KB5066014 – RPC-Härtung von Netlogon (CVE-2025-49716)

In diesem Artikel:

• Zusammenfassung

• Handeln Sie

• Zeitplan für die Windows-Updates

• Bereitstellungsleitfaden

• Neu hinzugefügte Ereignisse

• Häufig gestellte Fragen (FAQ)

Zusammenfassung

CVE-2025-49716 behebt ein Denial-of-Service-Sicherheitsrisiko, bei dem nicht authentifizierte Remotebenutzer eine Reihe von Netlogon-basierten Remoteprozeduraufrufen (RPC) durchführen können, die schließlich den gesamten Arbeitsspeicher auf einem Domänencontroller (DC) verbrauchen. Um dieses Sicherheitsrisiko zu beheben, wurde eine Codeänderung im mai 2025 Windows-Sicherheit Update für Windows Server 2025 und im Windows-Sicherheit Updates juli 2025 für alle anderen Serverplattformen von Windows Server 2008SP2 auf Windows Server 2022, einschließlich.  Dieses Update enthält eine Änderung der Sicherheitshärtung am Microsoft RPC Netlogon-Protokoll. Diese Änderung verbessert die Sicherheit, indem die Zugriffsüberprüfungen für eine Reihe von RPC-Anforderungen (Remote Procedure Call) verschärft werden. Nach der Installation dieses Updates erlauben Active Directory-Domänencontroller nicht mehr, dass anonyme Clients einige RPC-Anforderungen über den Netlogon-RPC-Server aufrufen. Diese Anforderungen beziehen sich in der Regel auf den Speicherort des Domänencontrollers.

Nach dieser Änderung können einige Datei-& Druckdienstsoftware betroffen sein, einschließlich Samba. Samba hat ein Update veröffentlicht, um diese Änderung zu berücksichtigen. Weitere Informationen finden Sie unter Samba 4.22.3 – Versionshinweise .

Um Szenarien zu unterstützen, in denen betroffene Drittanbietersoftware nicht aktualisiert werden kann, haben wir im August 2025 Windows-Sicherheit Update zusätzliche Konfigurationsfunktionen veröffentlicht. Diese Änderung implementiert einen registrierungsschlüsselbasierten Umschalter zwischen dem Standarderzwingungsmodus, einem Überwachungsmodus, der Änderungen protokolliert, aber nicht authentifizierte Netlogon-RPC-Aufrufe nicht blockiert, und einem deaktivierten Modus (nicht empfohlen).

Handeln Sie

Um Ihre Umgebung zu schützen und Ausfälle zu vermeiden, aktualisieren Sie zunächst alle Geräte, die den Active Directory-Domänencontroller oder die LDS-Serverrolle hosten, indem Sie die neuesten Windows-Updates installieren. DOmänencontroller mit dem Windows-Sicherheit Updates vom 8. Juli 2025 oder höher (oder Windows Server 2025 DCs mit Mai-Updates) sind standardmäßig sicher und akzeptieren standardmäßig keine nicht authentifizierten Netlogon-basierten RPC-Aufrufe. DOmänencontroller mit dem Windows-Sicherheit Updates vom 12. August 2025 oder höher akzeptieren standardmäßig keine nicht authentifizierten Netlogon-basierten RPC-Aufrufe, können jedoch vorübergehend konfiguriert werden.

1. Überwachen Sie Ihre Umgebung auf Zugriffsprobleme. Falls vorhanden, überprüfen Sie, ob die Änderungen an der RPC-Härtung von Netlogon die Grundursache sind.

   1. Wenn nur Juli-Updates installiert sind, aktivieren Sie die ausführliche Netlogon-Protokollierung mit dem Befehl "Nltest.exe /dbflag:0x2080ffff", und überwachen Sie dann die resultierenden Protokolle auf Einträge, die der folgenden Zeile ähneln. Die Felder OpNum und Method können variieren und den Vorgang und die RPC-Methode darstellen, die blockiert wurde:

      23.06.10:50:39 [KRITISCH] [5812] NlRpcSecurityCallback: Ablehnen eines nicht autorisierten RPC-Aufrufs von [IPAddr] OpNum:34 Method:DsrGetDcNameEx2

   2. Wenn Windows-Updates für August oder höher installiert sind, suchen Sie nach Security-Netlogon Ereignis 9015 auf Ihren DCs, um zu ermitteln, welche RPC-Aufrufe abgelehnt werden. Wenn diese Aufrufe kritisch sind, können Sie den DC während der Problembehandlung vorübergehend in den Überwachungsmodus oder deaktivierten Modus versetzen.

   3. Nehmen Sie Änderungen so vor, dass die App authentifizierte Netlogon RPC-Aufrufe verwendet, oder wenden Sie sich an Ihren Softwarehersteller, um weitere Informationen zu erhalten.

2. Wenn Sie DCs in den Überwachungsmodus versetzen, überwachen Sie Security-Netlogon Ereignis 9016, um zu ermitteln, welche RPC-Aufrufe abgelehnt würden, wenn Sie den Erzwingungsmodus aktivieren. Nehmen Sie dann Änderungen vor, sodass die App authentifizierte Netlogon RPC-Aufrufe verwendet, oder wenden Sie sich an Ihren Softwarehersteller, um weitere Informationen zu erhalten.

Zeitplan für die Windows-Updates

Diese Windows-Updates wurden in mehreren Phasen veröffentlicht:

1. Anfängliche Änderung am Windows Server 2025 (13. Mai 2025): Das ursprüngliche Update, das sich gegen nicht authentifizierte Netlogon-basierte RPC-Aufrufe gehärtet hat, wurde im Windows-Sicherheit Update für Windows Server 2025 vom Mai 2025 enthalten.

2. Anfängliche Änderungen auf anderen Serverplattformen (8. Juli 2025): Die Updates, die gegen nicht authentifizierte Netlogon-basierte RPC-Aufrufe für andere Serverplattformen gehärtet wurden, wurden im juli 2025 Windows-Sicherheit Updates enthalten.

3. Hinzufügen des Überwachungsmodus und des deaktivierten Modus (12. August 2025): Die Erzwingung wurde standardmäßig mit einer Option für den Modus "Überwachen" oder "Deaktiviert" im august 2025-Windows-Sicherheit Updates enthalten.

4. Entfernen des Überwachungsmodus und des deaktivierten Modus (TBD): Zu einem späteren Zeitpunkt können die Modi "Überwachung" und "Deaktiviert" aus dem Betriebssystem entfernt werden. Dieser Artikel wird aktualisiert, wenn weitere Details bestätigt werden.

Bereitstellungsleitfaden

Wenn Sie die August-Windows-Sicherheit Updates bereitstellen und Ihre DCs im Modus "Überwachen" oder "Deaktiviert" konfigurieren möchten, stellen Sie den registrierungsschlüssel unten mit dem entsprechenden Wert bereit. Es ist kein Neustart erforderlich.

Neu hinzugefügte Ereignisse

Im Windows-Sicherheit Updates vom 12. August 2025 werden auch neue Ereignisprotokolle auf Windows Server 2012 Windows Server 2022-Domänencontroller hinzugefügt:

Häufig gestellte Fragen (FAQ)