Πώς μπορείτε να διαχειριστείτε τις αλλαγές στις συνδέσεις καναλιού ασφαλείας Netlogon που σχετίζονται με το CVE-2020-1472

Ανάπτυξη στις 11 Αυγούστου 2020 ενημερώσεις

Αναπτύξτε τις ενημερώσεις του Αυγούστου 11η σε όλους τους ισχύοντες ελεγκτές τομέα (DCs) στο σύμπλεγμα δομών, συμπεριλαμβανομένων των ελεγκτών τομέα που είναι μόνο για ανάγνωση (RODCs). Μετά την ανάπτυξη αυτή η ενημερωμένη έκδοση patched DCs θα:

• Αρχίστε να εφαρμόζετε ασφαλή χρήση RPC για όλους τους λογαριασμούς συσκευών που βασίζονται στα Windows, τους λογαριασμούς αξιοπιστίας και όλους τους ελεγκτές τομέα DCs.

• Καταγραφή αναγνωριστικών συμβάντος 5827 και 5828 στο αρχείο καταγραφής συμβάντων συστήματος, εάν δεν επιτρέπεται η σύνδεση.

• Καταγραφή αναγνωριστικών συμβάντος 5830 και 5831 στο αρχείο καταγραφής συμβάντων συστήματος, εάν επιτρέπονται συνδέσεις από "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας.

• Το αρχείο καταγραφής συμβάντος ID 5829 στο αρχείο καταγραφής συμβάντων συστήματος κάθε φορά που επιτρέπεται μια ευπαθής σύνδεση ασφαλούς καναλιού Netlogon. Αυτά τα συμβάντα θα πρέπει να αντιμετωπιστούν πριν από τη ρύθμιση παραμέτρων της λειτουργίας επιβολής ελεγκτή τομέα ή πριν από τη φάση εκτέλεσης ξεκινά στις 9 Φεβρουαρίου 2021.

Εντοπισμός συσκευών που δεν είναι συμβατές με το Αναγνωριστικό συμβάντος 5829

Μετά την εφαρμογή των ενημερώσεων 11 Αυγούστου 2020 στο DCs, τα συμβάντα μπορούν να συλλέγονται σε αρχεία καταγραφής συμβάντων DC για να καθορίσουν ποιες συσκευές στο περιβάλλον σας χρησιμοποιούν ευπαθείς συνδέσεις καναλιού Netlogon Secure Channel (αναφέρονται ως μη συμμορφούμενες συσκευές σε αυτό το άρθρο). Παρακολούθηση patched DCs για συμβάντα ΑΝΑΓΝΩΡΙΣΤΙΚού συμβάντος 5829. Τα συμβάντα θα περιλαμβάνουν σχετικές πληροφορίες για τον προσδιορισμό των συσκευών που δεν είναι συμβατές με το.

Για να παρακολουθείτε τα συμβάντα, χρησιμοποιήστε το διαθέσιμο λογισμικό παρακολούθησης συμβάντων ή χρησιμοποιώντας μια δέσμη ενεργειών για την παρακολούθηση των DCs σας.  Για ένα παράδειγμα δέσμης ενεργειών που μπορείτε να προσαρμόσετε στο περιβάλλον σας, ανατρέξτε στο θέμα δέσμη ενεργειών για βοήθεια κατά την παρακολούθηση αναγνωριστικών συμβάντων που σχετίζονται με ενημερώσεις Netlogon για το CVE-2020-1472

Διευθυνσιοδότηση αναγνωριστικών συμβάντος 5827 και 5828

Από προεπιλογή, οι υποστηριζόμενες εκδόσεις των Windows που έχουν ενημερωθεί πλήρως δεν θα πρέπει να χρησιμοποιούν ευπαθείς συνδέσεις καναλιού Netlogon Secure Channel. Εάν ένα από αυτά τα συμβάντα καταγράφεται στο αρχείο καταγραφής συμβάντων συστήματος για μια συσκευή Windows:

1. Επιβεβαιώστε ότι η συσκευή εκτελεί μια υποστηριζόμενη έκδοση των Windows.

2. Βεβαιωθείτε ότι η συσκευή ενημερώνεται πλήρως.

3. Ελέγξτε για να βεβαιωθείτε ότι μέλη τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή ασφαλών δεδομένων καναλιού (πάντα) έχει οριστεί σε "Ενεργοποίηση".

