Αρχική ημερομηνία δημοσίευσης: 13 Αυγούστου 2025

KB ID: 5066014

Σε αυτό το άρθρο:

Σύνοψη

Το CVE-2025-49716 επιλύει μια ευπάθεια άρνησης υπηρεσίας όπου απομακρυσμένοι χρήστες χωρίς έλεγχο ταυτότητας θα μπορούσαν να πραγματοποιήσουν μια σειρά κλήσεων απομακρυσμένης διαδικασίας (RPC) που βασίζονται στο Netlogon, οι οποίες τελικά καταναλώνουν όλη τη μνήμη σε έναν ελεγκτή τομέα (DC). Για να μετριαστεί αυτή η ευπάθεια, έγινε μια αλλαγή κώδικα στην Ενημέρωση μαΐου 2025 Ασφάλεια των Windows για Windows Server 2025 και στις Ασφάλεια των Windows Ενημερώσεις Ιουλίου 2025 για όλες τις άλλες πλατφόρμες διακομιστών από το Windows Server 2008SP2 έως Windows Server του 2022, συμπεριλαμβανομένου του 2022.  Αυτή η ενημέρωση περιλαμβάνει μια αλλαγή θωράκισης ασφαλείας στο πρωτόκολλο Microsoft RPC Netlogon. Αυτή η αλλαγή βελτιώνει την ασφάλεια, καθιστώντας αυστηρότερους τους ελέγχους πρόσβασης για ένα σύνολο αιτήσεων κλήσεων απομακρυσμένης διαδικασίας (RPC). Μετά την εγκατάσταση αυτής της ενημέρωσης, οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory δεν θα επιτρέπουν πλέον σε ανώνυμους υπολογιστές-πελάτες να καλούν ορισμένες αιτήσεις RPC μέσω του διακομιστή Netlogon RPC. Αυτές οι αιτήσεις σχετίζονται συνήθως με τη θέση του ελεγκτή τομέα.

Μετά από αυτήν την αλλαγή, μερικά αρχεία & λογισμικό υπηρεσιών εκτύπωσης μπορούν να επηρεαστούν, συμπεριλαμβανομένου Samba. Samba έχει κυκλοφορήσει μια ενημέρωση για να φιλοξενήσει αυτή την αλλαγή. Ανατρέξτε στο θέμα Samba 4.22.3 - Σημειώσεις έκδοσης για περισσότερες πληροφορίες.

Για να καλύψουμε σενάρια όπου δεν είναι δυνατή η ενημέρωση του λογισμικού τρίτων κατασκευαστών που επηρεάζεται, κυκλοφορήσαμε πρόσθετες δυνατότητες ρύθμισης παραμέτρων στην Ενημέρωση Ασφάλεια των Windows Αυγούστου 2025. Αυτή η αλλαγή υλοποιεί έναν διακόπτη με βάση το κλειδί μητρώου μεταξύ της προεπιλεγμένης κατάστασης λειτουργίας επιβολής, μιας κατάστασης λειτουργίας ελέγχου που θα καταγράφει τις αλλαγές αλλά δεν θα αποκλείει κλήσεις RPC Netlogon χωρίς έλεγχο ταυτότητας και μιας κατάστασης λειτουργίας απενεργοποίησης (δεν συνιστάται.)

Ανάληψη δράσης

Για να προστατεύσετε το περιβάλλον σας και να αποφύγετε διακοπές λειτουργίας, ενημερώστε πρώτα όλες τις συσκευές που φιλοξενούν τον ελεγκτή τομέα Active Directory ή το ρόλο του διακομιστή LDS, εγκαθιστώντας τις πιο πρόσφατες ενημερώσεις των Windows. Οι υπολογιστές με Ασφάλεια των Windows Ενημερώσεις της 8ης Ιουλίου 2025 ή μεταγενέστερης έκδοσης (ή Windows Server υπολογιστές 2025 με ενημερώσεις Μαΐου) είναι ασφαλείς από προεπιλογή και δεν δέχονται κλήσεις RPC που βασίζονται σε Netlogon χωρίς έλεγχο ταυτότητας από προεπιλογή. Οι υπολογιστές που έχουν τις κλήσεις RPC της 12ης Αυγούστου 2025 ή μεταγενέστερες Ασφάλεια των Windows Ενημερώσεις δεν δέχονται κλήσεις RPC που βασίζονται στο Netlogon χωρίς έλεγχο ταυτότητας από προεπιλογή, αλλά μπορούν να ρυθμιστούν ώστε να το κάνουν προσωρινά.

