Zusammenfassung

Das Netlogon Remote-Protokoll (auch MS-NRPC) ist eine RPC-Benutzeroberfläche, die ausschließlich von in Domäne eingebundenen Geräten verwendet wird. MS-NRPC umfasst eine Authentifizierungsmethode und eine Methode zum Einrichten eines sicheren Netlogon-Kanals. Durch diese Updates wird das angegebene Netlogon-Clientverhalten durchgesetzt, um Secure RPC mit dem sicheren Netlogon-Kanal zwischen Mitgliedscomputern und Active Directory (AD)-Domänencontrollern (DC) zu verwenden.

Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit durch Erzwingen von Secure RPC bei Verwendung des sicheren Netlogon-Kanals in einer Phasen orientierten Version, die im Abschnitt Anzeigedauer von Updates für die Sicherheitsanfälligkeit in der Sicherheitsanfälligkeit CVE-2020-1472 beschrieben wird. Um den Active Directory-Gesamtstrukturschutz bereitzustellen, müssen alle DCs aktualisiert werden, da sie Secure RPC mit dem sicheren Netlogon-Kanal erzwingen. Dies schließt Domänencontroller ohne Schreibzugriff (read-only domain controllers, RODC) mit ein.

Weitere Informationen zur Sicherheitsanfälligkeit finden Sie unter CVE-2020-1472.

Maßnahmen

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, müssen Sie Folgendes tun:

Hinweis In Schritt 1 der Installation von Updates, die am 11. August 2020 oder später veröffentlicht wurden, werden die in CVE-2020-1472 beschriebenen Sicherheitsprobleme für Active Directory-Domänen und -Vertrauensstellungen sowie Windows-Geräte behoben. Um das Sicherheitsproblem für Geräte von Drittanbietern vollständig zu beseitigen, müssen Sie alle Schritte durchführen.

Warnung Ab Februar 2021 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert angreifbare Verbindungen von nicht konformen Geräten.  Ab diesem Zeitpunkt können Sie den Erzwingungsmodus nicht mehr deaktivieren.

  1. AKTUALISIEREN Sie Ihren Domänencontroller mit einem Update, das am 11. August 2020 oder später veröffentlicht wurde.

  2. SUCHEN Sie die Geräte, die angreifbare Verbindungen herstellen, indem sie Ereignisprotokolle überwachen.

  3. BEHEBEN Sie Probleme mit nicht konformen Geräten, die angreifbare Verbindungen herstellen.

  4. AKTIVIEREN Sie den Erzwingungsmodus, um CVE-2020-1472 in Ihrer Umgebung zu beheben.


Hinweis Wenn Sie Windows Server 2008 R2 SP1 verwenden, benötigen Sie eine ESU-Lizenz (Extended Security Update) zum erfolgreichen Installieren jedes Updates, mit dem dieses Problem behoben wird. Weitere Informationen zum ESU-Programm finden Sie in den häufig gestellten FragenLebenszyklus FAQ – erweiterte Sicherheitsupdates.

In diesem Artikel:

Anzeigedauer von Updates, um die Netlogon CVE-2020-1472 Sicherheitsanfälligkeit zu adressieren

Die Updates werden in zwei Phasen veröffentlicht: Die Anfangsphase für Updates wird am oder nach dem 11. August 2020 veröffentlicht und die Erzwingungsphase für Updates am oder nach dem 9. Februar 2021.

11. August 2020: Erstbereitstellungsphase

Die Erstbereitstellungsphase beginnt mit den am 11. August 2020 veröffentlichten Updates und wird mit späteren Updates bis zur Erzwingungsphasefortgesetzt. Diese und spätere Updates nehmen Änderungen am Netlogon-Protokoll vor, um Windows-Geräte standardmäßig zu schützen, protokollieren Ereignisse für nicht kompatible Geräteermittlungen und fügen die Möglichkeit hinzu, den Schutz für alle in Domäne eingebundene Geräte mit expliziten Ausnahmen zu aktivieren. Diese Version:

  • Erzwingt die Secure RPC-Nutzung für Computerkonten auf Windows-basierten Geräten.

  • Erzwingt die Secure RPC-Nutzung für vertrauenswürdige Konten.

  • Erzwingt die Secure RPC-Nutzung für alle Windows- und nicht-Windows-DCs.

  • Enthält eine neue Gruppenrichtlinie zum Zulassen nicht kompatibler Gerätekonten (solche, die angreifbare sichere Netlogon Kanalverbindungen verwenden). Selbst wenn DCs im Erzwingungsmodus ausgeführt werden oder nachdem die Erzwingungsphase beginnt, wird den zulässigen Geräten keine Verbindung verweigert.

