Sådan administreres ændringerne i Netlogon-kanal forbindelser, der er knyttet til CVE-2020-1472

Sammendrag

Den Netlogon-Fjern protokol (også kaldet MS-NRPC) er en RPC-grænseflade, der udelukkende bruges af domænetilknyttede enheder. MS-NRPC indeholder en godkendelsesmetode og en metode til at oprette en Netlogon Secure-kanal. Disse opdateringer gennemtvinger den angivne Netlogon-klient adfærd til at bruge Secure RPC med Netlogon-sikker kanal mellem medlemscomputere og Active Directory-domænecontrollere (DC).

Denne sikkerhedsopdatering afhjælper sikkerhedsrisikoen ved at gennemtvinge sikker RPC, når du bruger den Netlogon Secure-kanal i en faseinddelt version, der er beskrevet i timing af opdateringer til sårbarhed i forbindelse med Address Netlogon – CVE-2020-1472 afsnit. Hvis du vil give AD-skov beskyttelse, skal alle DCs, opdateres, siden de kan gennemtvinge sikkert RPC med Netlogon-sikker kanal. Dette omfatter skrivebeskyttede domænecontrollere (RODC).

Du kan få mere at vide om sikkerhedsrisikoen ved at gå til CVE-2020-1472.

Handle

For at beskytte dit miljø og forhindre afbrydelser skal du gøre følgende:

Bemærk Trin 1 for installation af opdateringer, der er udgivet d. 11. august 2020 eller nyere, vil omfatte sikkerhedsproblem i CVE-2020-1472 til Active Directory-domæner og-tillidsforhold samt Windows-enheder. Hvis du vil reducere sikkerhedsproblemet for tredjepartsenheder fuldt ud, skal du gennemføre alle trinnene.

Advarslen Fra og med d. 2021, vil aktiveringstilstand være aktiveret på alle Windows-domænecontrollere og vil blokere forbindelsesfejl fra ikke-kompatible enheder. På det tidspunkt kan du ikke deaktivere håndhævelses tilstand.

  1. Opdater dine domænecontrollere med en opdatering udgivet d. 11. august 2020 eller nyere.

  2. Find ud af, hvilke enheder der laver sårbare forbindelser ved at overvåge hændelseslogfiler.

  3. Address ikke-kompatible enheder, der laver sårbare forbindelser.

  4. Aktivér håndhævelses tilstand for at adressen CVE-2020-1472 i dit miljø.


Bemærk Hvis du bruger Windows Server 2008 R2 SP1, har du brug for en Extended Security Update (ESU)-licens til installation af enhver opdatering, der løser dette problem. Hvis du vil have mere at vide om ESU-programmet, skal du se ofte stillede spørgsmål om livscyklus – udvidede sikkerhedsopdateringer.

I denne artikel:

Timing af opdateringer til sårbarhed i Address Netlogon – CVE-2020-1472

Opdateringerne bliver frigivet i to faser: startfasen for opdateringer, der blev udgivet d. 11. august 2020 og håndhævelses fasen for opdateringer, der blev udgivet d. 9. februar 2021.

D. 11. august 2020 – første installationsfase

Den oprindelige installationsfase starter med de opdateringer, der blev udgivet d. 11. august 2020, og fortsætter med senere opdateringer indtil håndhævelses fasen. Disse og nyere opdateringer foretager ændringer af Netlogon-protokollen for at beskytte Windows-enheder som standard logfører hændelser for ikke-kompatible enheds opdagelser og tilføjer muligheden for at aktivere beskyttelse for alle domæner, der er knyttet til enheder med udtrykkelige undtagelser. Denne version:

  • Gennemtvinger Secure RPC-brug til computerkonti på Windows-baserede enheder.

  • Gennemtvinger Secure RPC-brug til pålidelige konti.

  • Gennemtvinger sikker RPC-brug for alle Windows-og ikke-Windows-DC'er.

  • Medtager en ny Gruppepolitik til at tillade ikke-kompatible enheds konti (dem, der bruger sårbare kanal forbindelser med Netlogon). Selv når DCs kører i håndhævelses tilstand , eller når fuldbyrdelses fasen starter, vil tilladte enheder ikke være afvist.