  1. Παρακολουθήστε το περιβάλλον σας για προβλήματα πρόσβασης. Εάν προκύψει, επιβεβαιώστε εάν οι αλλαγές θωράκισης RPC του Netlogon είναι η βασική αιτία.

    1. Εάν έχουν εγκατασταθεί μόνο ενημερώσεις ιουλίου, ενεργοποιήστε την λεπτομερή καταγραφή Netlogon χρησιμοποιώντας την εντολή "Nltest.exe /dbflag:0x2080ffff" και, στη συνέχεια, παρακολουθήστε τα αρχεία καταγραφής που προκύπτουν για καταχωρήσεις που μοιάζουν με την ακόλουθη γραμμή. Τα πεδία OpNum και Method ενδέχεται να διαφέρουν και να αντιπροσωπεύουν τη λειτουργία και τη μέθοδο RPC που αποκλείστηκε:

      06/23 10:50:39 [ΚΡΊΣΙΜΟ] [5812] NlRpcSecurityCallback: απόρριψη μη εξουσιοδοτημένης κλήσης RPC από [IPAddr] OpNum:34 Μέθοδος:DsrGetDcNameEx2

    2. Εάν έχουν εγκατασταθεί ενημερώσεις Αυγούστου ή μεταγενέστερων ενημερώσεων των Windows, αναζητήστε Security-Netlogon συμβάν 9015 στους υπολογιστές σας, για να προσδιορίσετε ποιες κλήσεις RPC απορρίπτονται. Εάν αυτές οι κλήσεις είναι κρίσιμες, μπορείτε να θέσετε προσωρινά τον ελεγκτή σε κατάσταση λειτουργίας ελέγχου ή σε κατάσταση απενεργοποίησης κατά την αντιμετώπιση προβλημάτων.

    3. Κάντε αλλαγές έτσι ώστε η εφαρμογή να χρησιμοποιεί κλήσεις RPC netlogon με έλεγχο ταυτότητας ή επικοινωνήστε με τον προμηθευτή του λογισμικού σας για περισσότερες πληροφορίες.

  2. Εάν έχετε τοποθετήσει DCs στη λειτουργία ελέγχου, παρακολουθήστε Security-Netlogon συμβάν 9016 για να προσδιορίσετε ποιες κλήσεις RPC θα απορρίπτονταν εάν ενεργοποιήσατε τη λειτουργία επιβολής. Στη συνέχεια, κάντε αλλαγές έτσι ώστε η εφαρμογή να χρησιμοποιεί κλήσεις RPC Netlogon με έλεγχο ταυτότητας ή επικοινωνήστε με τον προμηθευτή του λογισμικού σας για περισσότερες πληροφορίες.

Σημείωση: Στους διακομιστές Windows 2008 SP2 και Windows 2008 R2, αυτά τα συμβάντα θα εμφανίζονται στα αρχεία καταγραφής συμβάντων συστήματος ως Συμβάντα Netlogon 5844 και 5845, αντίστοιχα, για τη λειτουργία επιβολής και τη λειτουργία ελέγχου.

Χρονισμός ενημερώσεων των Windows

Αυτές οι ενημερώσεις των Windows κυκλοφόρησαν σε διάφορες φάσεις:

  1. Αρχική αλλαγή στις Windows Server 2025 (13 Μαΐου 2025) – Η αρχική ενημέρωση που σκληρύνθηκε έναντι μη εξουσιοδοτημένων κλήσεων RPC που βασίζονται σε Netlogon συμπεριλήφθηκε στην Ενημέρωση Ασφάλεια των Windows μαΐου 2025 για Windows Server 2025.

  2. Αρχικές αλλαγές σε άλλες πλατφόρμες διακομιστών (8 Ιουλίου 2025) – Οι ενημερώσεις που θωρακίστηκαν έναντι μη εξουσιοδοτημένων κλήσεων RPC που βασίζονται σε Netlogon για άλλες πλατφόρμες διακομιστών συμπεριλήφθηκαν στις Ασφάλεια των Windows Ενημερώσεις ιουλίου 2025.

  3. Προσθήκη της κατάστασης λειτουργίας ελέγχου και της απενεργοποιημένης λειτουργίας (12 Αυγούστου 2025) – Η επιβολή από προεπιλογή με μια επιλογή για λειτουργίες ελέγχου ή απενεργοποίησης συμπεριλήφθηκαν στις Ασφάλεια των Windows Ενημερώσεις Αυγούστου 2025.