  • FullSecureChannelProtection-Registrierungsschlüssel zum Aktivieren des DC-Erzwingungsmodus für alle Computerkonten (Erzwingungsphase aktualisiert DCs auf DC-Erzwingungsmodus).

  • Schließt neue Ereignisse ein, wenn Konten verweigert werden oder im DC-Erzwingungsmodus verweigert werden würden (und wird in der Erzwingungsphase fortgesetzt). Die spezifischen Ereignis-IDs werden weiter unten in diesem Artikel erläutert.

Die Schadensbegrenzung besteht darin, das Update für alle DCs und RODCs zu installieren, neue Ereignisse zu überwachen und nicht kompatible Geräte zu adressieren, die angreifbare sichere Netlogon-Kanalverbindungen verwenden. Computerkonten auf nicht kompatiblen Geräten können für die Verwendung von angreifbaren sicheren Netlogon-Kanalverbindungen zulässig sein. Sie sollten jedoch so bald wie möglich aktualisiert werden, damit Secure RPC für Netlogon unterstützt und das Konto erzwungen werden, um das Risiko eines Angriffs zu beseitigen.

9. Februar 2021: Erzwingungsphase

Die Version vom 9. Februar 2021 markiert den Übergang zur Erzwingungsphase. Die DCs befinden sich nun im Erzwingungsmodus unabhängig vom Registrierungsschlüssel des Erzwingungsmodus.  Dies setzt voraus, dass alle Windows- und nicht-Windows-Geräte Secure RPC mit einem sicheren Netlogon-Kanal verwenden oder das Konto explizit zulassen, indem eine Ausnahme für das nicht kompatible Gerät hinzugefügt wird. Diese Version:

Bereitstellungsrichtlinien – Bereitstellen von Updates und erzwingen der Compliance

Die Erstbereitstellungsphase umfasst die folgenden Schritte:

  1. Bereitstellung der Updates vom 11. Augustfür alle DCs in der Gesamtstruktur.

  2. (a) Überwachung von Warnereignissenund (b) auf jedes Ereignis reagieren.

  3. (a) Nachdem alle Warnereignisse behoben wurden, kann vollständiger Schutz durch Bereitstellen des DC-Erzwingungsmodus aktiviert werden. (b) Alle Warnungen sollten vor dem Erzwingungsphase-Update vom 9. Februar 2021 aufgelöst sein.

Schritt 1: AKTUALISIEREN

Bereitstellen der Updates vom 11. August 2020

Bereitstellen der Updates vom 11. August für alle relevanten Domänencontroller (DCs) in der Gesamtstruktur, einschließlich schreibgeschützter Domänencontroller (RODCs). Nach der Bereitstellung dieses Updates werden gepatchte DCs:

  • Mit der erzwungenen Secure RPC-Nutzung für alle Windows-basierten Gerätekonten, vertrauenswürdigen Konten und alle DCs beginnen.

  • Ereignis-IDs 5827 und 5828 im Systemereignisprotokoll protokollieren, wenn Verbindungen verweigert werden.

  • Ereignis-IDs 5830 und 5831 im Systemereignisprotokoll protokollieren, wenn Verbindungen die Zulassung von der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ erhalten.

  • Ereignis-ID 5829 im Systemereignisprotokoll protokollieren, wenn eine angreifbare sichere Netlogon-Kanalverbindung zugelassen wird. Diese Ereignisse sollten behandelt werden, bevor DC-Erzwingungsmodus konfiguriert ist oder bevor die Erzwingungsphase am 9. Februar 2021 beginnt.

 

Schritt 2a: SUCHEN

Erkennen nicht kompatibler Geräte mithilfe der Ereignis-ID 5829

Nachdem die Updates vom 11. August 2020 auf die DCs angewendet wurden, können Ereignisse im DC-Ereignisprotokoll erfasst werden, um festzustellen, welche Geräte in Ihrer Umgebung angreifbare sichere Netlogon-Kanalverbindungen verwenden (in diesem Artikel als nicht kompatible Geräte bezeichnet). Überwachen von gepatchten DCs für Ereignisse mit Ereignis-ID 5829. Die Ereignisse umfassen relevante Informationen für die Identifizierung nicht kompatibler Geräte.

Wenn Sie Ereignisse überwachen möchten, verwenden Sie die verfügbare Software zur Ereignisüberwachung, oder verwenden Sie ein Skript zum Überwachen ihrer DCs.  Ein Beispielskript, das Sie an Ihre Umgebung anpassen können, finden Sie unter Skript zur Unterstützung bei der Überwachung von Ereignis-IDs im Zusammenhang mit Netlogon-Updates für CVE-2020-1472

Schritt 2b: BEHEBEN

Beheben der Ereignis-IDs 5827 und 5828

Standardmäßig sollten unterstützten Versionen von Windows, die vollständig aktualisiert wurden, keine angreifbaren sicheren Netlogon-Kanalverbindungen verwenden. Wenn eines der folgenden Ereignisse im Systemereignisprotokoll für ein Windows-Gerät protokolliert wird:

  1. Stellen Sie sicher, dass auf dem Gerät eine unterstützte Version von Windows ausgeführt wird.

  2. Stellen Sie sicher, dass das Gerät vollständig aktualisiert wurde.

  3. Überprüfen Sie, ob Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist.