  • FullSecureChannelProtection registreringsdatabasenøgle til aktivering af DC- håndhævelses tilstand for alle maskinkonti (håndhævelses fasen opdaterer DC'ER til DC- håndhævelses tilstand).

  • Medtager nye begivenheder, når-konti nægtes eller ville blive afvist i tilstanden til gennemtvingning af domænecontrollere (og fortsætter i aktiverings fasen). De specifikke hændelses-id'er er forklaret senere i denne artikel.

Afhjælpning består af installation af opdateringen på alle DC'er og RODC, overvågning af nye begivenheder og håndtering af ikke-kompatible enheder, der bruger sårbare kanal forbindelser med Netlogon. Maskinkonti på enheder, der ikke er kompatible, kan have tilladelse til at bruge sårbare kanal forbindelser med Netlogon-sikkerhed. de skal dog opdateres for at understøtte sikker RPC til Netlogon, og kontoen er gennemtvunget så hurtigt som muligt for at fjerne risikoen for angreb.

9. februar 2021 – håndhævelses fase

D. 9. februar 2021 Release markerer overgangen i håndhævelses fasen. DCs er nu i håndhævelses tilstand uanset nøglen til registreringsdatabase i håndhævelses tilstand. Dette kræver, at alle Windows-og ikke-Windows-enheder bruger Secure RPC med Netlogon Secure-kanal eller udtrykkeligt tillader kontoen ved at tilføje en undtagelse for den ikke-kompatible enhed. Denne version:

Installations retningslinjer – Installer opdateringer, og Gennemtving overholdelse

Den første installationsfase består af følgende trin:

  1. Implementering af 11. august 11 opdateringertil alle DC'er i området.

  2. (en)- skærm for advarselshændelserog (b) handle for hver enkelt begivenhed.

  3. (a) når alle advarselshændelser er blevet behandlet, kan fuld beskyttelse aktiveres ved at installere DC- håndhævelses tilstand. (b) alle advarsler skal løses før den 9. februar 2021-håndhævelses fase opdatering.

trin 1: Opdater

Installér 11. august 2020 opdateringer

Installér d. 11. august, 11. august, herunder skrivebeskyttede domænecontrollere (RODC). Når du har installeret opdateringen af denne opdatering, vil DCs:

  • Start gennemtvinge beskyttet brug af RCP for alle Windows-baserede enheds konti, pålidelige konti og alle DC'er.

  • Log Event id 5827 og 5828 i systemets hændelseslog, hvis der nægtes forbindelser.

  • Log Event id 5830 og 5831 i systemets hændelseslog, hvis forbindelserne er tilladt af "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

  • Logfør hændelses-ID 5829 i systemets hændelseslog, hver gang en sårbar forbindelse til det sikrede Netlogon-kanal er tilladt. Disse hændelser skal løses, før providerens gennemtvingings tilstand er konfigureret, eller før fuldbyrdelses fasen starter d. 9. februar 2021.

 

trin 2a: FIND

Registrering af ikke-kompatible enheder ved hjælp af hændelses-ID 5829

Efter d. 11. august 2020-opdateringer er blevet anvendt på DCs, der kan indsamles hændelser i hændelseslogfiler på DC'EN for at afgøre, hvilke enheder i dit miljø der bruger sårbare kanal forbindelser i Netlogon (kaldet ikke-kompatible enheder i denne artikel). Overvåg Patched DCs til event ID 5829-begivenheder. Begivenhederne vil omfatte relevante oplysninger til at identificere de ikke-kompatible enheder.

Hvis du vil overvåge begivenheder, skal du bruge den tilgængelige hændelse overvågning eller ved hjælp af et script til at overvåge dine DC'er.  Du kan få et eksempel på et script, som du kan tilpasse til dit miljø, under manuskript til at overvåge hændelses-id'er, der er relateret til Netlogon-opdateringer til CVE-2020-1472

trin 2b: ADRESSE

Addressing Event id 5827 og 5828

Understøttede versioner af Windows , som er blevet opdateret helt, bør ikke være i stand til at bruge en udsat Netlogon-sikker kanal forbindelse. Hvis en af disse hændelser er logført i systemhændelsesloggen for en Windows-enhed:

  1. Bekræft, at enheden kører en understøttet version af Windows.

  2. Sørg for, at enheden er helt opdateret.

  3. Kontrollér, at Domænemedlem: Digital kryptering eller signering af data til sikre kanaler (altid) er indstillet til aktiveret.

