimu auditování. Informace o klientovi: Název metody: %method% Opnum metody: %opnum% Adresa klienta: <IP adresa> Identita klienta: <identifikátor SID volajícího> Další informace najdete v tématu https://aka.ms/dclocatorrpcpolicy. |
Poznámka: Na serverech s Windows 2008 SP2 a Windows 2008 R2 se tyto události zobrazí v protokolech událostí systému jako události Netlogon 5844 a 5845 v režimu vynucení a auditování.
Nejčastější dotazy
Řadiče domény, které se neaktualizují na Zabezpečení Windows Aktualizace z 8. července 2025 nebo novější, budou nadále umožňovat neověřená volání RPC využívající Netlogon & nebudou protokolovat události související s touto chybou zabezpečení.
Řadiče domény aktualizované s Zabezpečení Windows Aktualizace z 8. července 2025 nepovolí neověřená volání RPC využívající netlogon, ale nebudou protokolovat událost, pokud je takové volání zablokované.
Řadiče domény aktualizované Zabezpečení Windows Aktualizace z 12. srpna 2025 nebo novější ve výchozím nastavení nepovolují neověřená volání RPC založená na Netlogonu a při zablokování takového volání protokolují událost.
Ne.