Bei nicht-Windows-Geräten, die als Domänencontroller fungieren, werden diese Ereignisse im Systemereignisprotokoll protokolliert, wenn angreifbare sichere Netlogon-Kanalverbindungen verwendet werden. Wenn eines der folgenden Ereignisse protokolliert wird:

  • Empfohlen Wenden Sie sich an den Gerätehersteller (OEM) oder den Softwareanbieter, um Unterstützung für Secure RPC mit sicherem Netlogon-Kanal zu erhalten.

    1. Wenn der nicht kompatible DC Secure RPC mit sicherem Netlogon-Kanal unterstützt, aktivieren Sie Secure RPC im DC.

    2. Wenn der nicht kompatible Domänencontroller derzeit Secure RPC NICHT unterstützt, können Sie vom Gerätehersteller (OEM) oder Softwarelieferant ein Update erhalten, das Secure RPC mit sicherem Netlogon-Kanal unterstützt.

    3. Den nicht kompatiblen DC außer Betrieb setzen.

  • Angreifbar Wenn ein nicht kompatibler DC Secure RPC mit sicherem Netlogon-Kanal nicht unterstützt, bevor sich die DCs im Erzwingungsmodus befinden, fügen Sie den DC hinzu mithilfe derGruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, wie unten beschrieben.

Warnung Wenn die Gruppenrichtlinie den DCs die Verwendung von angreifbaren Verbindungen erlaubt, wird die Gesamtstruktur anfällig für Angriffe. Das Ziel sollte sein, alle Konten aus dieser Gruppenrichtlinie anzusprechen und zu entfernen.

 

Adressierungs-Ereignis 5829

Die Ereignis-ID 5829 wird generiert, wenn während der Erstbereitstellungsphase eine angreifbare Verbindung zugelassen wird. Diese Verbindungen werden verweigert, wenn sich DCs im Erzwingungsmodus befinden. Konzentrieren Sie sich in diesen Fällen auf den Computernamen, die Domänen- und die BS-Versionen, die für die Ermittlung der nicht kompatiblen Geräte und deren Behandlung ermittelt wurden.

Die Möglichkeiten zur Behandlung nicht kompatibler Geräte:

  • Empfohlen Wenden Sie sich an den Gerätehersteller (OEM) oder den Softwareanbieter, um Unterstützung für Secure RPC mit sicherem Netlogon-Kanal zu erhalten:

    1. Wenn das nicht kompatible Gerät Secure RPC mit sicherem Netlogon-Kanal unterstützt, aktivieren Sie Secure RPC auf dem Gerät.

    2. Wenn das nicht kompatible Gerät derzeit Secure RPC mit sicherem Netlogon-Kanal NICHT unterstützt, können Sie vom Gerätehersteller oder Softwarelieferant ein Update erhalten, mit dem Secure RPC mit sicherem Netlogon-Kanal aktiviert wird.

    3. Das nicht kompatiblen Gerät außer Betrieb setzen.

  • Angreifbar Wenn ein nicht kompatibles Gerät Secure RPC mit sicherem Netlogon-Kanal nicht unterstützt, bevor sich die DCs im Erzwingungsmodus befinden, fügen Sie das Gerät hinzu mithilfe derGruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, wie unten beschrieben.

Warnung Wenn Sie zulassen möchten, dass Gerätekonten angreifbare Verbindungen mithilfe der Gruppenrichtlinie verwenden, sind diese Konten gefährdet. Das Ziel sollte sein, alle Konten aus dieser Gruppenrichtlinie anzusprechen und zu entfernen.

 

Zulassen von angreifbaren Verbindungen von Geräten von Drittanbietern

Verwenden Sie die Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, um nicht kompatible Konten hinzuzufügen. Dies sollte nur als kurzfristige Abhilfe betrachtet werden, bis nicht kompatible Geräte wie oben beschrieben behandelt werden. Hinweis Das Zulassen angreifbarer Verbindungen von nicht konformen Geräten könnte unbekannte Auswirkungen auf die Sicherheit haben und sollte nur mit absoluter Vorsicht erlaubt werden.

  1. Sicherheitsgruppe(n) für Konten wurde(n) erstellt, die für die Verwendung eines angreifbaren sicheren Netlogon-Kanals zulässig ist/sind.