For ikke-Windows-enheder, der fungerer som en DC, logføres disse hændelser i systemets hændelseslog, når du bruger sårbare kanal Secure Netlogon-forbindelser. Hvis en af disse hændelser logføres:

  • Anbefalet Arbejd med producenten af enheden eller softwareproducenten for at få support til Secure RPC med Netlogon-sikker kanal

    1. Hvis den ikke-kompatible DC understøtter Secure RPC med Netlogon Secure kanal, skal du aktivere Secure RPC på DC'EN.

    2. Hvis den ikke-kompatible DC ikke understøtter i øjeblikket Secure RCP, kan du arbejde med producenten af enheden eller softwareproducenten for at få en opdatering, der understøtter Secure RCP med den sikre Netlogon-kanal.

    3. Lad den ikke-kompatible DC udgå.

  • Sårbar Hvis en ikke-kompatibel DC ikke kan understøtte sikker RPC med Netlogon-sikker kanal, før DCs er i håndhævelses tilstand, skal du tilføje domænecontrolleren ved hjælp af "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik beskrevet nedenfor.

Advarslen Ved at gøre det muligt for DCs at bruge risikable forbindelser af gruppepolitikken kan det gøre skoven sårbart overfor angreb. Den endelige målsætning skal være at adressere og fjerne alle konti fra denne gruppepolitik.

 

Addressing Event 5829

Hændelses-ID 5829 genereres, når en sårbar forbindelse er tilladt i den første installationsfase. Disse forbindelser vil blive afvist, når DCs er i håndhævelses tilstand. I disse begivenheder fokuserer på computernavn, domæne-og OS-versioner, der er angivet til at bestemme de ikke-kompatible enheder, og hvordan de skal løses.

Måder til at håndtere ikke-kompatible enheder:

  • Anbefalet Arbejd med producenten af enheden eller softwareproducenten for at få support til Secure RPC med Netlogon-sikker kanal:

    1. Hvis den ikke-kompatible enhed understøtter Secure RPC med Netlogon Secure kanal, skal du aktivere Secure RCP på enheden.

    2. Hvis den ikke-kompatible enhed i øjeblikket ikke understøtter Secure RCP med Netlogon Secure kanal, kan du arbejde med producenten af enheden eller softwareproducenten for at få en opdatering, der gør det muligt at sikre, at Secure RPC med Netlogon-sikker kanal er aktiveret.

    3. Lad den ikke-kompatible enhed udgå.

  • Sårbar Hvis en ikke-kompatibel enhed ikke kan understøtte sikker RPC med Netlogon-sikker kanal, før DCs er i håndhævelses tilstand, skal du tilføje enheden ved hjælp af "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik beskrevet nedenfor.

Advarslen Hvis du tillader, at enheds konti kan bruge risikable forbindelser af gruppepolitikken, placeres disse AD-konti i fare. Den endelige målsætning skal være at adressere og fjerne alle konti fra denne gruppepolitik.

 

Tillad risikable forbindelser fra tredjepartsenheder

Brug "domænecontroller: Tillad risikable Netlogon Secure kanal Connections "-Gruppepolitik for at tilføje ikke-kompatible konti. Dette bør kun betragtes som et kortsigtet program, indtil ikke-kompatible enheder er rettet som beskrevet ovenfor. Bemærk Det kan være en god ide at have fejlbehæftede forbindelser fra ikke-kompatible enheder, og du bør have mulighed for forsigtighed.

  1. Oprettet en (e) sikkerhedsgruppe) til konti, der har tilladelse til at bruge en udsat Netlogon-sikker kanal.

  2. I gruppepolitik skal du gå til computer konfiguration > Windows-indstillinger > sikkerhedsindstillinger > lokale politikker > sikkerhedsindstillinger

  3. Søg efter "domænecontroller: Tillad sårbare kanal forbindelser med Netlogon (Secure Netlogon).

  4. Hvis administrator gruppen eller en gruppe, der specifikt er oprettet til brug med denne gruppepolitik, er til stede, skal du fjerne den.

  5. Tilføj en sikkerhedsgruppe, der specifikt er udviklet til brug med denne gruppepolitik, til sikkerhedsbeskrivelsen med tilladelsen "Tillad". Bemærk Tilladelsen "Afvis" fungerer på samme måde, som hvis kontoen ikke blev tilføjet, dvs. kontiene må ikke være udsat for risikable Netlogon-sikre kanaler.

  6. Når sikkerhedsgruppen (e) er blevet tilføjet, skal gruppepolitikken replikere til hver DOMÆNECONTROLLER.

  7. Med jævne mellemrum overvågning af begivenheder 5827, 5828 og 5829 for at finde ud af, hvilke konti der bruger sårbare forbindelser til Secure kanal.

  8. Føj disse computerkonti til sikkerhedsgruppen (e), hvis det er nødvendigt. Bedste praksis Brug sikkerhedsgrupper i gruppepolitikken, og Føj konti til gruppen, så medlemskab replikeres via normal AD-replikering. Derved undgår det hyppige opdatering af gruppepolitik og replikering.

Når alle de ikke-kompatible enheder er blevet behandlet, kan du flytte dine DC'er til gennemtvingings tilstand (se næste afsnit).

Advarslen Hvis DC'er gør det muligt at bruge sårbare forbindelser til tillids konti for-gruppepolitik, kan det gøre skoven sårbart overfor angreb. Tillids konti kaldes som regel efter det domæne, der er tillid til, f. eks.: DC'EN i domænet – a har en pålidelig nøgle i domænet – b. Internt i domænet – a har en Trust-konto kaldet "Domain-b $", som repræsenterer Trust-objektet for Domain – b. Hvis domænecontrolleren i Domain – a vil udsætte tilliden for at være udsat for angreb, ved at gøre det muligt at oprette en svækkelse af en ustabil Netlogon-kanal forbindelse fra kontoen domæne b, kan en administrator bruge Add-adgroupmember – Identity "navn på sikkerhedsgruppe" – medlemmer af domænet – b $ "for at føje tillidskontoen til sikkerhedsgruppen.

 

trin 3a: Aktivér

Flytte til gennemtvingings tilstand i forvejen i håndhævelses fasen for februar 2021

Når ingen af de ikke-kompatible enheder er blevet løst, skal du enten aktivere sikkert RPC eller ved hjælp af sårbare forbindelser med "domænecontroller: Tillad sårbare kanal forbindelser til det sikrede Netlogon "GruppepolitikAngiv registreringsdatabasenøglen FullSecureChannelProtection til 1.

Bemærk Hvis du bruger "domænecontroller: Tillad sårbare kanal forbindelser til det sikrede Netlogon "Gruppepolitik, Sørg for, at gruppepolitikken er blevet replikeret og anvendt på alle DC'er, før du angiver registreringsdatabasenøglen FullSecureChannelProtection.

Når registreringsdatabasenøglen FullSecureChannelProtection er installeret, vil DC'er være i håndhævelses tilstand. Denne indstilling kræver, at alle enheder, der bruger en Netlogon-sikker kanal, enten:

Advarslen Tredjeparts klienter, der ikke understøtter Secure RCP med Netlogon-kanal forbindelser, vil blive afvist, når registreringsdatabasenøglen for DC- håndhævelses tilstanden er implementeret, hvilket kan afbryde produktions tjenester.

 

trin 3b: for tvangsfuldbyrdelse

Installér d. 9. februar 2021, opdateringer

Implementering af opdateringer, der er udgivet d. 9. februar 2021 eller nyere, slår-til- administrationstilstandtil. Indstillingen DC- håndhævelse er, når alle Netlogon-forbindelser er nødvendige for at bruge Secure RCP, eller kontoen skal være blevet føjet til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik. På nuværende tidspunkt er registreringsdatabasenøglen FullSecureChannelProtection ikke længere nødvendig og vil ikke længere være understøttet.

"Domænecontroller: Tillad sårbare kanal forbindelser med Netlogon-forbindelse "Gruppepolitik"

Den bedste fremgangsmåde er at bruge sikkerhedsgrupper i gruppepolitikken, så medlemskab replikeres via normal AD-replikering. Derved undgår det hyppige opdatering af gruppepolitik og replikering.

Politik sti og Indstillingsnavn

Beskrivelse

Politikfil: Computer konfiguration > Windows-indstillinger > sikkerhedsindstillinger > lokale politikker > sikkerhedsindstillinger

Navn på indstilling: domænecontroller: Tillad risikable kanal forbindelser til det sikre Netlogon

Genstart påkrævet? Nej

Denne sikkerhedsindstilling bestemmer, om domænecontrolleren forbigår sikker RPC for forbindelse til den angivne computerkonto.

Denne politik skal anvendes på alle domænecontrollere i et område ved at aktivere politikken i OU for domænecontrollere.

Når du har konfigureret listen Opret risikable forbindelsesfejl (liste over tilladte):

  • Ikke Domænecontrolleren giver mulighed for, at den angivne gruppe/konti bruger en Netlogon-sikker kanal uden at sikre RPC.

  • Afvis Denne indstilling er den samme som standardfunktionsmåden. Domænecontrolleren kræver, at den angivne gruppe/konto skal bruge en Netlogon Secure-kanal med Secure RPC.

Advarslen Hvis denne politik aktiveres, vises dine enheder, der er knyttet til dit domæne, og dit Active Directory-område, som kan bringe dem i fare. Denne politik bør bruges som en midlertidig måleenhed til tredjepartsenheder, når du installerer opdateringer. Når en tredjeparts enhed opdateres til at understøtte brug af Secure RCP med Netlogon Secure-kanaler, bør kontoen fjernes fra listen Opret sårbare forbindelser. Hvis du vil have mere at vide om risikoen for, at konti, der er konfigureret til at bruge risikable Netlogon Secure kanal forbindelser, skal du besøge https://go.microsoft.com/fwlink/?linkid=2133485.

Hentes Denne politik er ikke konfigureret. Ingen computere eller tillids konti er udtrykkeligt undtaget fra Secure RPC med administration af Secure kanal-forbindelser i Netlogon.

Denne politik understøttes på Windows Server 2008 R2 SP1 og nyere.

Windows-hændelseslogfiler fejl, der er knyttet til CVE-2020-1472

Der findes tre kategorier af begivenheder:

1. Hændelser, der logføres, når en forbindelse er blevet afvist, fordi forbindelsen til den sårbare Netlogon-kanal blev forsøgt:

  • Fejl i 5827 (computerkonti)

  • Fejl i 5828 (Trust-konti)

2. Hændelser, der logføres, når en forbindelse er tilladt, fordi kontoen blev føjet til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik:

  • 5830 (computerkonti) advarsel

  • 5831 (tillids konti) advarsel

3. Hændelser, der logføres, når en forbindelse er tilladt i den oprindelige udgivelse, som vil blive afvist i administrationstilstandfor DC:

  • 5829 (computerkonti) advarsel

Hændelses-ID 5827

Hændelses-ID 5827 logføres, når en udsat Netlogon Secure kanal-forbindelse fra en computerkonto afvises.

Hændelseslog

System

Hændelseskilde

TJENE

Hændelses-id

5827

Niveau

Fejl

Tekst til begivenheds meddelelse

Tjenesten Netlogon afviste en udsat Netlogon Secure Channel-forbindelse fra en computerkonto.

Computer SamAccountName:

Domæne:

Kontotype:

Operativ system på computeren:

Maskin build af operativ system:

Tjeneste pakke til computerens operativ system:

Hvis du vil have mere at vide om, hvorfor dette blev nægtet, skal du besøge https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Hændelses-ID 5828

Hændelses-ID 5828 logføres, når en udsat Netlogon-sikker kanal forbindelse fra en Trust-konto nægtes.

Hændelseslog

System

Hændelseskilde

TJENE

Hændelses-id

5828

Niveau

Fejl

Tekst til begivenheds meddelelse

Tjenesten Netlogon afviste en udsat Netlogon-sikker kanal forbindelse ved hjælp af en Trust-konto.

Kontotype:

Tillids navn:

Trust Target:

Klients IP-adresse:

Hvis du vil have mere at vide om, hvorfor dette blev nægtet, skal du besøge https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Hændelses-ID 5829

Hændelses-ID 5829 vil kun blive logført under den indledende installationsfase, når en sårbar forbindelse til det sikrede Netlogon-kanal fra en computerkonto er tilladt.

Når der er implementeret DC- håndhævelses tilstand , eller når fuldbyrdelses fasen starter med installationen af opdateringen for d. 9. februar 2021, vil disse forbindelser blive afvist, og hændelses-id 5827 vil blive logført. Dette er grunden til, at det er vigtigt at overvåge for Event 5829 under den indledende installationsfase og reagere før fuldbyrdelses fasen for at undgå afbrydelser.

Hændelseslog

Filsystem

Hændelseskilde

TJENE

ID for begivenhed

5829

Baseret

!

Tekst til begivenheds meddelelse

Tjenesten Netlogon har tilladt en udsat Netlogon-sikker kanal forbindelse.  

Advarsel! Denne forbindelse vil blive afvist, når fuldbyrdelses fasen er frigivet. For bedre at forstå håndhævelses fasen skal du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Computer SamAccountName:  

Domæne:  

Konto type:  

Operativ system på computeren:  

Maskin build af operativ system:  

Tjeneste pakke til computerens operativ system:  

Hændelses-ID 5830

Hændelses-ID 5830 logføres, når en udsat Netlogon Secure-kanal computer forbindelse er tilladt af "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Hændelseslog

System

Hændelseskilde

TJENE

Hændelses-id

5830

Niveau

Advarsel!

Tekst til begivenheds meddelelse

Tjenesten Netlogon har tilladt en udsat Netlogon-sikker kanal forbindelse, fordi computerkontoen er tilladt i "domænecontrolleren: Tillad risikable kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Advarsel! Når du bruger risikable Netlogon-sikre kanaler, vises de enheder, der er tilsluttet domænet, til angreb. Hvis du vil beskytte enheden mod angreb, skal du fjerne en computerkonto fra "domænecontroller: Tillad risikable kanal forbindelser med et sikkert Netlogon-Gruppepolitik, når tredjeparts-Netlogon-klienten er blevet opdateret. Hvis du vil have mere at vide om risikoen for at konfigurere computerkonti, så de kan bruge sårbare kanal forbindelser med Netlogon, skal du besøge https://go.Microsoft.com/fwlink/?LinkId=2133485.

Computer SamAccountName:

Domæne:

Kontotype:

Operativ system på computeren:

Maskin build af operativ system:

Tjeneste pakke til computerens operativ system:

 

Hændelses-ID 5831

Hændelses-ID 5831 logføres, når en udsat Netlogon Secure Netlogon-konto forbindelse er tilladt af "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Hændelseslog

System

Hændelseskilde

TJENE

Hændelses-id

5831

Niveau

Advarsel!

Tekst til begivenheds meddelelse

Tjenesten Netlogon har tilladt en udsat Netlogon-sikker kanal forbindelse, fordi tillidskontoen er tilladt i "domænecontrolleren: Tillad risikable kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Advarsel! Når du bruger risikable Netlogon Secure kanaler, vil det være en hjælp for Active Directory-skove til angreb. For at beskytte dine Active Directory-skove mod et angreb skal alle tillidsforhold bruge Secure RPC med den sikre Netlogon-kanal. Fjern en Trust-konto fra "domænecontroller: Tillad sårbare kanal forbindelser med Netlogon-forbindelse "Gruppepolitik", når tredjeparts-Netlogon-klienten er blevet opdateret på domænecontrollerne. Hvis du vil have mere at vide om risikoen ved konfiguration af tillids konti, der har tilladelse til at bruge risikable Netlogon Secure kanal-forbindelser, skal du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.

Kontotype:

Tillids navn:

Trust Target:

Klients IP-adresse:

Registreringsdatabaseværdi for håndhævelses tilstand

Advarsel kan opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert ved hjælp af registrerings editor eller en anden metode. Disse problemer kan kræve, at du skal geninstallere operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændring af registreringsdatabasen er på eget ansvar. 

D. 11. august 2020 opdatering introducerer følgende indstilling i registreringsdatabasen for at aktivere håndhævelses tilstand tidligt. Dette aktiveres, uanset indstillingen i registreringsdatabasen i Gennemtvingings fasen, der starter d. 9. februar 2021: 

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Værdi

FullSecureChannelProtection

Datatype

REG_DWORD

Data

1 – Dette aktiverer håndhævelses tilstand. DCs afviser svag oprettelse af Netlogon-kanal forbindelser, medmindre kontoen har tilladelse til at oprette en liste over svag forbindelse i "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.  

0 – DCs tillader risikable Netlogon-kanal forbindelser fra ikke-Windows-enheder. Denne indstilling er kun anbefalet i frigivelsen af håndhævelses fasen.

Genstart påkrævet?

Nej

 

Tredjepartsenheder, der implementerer [MS-NRPC]: Protokollen Netlogon Remote Protocol

Alle tredjeparts klienter eller-servere skal bruge Secure RPC med den sikre Netlogon-kanal. Kontakt producenten (producenten af enheden af producenten) eller software for at finde ud af, om deres software er kompatibel med den seneste Remote-protokol i Netlogon. 

-Protokol opdateringerne findes på webstedet Windows-protokol dokumentation

Ofte stillede spørgsmål (FAQ)

  • Windows &-domæner, der er knyttet til tredjepartsenheder, der har maskinkonti i Active Directory (AD)

  • Windows Server & domænecontrollere fra tredjepartsdomæner i pålidelige & tillid til domæner, der har tillid til konti i AD

Tredjepartsenheder kan være ikke-kompatible. Hvis din løsning til tredjepart vedligeholder en computerkonto i AD, skal du kontakte leverandøren for at finde ud af, om du er påvirket.

Forsinkelse i program-og SYSVOL-replikering eller Gruppepolitik programfejl på den bekræftte DC kan medføre ændringer i gruppepolitikken "domænecontroller: Tillad sårbare kanal forbindelser med et sikkert Netlogon-Gruppepolitik til at være fraværende og resultere i, at kontoen afvises. 

De følgende trin kan hjælpe dig med at løse problemet:

Understøttede versioner af Windows , som er blevet opdateret helt, bør ikke være i stand til at bruge en udsat Netlogon-sikker kanal forbindelse. Hvis hændelses-ID 5827 er logført i systemhændelsesloggen for en Windows-enhed:

  1. Bekræft, at enheden kører en understøttet version af Windows.

  2. Sørg for, at enheden er helt opdateret fra Windows Update.

  3. Kontrollér, at Domænemedlem: Digital kryptering eller signering af data for sikre kanaler (altid) er indstillet til aktiveret i et GPO, der er sammenkædet med OU for alle dine DC'er, f. eks. GPO til standarddomænecontrollere.

Ja, de skal opdateres, men de er ikke helt udsat for CVE-2020-1472.

Nej, DCs er den eneste rolle, der berøres af CVE-2020-1472 , og de kan opdateres uafhængigt af Windows-servere og andre Windows-enheder, der ikke er DC.

Windows Server 2008 SP2 er ikke sårbar over for denne bestemte CVE, da den ikke bruger AES til Secure RCP.

Ja, du skal have udvidet sikkerhedsopdatering (ESU) for at installere opdateringerne for adressen CVE-2020-1472 til Windows Server 2008 R2 SP1.

Ved at udrulle 11. august 2020 eller nyere opdateringer til alle domænecontrollere i dit miljø.

Sørg for, at ingen af de enheder, der er føjet til "domænecontroller: Tillad sårbare kanal forbindelser med et sikkert Netlogon-Gruppepolitik har tilladelses tjenester som Enterprise-Administrator eller Domain – administrator, f. eks. SCCM eller Microsoft Exchange.  Bemærk Enhver enhed på listen Tillad kan bruge sårbare forbindelser og kan udsætte miljøet for angrebet.

Installation af opdateringer, der er udgivet d. 11. august 2020 eller nyere, beskytter de Windows-baserede computerkonti, kontine tillids konti og domænecontroller. 

