Oprindelig publiceringsdato: 13. august 2025
KB-id: 5066014
I denne artikel:
Sammendrag
CVE-2025-49716 løser en Denial-of-Service-sårbarhed, hvor eksterne ikke-godkendte brugere kunne foretage en række Netlogon-baserede RPC-opkald (Remote Procedure Calls), der til sidst bruger al hukommelse på en domænecontroller (DC). For at afhjælpe denne sårbarhed blev der foretaget en kodeændring i opdateringen for maj 2025 Windows Sikkerhed for Windows Server 2025 og juli 2025-Windows Sikkerhed Opdateringer for alle andre serverplatforme fra Windows Server 2008SP2 til Windows Server 2022, begge inklusive. Denne opdatering indeholder en ændring af sikkerhedshærdning til Microsoft RPC Netlogon-protokollen. Denne ændring forbedrer sikkerheden ved at stramme adgangskontrollen for et sæt RPC-anmodninger (Remote Procedure Call). Når denne opdatering er installeret, tillader Active Directory-domænecontrollere ikke længere anonyme klienter at aktivere visse RPC-anmodninger via Netlogon RPC-serveren. Disse anmodninger er typisk relateret til placeringen af domænecontrolleren.
Efter denne ændring kan nogle fil-& udskriftstjenestesoftware blive påvirket, herunder Samba. Samba har udgivet en opdatering for at imødekomme denne ændring. Se Samba 4.22.3 – Produktbemærkninger for at få flere oplysninger.
For at imødekomme scenarier, hvor påvirket tredjepartssoftware ikke kan opdateres, har vi udgivet yderligere konfigurationsfunktioner i august 2025-Windows Sikkerhed-opdateringen. Denne ændring implementerer en nøglebaseret til/fra-funktion i registreringsdatabasen mellem standardhåndhævelsestilstanden, en overvågningstilstand, der logfører ændringer, men ikke blokerer ikke-godkendte Netlogon RPC-opkald og en deaktiveret tilstand (anbefales ikke).)
Gør noget
Hvis du vil beskytte dit miljø og undgå afbrydelser, skal du først opdatere alle enheder, der er vært for Active Directory-domænecontrolleren eller LDS-serverrollen, ved at installere de seneste opdateringer til Windows. Domænecontrollere, der har den 8. juli 2025 eller nyere Windows Sikkerhed Opdateringer (eller Windows Server 2025-DCs med opdateringer fra maj) er som standard sikre og accepterer ikke ikke-godkendte Netlogon-baserede RPC-opkald som standard. Domænecontrollere, der har den 12. august 2025 eller nyere Windows Sikkerhed Opdateringer accepterer ikke ikke-godkendte Netlogon-baserede RPC-opkald som standard, men kan konfigureres til at gøre det midlertidigt.
-
Overvåg dit miljø for adgangsproblemer. Hvis problemet opstår, skal du bekræfte, om Ændringerne i Netlogon RPC-hærdning er den egentlige årsag.
-
Hvis der kun installeres opdateringer fra juli, skal du aktivere detaljeret Netlogon-logføring ved hjælp af kommandoen "Nltest.exe /dbflag:0x2080ffff" og derefter overvåge de resulterende logfiler for poster, der ligner følgende linje. Felterne OpNum og Metode kan variere og repræsentere den handling og RPC-metode, der blev blokeret:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: afvise et uautoriseret RPC-opkald fra [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Hvis august eller nyere Windows-opdateringer er installeret, skal du søge efter Security-Netlogon Hændelse 9015 på dine domænecontrollere for at finde ud af, hvilke RPC-kald der afvises. Hvis disse opkald er vigtige, kan du sætte domænecontrolleren i overvågningstilstand eller deaktiveret tilstand midlertidigt, mens du foretager fejlfinding.
-
Foretag ændringer, så appen bruger godkendte Netlogon RPC-opkald, eller kontakt din softwareleverandør for at få flere oplysninger.
-
-
Hvis du placerer pc'er i overvågningstilstand, skal du overvåge Security-Netlogon hændelse 9016 for at afgøre, hvilke RPC-opkald der vil blive afvist, hvis du har slået Gennemtvingelsestilstand til. Foretag derefter ændringer, så appen bruger godkendte Netlogon RPC-opkald, eller kontakt din softwareleverandør for at få flere oplysninger.
Bemærk!: På Windows 2008 SP2- og Windows 2008 R2-servere ses disse hændelser i systemets hændelseslogge som henholdsvis Netlogon-hændelser 5844 og 5845 for gennemtvingelsestilstand og overvågningstilstand.
Tidsindstilling for Windows-opdateringer
Disse Windows-opdateringer blev udgivet i flere faser:
-
Første ændring den Windows Server 2025 (13. maj 2025) – Den oprindelige opdatering, der hærdede mod ikke-godkendte Netlogon-baserede RPC-opkald, blev inkluderet i maj 2025-Windows Sikkerhed opdateringen til Windows Server 2025.
-
Indledende ændringer på andre serverplatforme (8. juli 2025) – De opdateringer, der hærdede mod ikke-godkendte Netlogon-baserede RPC-kald for andre serverplatforme, blev inkluderet i juli 2025-Windows Sikkerhed Opdateringer.
-
Tilføjelse af overvågningstilstand og deaktiveret tilstand (12. august 2025) – Gennemtvingelse som standard med en indstilling for overvågningstilstand eller deaktiveret tilstand var inkluderet i august 2025-Windows Sikkerhed Opdateringer.
-
Fjernelse af overvågningstilstand og deaktiveret tilstand (TBD) – På et senere tidspunkt kan overvågningstilstand og deaktiveret tilstand fjernes fra operativsystemet. Denne artikel opdateres, når yderligere oplysninger bekræftes.
Installationsvejledning
Hvis du installerer august-Windows Sikkerhed Opdateringer og vil konfigurere dine pc'er i overvågningstilstand eller deaktiveret tilstand, skal du installere registreringsdatabasenøglen nedenfor med den relevante værdi. Der kræves ingen genstart.
|
Sti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Registreringsdatabaseværdi |
DCLocatorRPCSecurityPolicy |
|
Værditype |
REG_DWORD |
|
Værdidata |
0 – Deaktiveret tilstand1 – Overvågningstilstand2 – Gennemtvingelsestilstand (standard) |
Bemærk!: Ikke-godkendte anmodninger tillades i både overvågningstilstand og deaktiveret tilstand.
Nyligt tilføjede begivenheder
Den 12. august 2025 Windows Sikkerhed Opdateringer tilføjer også nye hændelseslogge på Windows Server 2012 via Windows Server 2022-domænecontrollere:
|
Hændelseslog |
Microsoft-Windows-Security-Netlogon/Operational |
|
Hændelsestype |
Oplysninger |
|
Hændelses-id |
9015 |
|
Hændelsestekst |
Netlogon afviste et RPC-kald. Politikken er i gennemtvingende tilstand. Klientoplysninger: Metodenavn: %method% Metodeopnum: %opnum% Klientadresse: <IP-adresse> Klientidentitet: <> opkalds-SID Du kan få mere at vide under https://aka.ms/dclocatorrpcpolicy. |
|
Hændelseslog |
Microsoft-Windows-Security-Netlogon/Operational |
|
Hændelsestype |
Oplysninger |
|
Hændelses-id |
9016 |
|
Hændelsestekst |
Netlogon tillod et RPC-kald, der normalt ville være blevet nægtet. Politikken er i overvågningstilstand. Klientoplysninger: Metodenavn: %method% Metodeopnum: %opnum% Klientadresse: <IP-adresse> Klientidentitet: <> opkalds-SID Du kan få mere at vide under https://aka.ms/dclocatorrpcpolicy. |
Bemærk!: På Windows 2008 SP2- og Windows 2008 R2-servere vises disse hændelser i hændelseslogfilerne for systemet som henholdsvis Netlogon-hændelser 5844 og 5845 for tilstandene Håndhævelse og Overvågning.
Ofte stillede spørgsmål (ofte stillede spørgsmål)
De domænecontrollere, der ikke er opdateret med den 8. juli 2025 Windows Sikkerhed Opdateringer eller nyere, tillader stadig ikke-godkendte Netlogon-baserede RPC-kald, & ikke logger hændelser, der er relateret til denne sårbarhed.
Domænecontrollere, der opdateres med den 8. juli 2025 Windows Sikkerhed Opdateringer tillader ikke-godkendte Netlogon-baserede RPC-opkald, men logger ikke en hændelse, når et sådant opkald blokeres.
Som standard tillader domænecontrollere, der opdateres med den 12. august 2025 Windows Sikkerhed Opdateringer eller nyere, ikke ikke-godkendte Netlogon-baserede RPC-opkald og logger en hændelse, når et sådant opkald blokeres.
Nej.