  2. Wechseln Sie in Gruppenrichtlinie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

  3. Suche nach „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen".

  4. Wenn die Administratorgruppe oder eine Gruppe, die nicht speziell für die Verwendung mit dieser Gruppenrichtlinie erstellt wurde, vorhanden ist, entfernen Sie diese.

  5. Fügen Sie der Sicherheitsbeschreibung mit der Berechtigung "Zulassen" eine Sicherheitsgruppe hinzu, die speziell für die Verwendung mit dieser Gruppenrichtlinie erstellt wurde. Hinweis Die Berechtigung "Verweigern" verhält sich genauso, als ob das Konto nicht hinzugefügt worden wäre, d. h. die Konten dürfen keine angreifbaren sicheren Netlogon-Kanäle erstellen.

  6. Sobald die Sicherheitsgruppe(n) hinzugefügt wurde(n), muss sich die Gruppenrichtlinie in jedem Domänencontroller replizieren.

  7. Überwachen Sie in regelmäßigen Abständen die Ereignisse 5827, 5828 und 5829, um zu ermitteln, welche Konten angreifbare sichere Kanalverbindungen verwenden.

  8. Fügen Sie bei Bedarf diese Computerkonten zu der/den Sicherheitsgruppe(n) hinzu. Bewährte Methode Verwenden Sie Sicherheitsgruppen in der Gruppenrichtlinie und fügen Sie der Gruppe Konten hinzu, damit die Mitgliedschaft durch normale AD-Replikation repliziert wird. Dadurch werden häufige Gruppenrichtlinienupdates und Replikationsverzögerungen vermieden.

Nachdem alle nicht kompatiblen Geräte behandelt wurden, können Sie Ihre DCs in den Erzwingungsmodus verschieben (siehe nächster Abschnitt).

Warnung Wenn die Gruppenrichtlinie den DCs die Verwendung von angreifbaren Verbindungen für vertrauenswürdige Konten erlaubt, wird die Gesamtstruktur anfällig für Angriffe. Vertrauenswürdige Konten sind in der Regel nach der vertrauenswürdigen Domäne benannt, z. B.: Der DC in Domäne-a hat eine Vertrauensstellung mit einem DC in Domäne-b. Intern hat der DC in Domäne-a ein Vertrauenskonto namens "Domäne-b$", das das Vertrauensobjekt für Domäne-b darstellt. Wenn der Domänencontroller in Domäne-a die Gesamtstruktur dem Risiko eines Angriffs aussetzen will, indem er angreifbare sichere Netlogon-Kanalverbindungen vom Vertrauenskonto von Domäne-b zulässt, kann ein Administrator "Add-adgroupmember –identity 'Name der Sicherheitsgruppe' -members 'Domäne-b$'" verwenden, um der Sicherheitsgruppe das Vertrauenskonto hinzuzufügen.

 

Schritt 3a: AKTIVIEREN

Wechseln zum Erzwingungsmodus vor der Erzwingungsphase im Februar 2021

Nachdem alle nicht kompatiblen Geräte behandelt wurden, sei es durch Aktivieren von Secure RPC oder durch Zulassen von angreifbaren Verbindungen mit der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, legen Sie den FullSecureChannelProtection-Registrierungsschlüssel auf 1 fest.

Hinweis Wenn Sie die Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ verwenden, stellen Sie sicher, dass die Gruppenrichtlinie repliziert und auf alle DCs angewendet wurde, bevor Sie den FullSecureChannelProtection-Registrierungsschlüssel festlegen.

Wenn der FullSecureChannelProtection-Registrierungsschlüssel bereitgestellt wird, befinden sich die DCs im Erzwingungsmodus. Diese Einstellung setzt voraus, dass alle Geräte, die den sicheren Netlogon-Kanal verwenden, entweder:

Warnung Clients von Drittanbietern, die Secure RPC mit sicheren Netlogon-Kanalverbindungen nicht unterstützen, werden verweigert, wenn der Registrierungsschlüssel des DC-Erzwingungsmodus bereitgestellt wird, was die Produktionsdienste unterbrechen kann.

 

Schritt 3b: Erzwingungsphase

Bereitstellen der Updates vom 9. Februar 2021

Das Bereitstellen von Updates vom 9. Februar 2021 oder höher aktiviert den DC-Erzwingungsmodus. Beim DC-Erzwingungsmodus ist, ist es für alle Netlogon-Verbindungen entweder erforderlich, Secure RPC zu verwenden oder das Konto muss hinzugefügt worden sein zur Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“. Zu der Zeit ist der FullSecureChannelProtection-Registrierungsschlüssel nicht mehr erforderlich und wird nicht mehr unterstützt.

Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“

Verwenden Sie als bewährte Methode Sicherheitsgruppen in der Gruppenrichtlinie, damit die Mitgliedschaft durch normale AD-Replikation repliziert wird. Dadurch werden häufige Gruppenrichtlinienupdates und Replikationsverzögerungen vermieden.

Richtlinienpfad und Einstellungsname

Beschreibung

Richtlinienpfad: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Einstellungsnamen: Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen

Neustart erforderlich? Nein

Diese Sicherheitseinstellung bestimmt, ob der Domänencontroller Secure RPC für sichere Netlogon-Kanalverbindungen für bestimmte Computerkonten umgeht.

Diese Richtlinie sollte auf alle Domänencontroller in einer Gesamtstruktur angewendet werden, indem die Richtlinie auf der Domänencontroller-OU aktiviert wird.

Wenn die Liste "Angreifbare Verbindungen erstellen" (Zulassungsliste) konfiguriert ist:

  • Zulassen: Der Domänencontroller gestattet es den angegebenen Gruppen/Konten, einen sicheren Netlogon-Kanal ohne Secure RPC zu verwenden.

  • Verweigern: Diese Einstellung ist identisch mit dem Standardverhalten. Der Domänencontroller erfordert von den angegebenen Gruppen/Konten die Verwendung eines sicheren Netlogon-Kanals mit Secure RPC.

Warnung Wenn Sie diese Richtlinie aktivieren, werden Ihre mit der Domäne verbundenen Geräte und Ihre Active Directory-Gesamtstruktur freigelegt, was sie einem Risiko aussetzen könnte. Diese Richtlinie sollte als vorübergehende Maßnahme für Geräte von Drittanbietern verwendet werden, während Sie Updates bereitstellen. Sobald das Gerät eines Drittanbieters aktualisiert ist, um die Verwendung von Secure RPC mit sicheren Netlogon-Kanälen zu unterstützen, sollte das Konto aus der Liste „Angreifbare Verbindungen erstellen“ entfernt werden. Um besser zu verstehen, welches Risiko beim Konfigurieren von Konten für die Verwendung von angreifbaren sicheren Netlogon-Kanalverbindungen besteht, besuchen Sie https://go.Microsoft.com/fwlink/?linkid=2133485.

Standard: Diese Richtlinie ist nicht konfiguriert. Keine Rechner oder Treuhandkonten sind explizit von der Erzwingung von Secure RPC mit sicheren Netlogon-Kanalverbindungen ausgeschlossen.

Diese Richtlinie wird auf Windows Server 2008 R2 SP1 und neueren Systemen unterstützt.

Windows-Ereignisprotokollfehler im Zusammenhang mit CVE-2020-1472

Es gibt drei Kategorien von Ereignissen:

1. Ereignisse, die protokolliert werden, wenn eine Verbindung verweigert wird, weil eine angreifbare sichere Netlogon-Kanalverbindung versucht wurde:

  • 5827 (Computerkonten) Fehler

  • 5828 (Vertrauenskonten) Fehler

2. Ereignisse, die protokolliert werden, wenn eine Verbindung zugelassen wird, da das Konto hinzugefügt wurde zur Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“:

  • 5830 (Computerkonten) Warnung

  • 5831 (Vertrauenskonten) Warnung

3. Ereignisse, die protokolliert werden, wenn in der ursprünglichen Version eine Verbindung zugelassen wird, die im DC-Erzwingungsmodus verweigert wird:

  • 5829 (Computerkonten) Warnung

Ereignis-ID 5827

Die Ereignis-ID 5827 wird protokolliert, wenn eine angreifbare sichere Netlogon-Kanalverbindung eines Computerkontos verweigert wird.

Ereignisprotokoll

System

Ereignisquelle

NETLOGON

Ereignis-ID

5827

Ebene

Fehler

Ereignismeldungstext

Der Netlogon-Dienst hat eine angreifbare sichere Netlogon-Kanalverbindung von einem Computerkonto verweigert.

Machine SamAccountName:

Domäne:

Kontotyp:

Computer-Betriebssystem:

Build des Computer-Betriebssystems:

Service Pack des Computer-Betriebssystems:

Weitere Informationen dazu, warum dies verweigert wurde, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2133485.

 

Ereignis-ID 5828

Die Ereignis-ID 5828 wird protokolliert, wenn eine angreifbare sichere Netlogon-Kanalverbindung eines Vertrauenskontos verweigert wird.

Ereignisprotokoll

System

Ereignisquelle

NETLOGON

Ereignis-ID

5828

Ebene

Fehler

Ereignismeldungstext

Der Netlogon-Dienst hat eine angreifbare sichere Netlogon-Kanalverbindung unter Verwendung eines Vertrauenskontos verweigert.

Kontotyp:

Trust-Name:

Trust-Ziel:

Client-IP-Adresse:

Weitere Informationen dazu, warum dies verweigert wurde, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2133485.

 

Ereignis-ID 5829

Die Ereignis-ID 5829 wird nur während der Erstbereitstellungsphase protokolliert, wenn eine angreifbare sichere Netlogon-Kanalverbindung von einem Computerkonto zugelassen wird.

Wenn der DC-Erzwingungsmodus bereitgestellt wird oder sobald die Erzwingungsphase mit der Bereitstellung der Updates vom 9. Februar 2021 beginnt, werden diese Verbindungen verweigert und die Ereignis-ID 5827 wird protokolliert. Deshalb ist es wichtig, dass Sie das Ereignis 5829 während der Erstbereitstellungsphase überwachen und vor der Erzwingunsphase reagieren, um Ausfälle zu vermeiden.

Ereignisprotokoll 

System 

Ereignisquelle 

NETLOGON 

Ereignis-ID 

5829 

Ebene 

Warnung 

Ereignismeldungstext 

Der Netlogon-Dienst hat eine angreifbare sichere Netlogon-Kanalverbindung zugelassen.  

Warnung: Diese Verbindung wird nach der Freigabe der Erzwingungsphase verweigert. Besuchen Sie https://go.microsoft.com/fwlink/?linkid=2133485, um die Erzwingungsphase besser zu verstehen.  

Machine SamAccountName:  

Domäne:  

Kontotyp:  

Computer-Betriebssystem:  

Build des Computer-Betriebssystems:  

Service Pack des Computer-Betriebssystems:  

Ereignis-ID 5830

Die Ereignis-ID 5830 wird protokolliert, wenn eine angreifbare sichere Netlogon-Kanalverbindung eines Computerkontos zugelassen wird durch die Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“.

Ereignisprotokoll

System

Ereignisquelle

NETLOGON

Ereignis-ID

5830

Ebene

Warnung

Ereignismeldungstext

Der Netlogon-Dienst hat eine angreifbare sichere Netlogon-Kanalverbindung zugelassen, da das Computerkonto zugelassen wurde in der Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“.

Warnung: Bei Verwendung von angreifbaren sicheren Netlogon-Kanälen werden die mit der Domäne verbundenen Geräte möglichen Angriffen ausgesetzt. Wenn Sie Ihr Gerät vor Angriffen schützen möchten, entfernen Sie ein Computerkonto aus der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, nachdem der Drittanbieter-Netlogon-Client aktualisiert wurde. Um besser zu verstehen, welches Risiko beim Konfigurieren von Computerkonten für die Verwendung von angreifbaren sicheren Netlogon-Kanalverbindungen besteht, besuchen Sie https://go.Microsoft.com/fwlink/?linkid=2133485.

Machine SamAccountName:

Domäne:

Kontotyp:

Computer-Betriebssystem:

Build des Computer-Betriebssystems:

Service Pack des Computer-Betriebssystems:

 

Ereignis-ID 5831

Die Ereignis-ID 5831 wird protokolliert, wenn eine angreifbare sichere Netlogon-Kanalverbindung eines Vertrauenskontos zugelassen wird durch die Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“.

Ereignisprotokoll

System

Ereignisquelle

NETLOGON

Ereignis-ID

5831

Ebene

Warnung

Ereignismeldungstext

Der Netlogon-Dienst hat eine angreifbare sichere Netlogon-Kanalverbindung zugelassen, da das Vertrauenskonto zugelassen wurde in der Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“.

Warnung: Bei Verwendung von angreifbaren sicheren Netlogon-Kanälen wird die Active Directory-Gesamtstruktur möglichen Angriffen ausgesetzt. Um Ihre Active Directory-Gesamtstrukturen vor Angriffen zu schützen, müssen alle Vertrauensstellungen Secure RPC mit sicherem Netlogon-Kanal verwenden. Entfernen eines Vertrauenskontos von der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“, nachdem der Drittanbieter-Netlogon-Client auf den Domänencontrollern aktualisiert wurde. Um besser zu verstehen, welches Risiko beim Konfigurieren von Vertrauenskonten für die Verwendung von angreifbaren sicheren Netlogon-Kanalverbindungen besteht, besuchen Sie https://go.Microsoft.com/fwlink/?linkid=2133485.

Kontotyp:

Trust-Name:

Trust-Ziel:

Client-IP-Adresse:

Registrierungswert für den Erzwingungsmodus

Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Die Updates vom 11. August 2020 führen die folgende Registrierungseinstellung ein, um den Erzwingungsmodus frühzeitig zu aktivieren. Dies wird unabhängig von der Registrierungseinstellung in der Erzwingungsphase ab dem 9. Februar 2021 aktiviert: 

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Wert

FullSecureChannelProtection

Datentyp

REG_DWORD

Daten

1 – Dies aktiviert den Erzwingungsmodus. DCs verweigern angreifbare sichere Netlogon-Kanalverbindungen, es sei denn, das Konto ist zugelassen in der Liste "Angreifbare Verbindungen erstellen" in der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“.  

0 – DCs lassen angreifbare sichere Netlogon-Kanalverbindungen von nicht-Windows-Geräten zu. Diese Option wird in der Version der Erzwingungsphase veraltet sein.

Neustart erforderlich?

Nein

 

Drittanbietergeräte, die [MS-NRPC] implementieren: Netlogon Remote-Protokoll

Alle Drittanbieter-Clients oder -Server müssen Secure RPC mit dem sicheren Netlogon-Kanal verwenden. Wenden Sie sich an den Gerätehersteller (OEM) oder den Softwarehersteller, um festzustellen, ob deren Software mit dem neuesten Netlogon Remote-Protokoll kompatibel ist. 

Die Protokollupdates finden Sie auf der Website mit der Dokumentation zum Windows-Protokoll

Häufig gestellte Fragen (FAQ)

  • Windows-Geräte und mit einer Domäne verbundene Geräte von Drittanbietern, die Computerkonten in Active Directory (AD) besitzen

  • Windows Server und Domänencontroller eines Drittanbieters in vertrauenswürdigen & vertrauensgebenden Domänen mit Vertrauenskonten in AD

Geräte von Drittanbietern sind möglicherweise nicht kompatibel. Wenn Ihre Drittanbieterlösung ein Computerkonto in AD beibehält, wenden Sie sich an den Hersteller, um festzustellen, ob Sie betroffen sind.

Verzögerungen bei der AD- und SYSVOL-Replikation oder Gruppenrichtlinien-Anwendungsfehler beim authentifizierenden Domänencontroller führen möglicherweise dazu, dass die Änderungen an der Gruppenrichtlinie "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ fehlen und das Konto verweigert wird. 

Die folgenden Schritte können bei der Problemlösung helfen:

Standardmäßig sollten unterstützten Versionen von Windows, die vollständig aktualisiert wurden, keine angreifbaren sicheren Netlogon-Kanalverbindungen verwenden. Wenn eine Ereignis-ID 5827 im Systemereignisprotokoll für ein Windows-Gerät protokolliert wird:

  1. Stellen Sie sicher, dass auf dem Gerät eine unterstützte Version von Windows ausgeführt wird.

  2. Stellen Sie sicher, dass das Gerät vollständig über Windows Update aktualisiert wurde.

  3. Überprüfen Sie, ob Domänenmitglied: Digitales Verschlüsseln oder Signieren von sicheren Kanaldaten (immer) auf "Aktiviert" gesetzt ist für ein GPO, das mit der Organisationseinheit für alle Ihre DCs verknüpft ist, z. B. das standardmäßige Domänencontroller-Gruppenrichtlinienobjekt.

Ja, sie sollten aktualisiert werden, sind jedoch nicht besonders anfällig für CVE-2020-1472.

Nein, Domänencontroller sind die einzige von CVE-2020-1472 betroffene Rolle und können unabhängig von Windows-Servern und anderen Windows-Geräten, die keine Domänencontroller sind, aktualisiert werden.

Windows Server 2008 SP2 ist nicht anfällig für dieses spezielle CVE, da es kein AES für Secure RPC verwendet.

Ja, Sie benötigen das erweiterte Sicherheitsupdate (ESU), um die Updates zur Verhinderung von CVE-2020-1472 für Windows Server 2008 R2 SP1 zu installieren.

Durch Bereitstellen von Updates für den 11. August, 2020 oder höher für alle Domänencontroller in Ihrer Umgebung.

Stellen Sie sicher, dass keines der Geräte zum "Domänencontroller hinzugefügt wurde: Sicherheitsanfälligkeit von Sicherheitskanälen auf der Netlogon-Ebene zulassen "Gruppenrichtlinien über Enterprise-Administrator-oder Domänenadministrator-Berechtigungsdienste verfügen, z. B. SCCM oder Microsoft Exchange.  Hinweis Jedes Gerät in der Zulassungsliste, wird berechtigt sein sicherheitsschwache Verbindungen zu verwenden und die Umgebung dem Angriff auszusetzen.

Installation von Updates am 11. August 2020 oder höher auf den Domänencontrollern werden die Windows-basierten Computerkonten, die Treuhandkonten und Domänencontrollerkonten schützen. 

Active Directory-Computerkonten für verbundene Domänen-Geräte von Drittanbietern sind erst nach der Bereitstellung des Erzwingungsmodus geschützt. Computerkonten werden auch nicht geschützt, wenn Sie dem "Domänencontroller hinzugefügt werden: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ Gruppenrichtlinie.