Για συσκευές που δεν ανήκουν σε Windows και λειτουργούν ως DC, αυτά τα συμβάντα θα καταγράφονται στο αρχείο καταγραφής συμβάντων του συστήματος κατά τη χρήση ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon. Εάν ένα από αυτά τα συμβάντα καταγραφεί:

• Προτείνεται Εργαστείτε με τον κατασκευαστή της συσκευής (OEM) ή με τον προμηθευτή του λογισμικού για να λάβετε υποστήριξη για το Secure RPC με το κανάλι ασφαλείας Netlogon

  1. Εάν το μη συμβατό συνεχές ρεύμα υποστηρίζει το Secure RPC με το κανάλι ασφαλείας Netlogon και, στη συνέχεια, ενεργοποιήστε το Secure RPC στον ελεγκτή τομέα.

  2. Εάν το μη συμβατό συνεχές ρεύμα δεν υποστηρίζει αυτή τη στιγμή το Secure RPC, συνεργαστείτε με τον κατασκευαστή της συσκευής (OEM) ή με τον προμηθευτή του λογισμικού για να λάβετε μια ενημερωμένη έκδοση που υποστηρίζει το Secure RPC με το κανάλι Secure Netlogon.

  3. Αποσύρετε το μη συμμορφούμενο συνεχές ρεύμα.

• Ευάλωτες Εάν ένα μη συμβατό συνεχές ρεύμα δεν μπορεί να υποστηρίξει το Secure RPC με το κανάλι ασφαλείας Netlogon πριν οι ελεγκτές τομέα βρίσκονται σε λειτουργία επιβολής, προσθέστε τον ελεγκτή τομέα με το "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας που περιγράφεται παρακάτω.

Διευθυνσιοδότηση συμβάντος 5829

Το Αναγνωριστικό συμβάντος 5829 δημιουργείται όταν μια ευάλωτη σύνδεση επιτρέπεται κατά την αρχική φάση ανάπτυξης. Αυτές οι συνδέσεις θα απαγορεύονται όταν οι ελεγκτές τομέα βρίσκονται σε λειτουργία επιβολής. Σε αυτά τα συμβάντα, εστιάστε στο όνομα του υπολογιστή, τις εκδόσεις τομέα και λειτουργικού συστήματος που προσδιορίζονται για τον προσδιορισμό των συσκευών που δεν είναι συμβατές με το και τον τρόπο με τον οποίο πρέπει να αντιμετωπιστούν.

Οι τρόποι για την αντιμετώπιση μη συμμορφούμενων συσκευών:

• Προτείνεται Εργαστείτε με τον κατασκευαστή της συσκευής (OEM) ή με τον προμηθευτή του λογισμικού για να λάβετε υποστήριξη για το Secure RPC με το κανάλι ασφαλείας Netlogon:

  1. Εάν η συσκευή που δεν είναι συμβατή υποστηρίζει το Secure RPC με το κανάλι ασφαλείας Netlogon και, στη συνέχεια, ενεργοποιήστε το Secure RPC στη συσκευή.

  2. Εάν η συσκευή που δεν πληροί τις δυνατότητες δεν υποστηρίζει αυτή τη στιγμή το Secure RPC με το κανάλι ασφαλείας Netlogon, συνεργαστείτε με τον κατασκευαστή της συσκευής ή με τον προμηθευτή του λογισμικού για να λάβετε μια ενημερωμένη έκδοση που επιτρέπει την ενεργοποίηση του ασφαλούς RPC με το κανάλι ασφαλείας Netlogon.

  3. Αποσύρετε τη συσκευή που δεν είναι συμβατή.

• Ευάλωτες Εάν μια συσκευή που δεν είναι συμβατή δεν μπορεί να υποστηρίξει το Secure RPC με το κανάλι ασφαλείας Netlogon πριν από τη λειτουργία επιβολήςτου DCS, προσθέστε τη συσκευή χρησιμοποιώντας την "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας που περιγράφεται παρακάτω.

Δυνατότητα ευπαθών συνδέσεων από συσκευές τρίτων κατασκευαστών

Χρησιμοποιήστε το "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας για την προσθήκη λογαριασμών που δεν είναι συμβατοί. Αυτό θα πρέπει να θεωρείται βραχυπρόθεσμο ένδικο βοήθημα μέχρι να αντιμετωπιστούν μη συμμορφούμενες συσκευές όπως περιγράφεται παραπάνω. Σημείωση Η δυνατότητα ευπαθών συνδέσεων από μη συμμορφούμενες συσκευές ενδέχεται να έχει άγνωστες επιπτώσεις στην ασφάλεια και θα πρέπει να παρέχεται με προσοχή.

1. Δημιουργήθηκε μια ομάδα ή ομάδες ασφαλείας για τους λογαριασμούς των οποίων θα επιτρέπεται η χρήση ενός ευπαθές καναλιού ασφαλείας Netlogon.