Active Directory-maskinkonti for et domæne, der er forbundet med tredjepartsenheder, er ikke beskyttet, før håndhævelses tilstanden er installeret. Computerkonti er også ikke beskyttet, hvis de føjes til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Sørg for, at alle domænecontrollere i dit miljø har installeret opdateringer fra d. 11. august 2020 eller nyere.

Enhver enheds identitet, som er blevet føjet til "domænecontroller: Tillad sårbare kanal forbindelser med et sikkert Netlogon-Gruppepolitik vil være sårbar over for angreb.   

Sørg for, at alle domænecontrollere i dit miljø har installeret opdateringer fra d. 11. august 2020 eller nyere. 

Aktivér håndhævelses tilstand for at nægte sårbare forbindelser fra ikke-kompatible tredjeparts enheds identiteter.

Bemærk Når aktiveringstilstand er aktiveret, kan eventuelle enheder fra tredjepartsenheder, som er blevet føjet til "domænecontroller: Tillad sårbare kanal forbindelser med et sikkert Netlogon-Gruppepolitik. vil stadig være sårbar og kan give en hacker uautoriseret adgang til dine netværk eller enheder.

I håndhævelses tilstand anmodes domænecontrollerne om ikke at tillade Netlogon-forbindelser fra enheder, der ikke bruger Secure RPC, medmindre disse enhedskonto er blevet føjet til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Hvis du vil have mere at vide, skal du se registreringsdatabaseværdien for sektionen håndhævelses tilstand .

Kun maskinkonti for enheder, der ikke kan gøres sikre ved at aktivere Secure RPC på den Netlogon Secure-kanal, bør føjes til gruppepolitikken. Det anbefales at give disse enheder kompatible eller udskifte disse enheder for at beskytte dit miljø.

En angriber kan overtage en computerkonto, der er føjet til en Active Directory-maskine, til en hvilken som helst computerkonto, som er føjet til gruppepolitikken, og efterfølgende udnytter eventuelle tilladelser, der har

Hvis du har en tredjeparts enhed, der ikke understøtter Secure RCP for den sikre Netlogon-kanal, og du vil aktivere håndhævelses tilstand, skal du føje computerkontoen for den pågældende enhed til gruppepolitikken. Det anbefales ikke, og det kan være en svækkelse af dit domæne.  Det anbefales at bruge denne gruppepolitik til at give tid til at opdatere eller erstatte tredjepartsenheder for at gøre dem kompatible.

Håndhævelses tilstand skal aktiveres så hurtigt som muligt. Alle tredjepartsenheder skal løses enten ved at gøre dem kompatible eller ved at føje dem til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik. Bemærk Enhver enhed på listen Tillad kan bruge sårbare forbindelser og kan udsætte miljøet for angrebet.

 

Ordliste

Ordet

Nye

JOBANNONCE

Active Directory

Returnerer

Domæne controller

Håndhævelses tilstand

Registreringsdatabasenøglen, der gør det muligt at aktivere håndhævelses tilstanden i forvejen d. 9. februar 2021.

Håndhævelses fase

Fasen begynder med 9. februar 2021 opdaterer, hvor håndhævelses tilstand aktiveres på alle Windows-domænecontrollere, uanset indstillingen i registreringsdatabasen. DCs vil nægte sårbare forbindelser fra alle ikke-kompatible enheder, medmindre de føjes til "domænecontroller: Tillad sårbare kanal forbindelser til det sikre Netlogon "Gruppepolitik.

Første installationsfase

Fasen begynder med den 11. august 2020 opdaterer og fortsætter med at opdatere senere indtil håndhævelses fasen.

computerkonto

Kaldes også Active Directory-computer eller computer objekt.  Du kan få mere at finde i den NPRC , du har brug for.

MS-NRPC

Microsoft Netlogon Remote ProtoCol

Ikke-kompatibel enhed

En ikke-kompatibel enhed er en, der bruger en udsat Netlogon-sikker kanal forbindelse.

ADGANGSKODEREPLIKERING

skrivebeskyttede domænecontrollere

Sårbar forbindelse

En sårbar forbindelse er en Netlogon-sikker kanal forbindelse, der ikke bruger Secure RPC.

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×