Stellen Sie sicher, dass alle Domänencontroller in Ihrer Umgebung die Updates vom 11. August 2020 oder höher installiert haben.

Alle Geräteidentitäten, die dem "Domänencontroller hinzugefügt wurden: Angreifbare Sicherheitskanalverbindungen für Netlogon zulassen "Gruppenrichtlinien sind angreifbar.   

Stellen Sie sicher, dass alle Domänencontroller in Ihrer Umgebung die Updates vom 11. August 2020 oder höher installiert haben. 

Aktivieren Sie den Erzwingungsmodus, um anfällige Verbindungen nicht kompatibler Geräteidentitäten von Drittanbietern zu verweigern.
 
Hinweis Wenn der Erzwingungsmodus aktiviert ist, werden alle Geräteidentitäten eines Drittanbieters, die dem "Domänencontroller hinzugefügt wurden: Angreifbare Sicherheitskanalverbindungen für Netlogon zulassen "Gruppenrichtlinien werden weiterhin verwundbar sein und einem Angreifer den unbefugten Zugriff auf Ihre Netzwerk-oder Geräte ermöglichen.

Der Erzwingungsmodus teilt den Domänencontrollern mit, dass keine Netlogon-Verbindungen von Geräten zulassen, die Secure RPC nicht verwenden, es sei denn, diese Geräte Konten wurden "Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ Gruppenrichtlinie.

Weitere Informationen finden Sie im Abschnitt Registrierungswert für den Erzwingungsmodus.

Der Gruppenrichtlinie sollten nur Computerkonten für Geräte hinzugefügt werden, die nicht gesichert werden können, wenn Sie Secure RPC im sicheren Kanal für Netlogon aktivieren.  Es wird empfohlen, diese Geräte kompatibel zu machen oder diese Geräte zu ersetzen, um Ihre Umgebung zu schützen.

Ein Angreifer kann eine Active Directory-Computeridentität eines beliebigen Computerkontos übernehmen, das der Gruppenrichtlinie hinzugefügt wurde, und dann alle Berechtigungen, die die Computeridentität hat, nutzen.

Wenn Sie über ein Gerät eines Drittanbieters verfügen, das Secure RPC für den sicheren Netlogon-Kanal nicht unterstützt und Sie den Erzwingungsmodus aktivieren möchten, sollten Sie das Computerkonto für dieses Gerät der Gruppenrichtlinie hinzufügen. Dies wird nicht empfohlen und könnte Ihre Domäne in einem potenziell verwundbaren Zustand belassen.  Es wird empfohlen, diese Gruppenrichtlinie zu verwenden, um Zeit für die Aktualisierung oder den Austausch von Geräten von Drittanbietern zu verwenden, um sie kompatible zu machen.

Der Erzwingungsmodus sollte so bald wie möglich aktiviert sein.  Jedes Gerät eines Drittanbieters muss adressiert werden, entweder indem sie konform gemacht werden oder sie zum "Domänencontroller hinzugefügt werden: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ Gruppenrichtlinie. Hinweis Jedes Gerät in der Zulassungsliste, wird berechtigt sein sicherheitsschwache Verbindungen zu verwenden und die Umgebung dem Angriff auszusetzen.

 

Glossar

Begriff

Definition

AD

Active Directory

DC

Domänencontroller

Erzwingungsmodus

Der Registrierungsschlüssel, der es Ihnen ermöglicht, den Erzwingungsmodus vor dem 9. Februar 2021 zu aktivieren.

Erzwingungsphase

Phase, die mit den Updates vom 9. Februar 2021 beginnt, wobei der Erzwingungsmodus auf allen Windows-Domänencontrollern unabhängig von der Registrierungseinstellung aktiviert wird. Domänencontroller verweigern anfällige Verbindungen von allen nicht konformen Geräten, es sei denn, sie werden der Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ hinzugefügt.

Erstbereitstellungsphase

Phase, die mit den Updates vom 11. August 2020 beginnt und die mit neueren Updates bis zur Erzwingungsphase andauert.

Computerkonto

Wird auch als Active Directory-Computer oder Computerobjekt bezeichnet.  Die vollständige Definition finden Sie im MS-NPRC-Glossar.

MS-NRPC

Microsoft Netlogon Remote-Protokoll

Nicht kompatibles Gerät

Ein nicht kompatibles Gerät verwendet eine angreifbare sichere Netlogon-Kanalverbindung.

RODC

Domänencontroller ohne Schreibzugriff

Angreifbare Verbindung

Eine angreifbare Verbindung ist eine sichere Netlogon-Kanalverbindung, die Secure RPC nicht verwendet.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Übersetzungsqualität?

Was hat Ihre Erfahrung beeinflusst?

Haben Sie weiteres Feedback? (Optional)

Vielen Dank für Ihr Feedback!

×