2. Στην πολιτική ομάδας, μεταβείτε στο θέμα Ρύθμιση παραμέτρων υπολογιστή > ρυθμίσεις των Windows > ρυθμίσεις ασφαλείας > τοπικές πολιτικές > επιλογές ασφαλείας

3. Αναζητήστε "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon ".

4. Εάν η ομάδα διαχειριστής ή εάν υπάρχει κάποια ομάδα που δεν έχει δημιουργηθεί ειδικά για χρήση με αυτή την πολιτική ομάδας, καταργήστε την.

5. Προσθέστε μια ομάδα ασφαλείας που έχει σχεδιαστεί ειδικά για χρήση με αυτή την πολιτική ομάδας για την περιγραφή ασφαλείας με το δικαίωμα "επιτρέπεται". Σημείωση Το δικαίωμα "άρνηση" συμπεριφέρεται με τον ίδιο τρόπο σαν να μην προστέθηκε ο λογαριασμός, δηλαδή Οι λογαριασμοί δεν θα έχουν τη δυνατότητα να κάνουν ευάλωτα κανάλια Netlogon Secure.

6. Αφού προσθέσετε τις ομάδες ασφαλείας, η πολιτική ομάδας πρέπει να αναπαράγει το σε κάθε ελεγκτή τομέα.

7. Περιοδικά, Παρακολουθήστε τα συμβάντα 5827, 5828 και 5829 για να προσδιορίσετε ποιους λογαριασμούς χρησιμοποιείτε ευπαθείς συνδέσεις ασφαλούς καναλιού.

8. Προσθέστε αυτούς τους λογαριασμούς υπολογιστή στις ομάδες ασφαλείας (-ες) όπως απαιτείται. Βέλτιστες πρακτικές Χρησιμοποιήστε ομάδες ασφαλείας στην πολιτική ομάδας και προσθέστε λογαριασμούς στην ομάδα, έτσι ώστε η συμμετοχή στην αναπαραγωγή να γίνεται από την κανονική αναπαραγωγή AD. Αυτό αποτρέπει τις συχνές ενημερώσεις πολιτικής ομάδας και καθυστερεί την αναπαραγωγή.

Αφού αντιμετωπιστούν όλες οι συσκευές που δεν είναι συμβατές με το, μπορείτε να μετακινήσετε το DCs σε λειτουργία επιβολής (ανατρέξτε στην επόμενη ενότητα).

Μετάβαση στη λειτουργία επιβολής πριν από τη φάση επιβολής του Φεβρουαρίου 2021

Αφού αντιμετωπιστούν όλες οι συσκευές που δεν είναι συμβατές με το, είτε ενεργοποιώντας το Secure RPC είτε επιτρέποντας στις ευπαθείς συνδέσεις με την "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας, ορίστε το κλειδί μητρώου FullSecureChannelProtection σε 1.

Σημείωση Εάν χρησιμοποιείτε το "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας, βεβαιωθείτε ότι η πολιτική ομάδας έχει αντιγραφεί και εφαρμοστεί σε όλους τους ελεγκτές τομέα πριν από τη ρύθμιση του κλειδιού μητρώου FullSecureChannelProtection.

Όταν αναπτυχθεί το κλειδί μητρώου FullSecureChannelProtection, οι DCs θα βρίσκονται σε λειτουργία επιβολής. Αυτή η ρύθμιση απαιτεί όλες οι συσκευές που χρησιμοποιούν το κανάλι ασφαλείας Netlogon είτε:

• Χρησιμοποιήστε το Secure RPC.

• Επιτρέπονται στο "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας.

Ανάπτυξη 9 Φεβρουαρίου 2021 ενημερώσεις

Η ανάπτυξη των ενημερώσεων που κυκλοφόρησαν στις 9 Φεβρουαρίου 2021 ή νεότερες εκδόσεις θα ενεργοποιήσει τη λειτουργία επιβολήςτου ελεγκτή τομέα. Η λειτουργία επιβολής του ελεγκτή τομέα είναι όταν όλες οι συνδέσεις Netlogon είτε απαιτείται να χρησιμοποιούν το Secure RPC είτε ο λογαριασμός πρέπει να έχει προστεθεί στο "ελεγκτής τομέα: Δυνατότητα ευπαθών συνδέσεων ασφαλούς καναλιού Netlogon "πολιτική ομάδας. Προς το παρόν, το κλειδί μητρώου FullSecureChannelProtection δεν είναι πλέον απαραίτητο και δεν θα υποστηρίζεται πλέον.