  4. Κατάργηση της κατάστασης λειτουργίας ελέγχου και της κατάστασης απενεργοποίησης (TBD) – Σε μεταγενέστερη ημερομηνία, οι λειτουργίες Έλεγχος και Απενεργοποίηση μπορούν να καταργηθούν από το λειτουργικό σύστημα. Αυτό το άρθρο θα ενημερωθεί όταν επιβεβαιωθούν περαιτέρω λεπτομέρειες.

Οδηγίες ανάπτυξης

Εάν αναπτύξετε το Ασφάλεια των Windows Ενημερώσεις Αυγούστου και θέλετε να ρυθμίσετε τις παραμέτρους των υπολογιστών σας σε λειτουργία ελέγχου ή απενεργοποίησης, αναπτύξτε το κλειδί μητρώου παρακάτω με την κατάλληλη τιμή. Δεν απαιτείται επανεκκίνηση.

Μονοπάτι

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Τιμή μητρώου

DCLocatorRPCSecurityPolicy

Τύπος τιμής

REG_DWORD

Δεδομένα τιμής

0 - Απενεργοποιημένη λειτουργία1 - Λειτουργία ελέγχου2 - Λειτουργία επιβολής (προεπιλογή)

Σημείωση: Οι αιτήσεις χωρίς έλεγχο ταυτότητας θα επιτρέπονται τόσο σε καταστάσεις ελέγχου όσο και σε απενεργοποιημένες λειτουργίες.

Συμβάντα που προστέθηκαν πρόσφατα

Η Ασφάλεια των Windows Ενημερώσεις της 12ης Αυγούστου 2025 θα προσθέσει επίσης νέα αρχεία καταγραφής συμβάντων Windows Server 2012 μέσω των ελεγκτών τομέα Windows Server 2022:

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-Security-Netlogon/Operational

Τύπος συμβάντος

Πληροφορίες

Αναγνωριστικό συμβάντος

9015

Κείμενο συμβάντος

Το Netlogon αρνήθηκε μια κλήση RPC. Η πολιτική βρίσκεται σε λειτουργία ενεργοποίησης.

Στοιχεία προγράμματος-πελάτη: Όνομα μεθόδου: %method% Αριθμός μεθόδου: %opnum% Διεύθυνση πελάτη:>διεύθυνσης IP < Ταυτότητα υπολογιστή-πελάτη: <> SID καλούντος

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα https://aka.ms/dclocatorrpcpolicy.

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-Security-Netlogon/Operational

Τύπος συμβάντος

Πληροφορίες

Αναγνωριστικό συμβάντος

9016

Κείμενο συμβάντος

Το Netlogon επέτρεψε μια κλήση RPC που κανονικά θα είχε απορριφθεί. Η πολιτική βρίσκεται σε λειτουργία ελέγχου.

Στοιχεία προγράμματος-πελάτη: Όνομα μεθόδου: %method% Αριθμός μεθόδου: %opnum% Διεύθυνση πελάτη:>διεύθυνσης IP < Ταυτότητα υπολογιστή-πελάτη: <> SID καλούντος

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα https://aka.ms/dclocatorrpcpolicy.

Σημείωση: Στους διακομιστές Windows 2008 SP2 και Windows 2008 R2, αυτά τα συμβάντα θα εμφανίζονται στα αρχεία καταγραφής συμβάντων συστήματος ως Συμβάντα Netlogon 5844 και 5845, αντίστοιχα, για τις λειτουργίες επιβολής και ελέγχου.

Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)

Οι υπολογιστές που δεν ενημερώνονται με την Ασφάλεια των Windows Ενημερώσεις της 8ης Ιουλίου 2025 ή νεότερη έκδοση θα εξακολουθούν να επιτρέπουν μη έλεγχο ταυτότητας κλήσεων RPC που βασίζονται σε Netlogon & δεν θα καταγράφουν συμβάντα που σχετίζονται με αυτή την ευπάθεια.

Οι υπολογιστές που ενημερώνονται με την Ασφάλεια των Windows Ενημερώσεις της 8ης Ιουλίου 2025 δεν θα επιτρέπουν μη εξουσιοδοτημένες κλήσεις RPC που βασίζονται στο Netlogon, αλλά δεν θα καταγράφουν ένα συμβάν όταν μια τέτοια κλήση έχει αποκλειστεί.

Από προεπιλογή, οι υπολογιστές που ενημερώνονται με το Ασφάλεια των Windows Ενημερώσεις της 12ης Αυγούστου 2025 ή νεότερη έκδοση δεν θα επιτρέπουν κλήσεις RPC που βασίζονται σε Netlogon χωρίς έλεγχο ταυτότητας και θα καταγράφουν ένα συμβάν όταν αποκλειστεί μια τέτοια κλήση.

Όχι.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας