Applies ToWindows Server 2019, all editions Windows Server 2016, all editions Windows Server, version 1909, all editions Windows Server, version 1903, all editions Windows Server, version 1809 (Datacenter, Standard) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Service Pack 1

Resumen

El Protocolo remoto de Netlogon (también llamado MS-NRPC) es una interfaz RPC que se utiliza exclusivamente por dispositivos unidos a un dominio. MS-NRPC incluye un método de autenticación y un método para establecer un canal seguro Netlogon. Estas actualizaciones exigen el comportamiento de cliente de Netlogon especificado para usar rpc segura con canal seguro Netlogon entre equipos miembros y controladores de dominio (DC) de Active Directory (AD).

Esta actualización de seguridad corrige la vulnerabilidad mediante la aplicación de RPC segura al usar el canal seguro Netlogon en una versión por fases que se explica en la sección Intervalos de actualizaciones para abordar la vulnerabilidad CVE-2020-1472 de Netlogon. Para proporcionar protección forestal de AD, todos los DCs deben actualizarse, ya que exigirán una RPC segura con el canal seguro Netlogon. Esto incluye controladores de dominio de solo lectura (RODC).

Para obtener más información sobre la vulnerabilidad, consulta CVE-2020-1472.

Tomar medidas

Para proteger el entorno y evitar interrupciones, debe hacer lo siguiente:

Nota: El paso 1 de instalación de las actualizaciones publicadas el 11 de agosto de 2020 o posteriores solucionará el problema de seguridad en CVE-2020-1472 para dominios y confianzas de Active Directory, así como dispositivos Windows. Para mitigar completamente el problema de seguridad en dispositivos de terceros, deberá completar todos los pasos.

Advertencia A partir de febrero de 2021, el modo de obligatoriedad se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables de dispositivos no compatibles.  En ese momento, no podrá deshabilitar el modo de aplicación.

  1. ACTUALIZAR los controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.

  2. Descubre qué dispositivos están realizando conexiones vulnerables supervisando los registros de eventos.

  3. DIRECCION dispositivos no compatibles que realizan conexiones vulnerables.

  4. HABILITE el modo de aplicación para abordar CVE-2020-1472 en su entorno.

Nota Si usas Windows Server 2008 R2 SP1, necesitas una licencia de Extended Security Update (ESU) para instalar correctamente cualquier actualización que solucione este problema. Para obtener más información sobre el programa ESU, consulta Preguntas frecuentes sobre el ciclo de vida: Novedades de seguridad extendida.

En este artículo:

Intervalos de actualizaciones para abordar la vulnerabilidad CVE-2020-1472 de Netlogon

Las actualizaciones se publicarán en dos fases: la fase inicial para las actualizaciones publicadas el 11 de agosto de 2020 o después y la fase de cumplimiento de las actualizaciones publicadas el 9 de febrero de 2021 o después.

11 de agosto de 2020: fase de implementación inicial

La fase de implementación inicial comienza con las actualizaciones publicadas el 11 de agosto de 2020 y continúa con actualizaciones posteriores hasta la fase de obligatoriedad. Estas actualizaciones y las posteriores realizan cambios en el protocolo Netlogon para proteger los dispositivos Windows de forma predeterminada, registra eventos para detección de dispositivos no compatibles y agrega la capacidad de habilitar la protección para todos los dispositivos unidos a un dominio con excepciones explícitas. Esta publicación:

  • Aplica el uso seguro de RPC para las cuentas de equipo en dispositivos basados en Windows.

  • Aplica el uso seguro de RPC para las cuentas de confianza.

  • Exige el uso seguro de RPC para todos los equipos con Windows y otros equipos que no sean Windows.

  • Incluye una nueva directiva de grupo para permitir cuentas de dispositivos no compatibles (las que usan conexiones de canal seguro netlogon vulnerables). Incluso cuando los equipos se ejecutan en modo de obligatoriedad o después de que se inicie la fase de obligatoriedad, no se rechazará la conexión a los dispositivos permitidos.

  • Clave del Registro FullSecureChannelProtection para habilitar el modo de obligatoriedad de DC para todas las cuentas de equipo (la fase de obligatoriedad actualizará los controladores de dominio al modo de obligatoriedad de DC).

  • Incluye eventos nuevos cuando se deniega o deniega a las cuentas en el modo de aplicación de DC (y continuará en la fase de obligatoriedad). Los identificadores de evento específicos se explican más adelante en este artículo.

La mitigación consiste en instalar la actualización en todos los DCs y RODC, supervisar nuevos eventos y abordar los dispositivos no compatibles que usan conexiones de canal seguro de Netlogon vulnerables. Las cuentas de equipo en dispositivos no compatibles pueden usar conexiones de canal seguras netlogon vulnerables; sin embargo, deben actualizarse para admitir RPC segura para Netlogon y la cuenta impuesta tan pronto como sea posible para eliminar el riesgo de ataque.

9 de febrero de 2021: fase de cumplimiento

La versión del 9 de febrero de 2021 marca la transición a la fase de aplicación. Los DCs ahora estarán en modo de aplicación independientemente de la clave del Registro del modo de obligatoriedad.  Esto requiere que todos los dispositivos Windows y que no sean Windows usen RPC seguro con el canal seguro Netlogon o que permitan explícitamente la cuenta agregando una excepción para el dispositivo no compatible. Esta publicación:

Directrices de implementación: implementar actualizaciones y aplicar el cumplimiento normativo

La fase de implementación inicial constará de los siguientes pasos:

  1. Implementar las actualizaciones del 11 de agostopara todos los equipos en el bosque.

  2. (a) Supervisar los eventos de advertenciay (b) actuar en cada evento.

  3. (a) Una vez que se han resuelto todos los eventos de advertencia, se puede habilitar la protección completa implementando el modo de aplicación de DC. (b) Todas las advertencias deben resolverse antes de la actualización de la fase de cumplimiento del 9 de febrero de 2021.

Paso 1: ACTUALIZAR

Implementar actualizaciones del 11 de agosto de 2020

Implemente las actualizaciones del 11 de agosto para todos los controladores de dominio (DC) aplicables en el bosque, incluidos los controladores de dominio de solo lectura (RODC). Después de implementar esta actualización, los DCs con revisiones:

  • Comience a exigir el uso seguro de RPC para todas las cuentas de dispositivo basadas en Windows, cuentas de confianza y todos los controladores de dominio.

  • Log event ID 5827 and 5828 in the System event log, if connections aredenied.

  • Log event ID 5830 and 5831 in the System event log, if connections are allowed by "Domain controller: Allow vulnerable Netlogon secure channel connections" policy.

  • Log event ID 5829 en el registro de eventos del sistema siempre que se permita una conexión de canal seguro netlogon vulnerable. Estos eventos deben abordarse antes de configurar el modo de obligatoriedad de controlador de dominio o antes de que la fase de obligatoriedad comience el 9 de febrero de 2021.

Paso 2a: ENCONTRAR

Detectar dispositivos no compatibles con el id. de evento 5829

Después de aplicar las actualizaciones del 11 de agosto de 2020 a los controladores de dominio, los eventos se pueden recopilar en los registros de eventos de CC para determinar qué dispositivos de su entorno usan conexiones de canal seguro vulnerables de Netlogon (denominadas dispositivos no compatibles en este artículo). Supervisar controladores de dominio con revisiones para eventos con id. de evento 5829. Los eventos incluirán información relevante para identificar los dispositivos no compatibles.

Para supervisar eventos, use el software de supervisión de eventos disponible o mediante un script para supervisar los controladores de dominio.  Para obtener un script de ejemplo que pueda adaptar a su entorno, consulte Script para ayudar a supervisar identificadores de evento relacionados con las actualizaciones de Netlogon para CVE-2020-1472

Paso 2b: DIRECCIÓN

Identificadores de evento de dirección 5827 y 5828

De forma predeterminada, las versiones compatibles de Windows que se han actualizado por completo no deben usar conexiones de canal seguro netlogon vulnerables. Si uno de estos eventos se registra en el registro de eventos del sistema para un dispositivo Windows:

  1. Confirma que el dispositivo ejecuta una versión compatible de Windows.

  2. Asegúrate de que el dispositivo esté totalmente actualizado.

  3. Compruebe para asegurarse de que el miembro del dominio: los datos de canal seguros de cifrado digital (siempre) están establecidos en Habilitados.

En el caso de dispositivos que no sean Windows que actúan como controlador de dominio, estos eventos se registrarán en el registro de eventos del sistema al usar conexiones de canal seguro de Netlogon vulnerables. Si se registra uno de estos eventos:

  • Recomienda Trabajar con el fabricante de dispositivos (OEM) o el proveedor de software para obtener soporte técnico para un canal seguro RPC con Netlogon

    1. Si el DC no compatible admite RPC seguro con el canal seguro Netlogon, habilite el RPC seguro en el DC.

    2. Si el controlador de dominio no compatible no es compatible actualmente con RPC seguro, colabore con el fabricante del dispositivo (OEM) o con el proveedor de software para obtener una actualización que admita RPC segura con el canal seguro Netlogon.

    3. Retire el controlador de dominio no compatible.

  • Vulnerable Si un controlador de dominio no compatible no admite RPC seguro con canal seguro de Netlogon antes de que los controladores de dominio estén en modo de aplicación, agregue el controlador de dominio mediante la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" que se describe a continuación.

Advertencia Permitir a los DCs utilizar conexiones vulnerables por la directiva de grupo hará que el bosque sea vulnerable a ataques. El objetivo final debe ser abordar y quitar todas las cuentas de esta directiva de grupo.

Dirección del evento 5829

El id. de evento 5829 se genera cuando se permite una conexión vulnerable durante la fase de implementación inicial. Estas conexiones se denegarán cuando los equipos estén en modo de obligatoriedad. En estos eventos, céntrese en el nombre del equipo, el dominio y las versiones del sistema operativo identificados para determinar los dispositivos no compatibles y cómo deben abordarse.

Las formas de abordar dispositivos no compatibles:

  • Recomienda Trabaje con el fabricante de dispositivos (OEM) o el proveedor de software para obtener soporte técnico para un canal seguro RPC con Netlogon:

    1. Si el dispositivo no compatible admite RPC seguro con el canal seguro Netlogon, habilite el RPC seguro en el dispositivo.

    2. Si el dispositivo no compatible actualmente NO admite RPC seguro con el canal seguro Netlogon, colabore con el fabricante del dispositivo o el proveedor de software para obtener una actualización que permita habilitar rpc seguro con el canal seguro de Netlogon.

    3. Retire el dispositivo que no es compatible.

  • Vulnerable Si un dispositivo no compatible no admite RPC seguro con canal seguro de Netlogon antes de que los controladores de dominio estén en modo de aplicación, agregue el dispositivo con la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" que se describe a continuación.

Advertencia Permitir que las cuentas de dispositivo usen conexiones vulnerables mediante la directiva de grupo pondrá en riesgo estas cuentas de AD. El objetivo final debe ser abordar y quitar todas las cuentas de esta directiva de grupo.

Permitir conexiones vulnerables desde dispositivos de terceros

Use la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" para agregar cuentas no compatibles. Esto solo debe considerarse una solución a corto plazo hasta que los dispositivos no compatibles se aborde como se describió anteriormente. Nota Permitir conexiones vulnerables desde dispositivos no compatibles puede tener un impacto en la seguridad desconocido y debe permitirse con precaución.

  1. Se ha creado un grupo de seguridad para las cuentas que podrán usar un canal seguro vulnerable de Netlogon.

  2. En directiva de grupo, ve a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad

  3. Busca "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables".

  4. Si el grupo Administrador o cualquier grupo creado no específicamente para usarse con esta directiva de grupo está presente, elimínelo.

  5. Agregue un grupo de seguridad creado específicamente para usarse con esta directiva de grupo al descriptor de seguridad con el permiso "Permitir". Nota El permiso "Denegar" se comporta del mismo modo que si la cuenta no se hubiera agregado, es decir, las cuentas no podrán hacer canales seguros vulnerables de Netlogon.

  6. Una vez agregados los grupos de seguridad, la directiva de grupo debe replicarse en cada dc.

  7. Periódicamente, supervise los eventos 5827, 5828 y 5829 para determinar qué cuentas están usando conexiones de canal seguro vulnerables.

  8. Agrega esas cuentas de equipo a los grupos de seguridad según sea necesario. Procedimiento recomendado Use grupos de seguridad en la directiva de grupo y agregue cuentas al grupo para que la pertenencia se replique a través de la replicación normal de AD. Esto evita actualizaciones frecuentes de directivas de grupo y retrasos en la replicación.

Una vez solucionados todos los dispositivos no compatibles, puedes mover los controladores a modo de obligatoriedad (consulta la siguiente sección).

Advertencia Permitir a los DCs usar conexiones vulnerables para cuentas de confianza mediante la directiva de grupo hará que el bosque sea vulnerable a los ataques. Las cuentas de confianza suelen tener el nombre del dominio de confianza, por ejemplo: el controlador de dominio en el dominio-a tiene una confianza con un controlador de dominio en el dominio-b. Internamente, el controlador de dominio en domain-a tiene una cuenta de confianza denominada "domain-b$" que representa el objeto de confianza para domain-b. Si el controlador de dominio en un dominio quiere exponer el bosque al riesgo de ataque al permitir conexiones de canal seguras netlogon vulnerables desde la cuenta de confianza domain-b, un administrador puede usar Add-adgroupmember –identity "Name of security group" -members "domain-b$" para agregar la cuenta de confianza al grupo de seguridad.

Paso 3a: HABILITAR

Pasar al modo de cumplimiento antes de la fase de cumplimiento de febrero de 2021

Después de haber resuelto todos los dispositivos no compatibles, habilitando RPC seguro o permitiendo conexiones vulnerables con la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables", establezca la clave del Registro FullSecureChannelProtection en 1.

Nota Si usa la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables", asegúrese de que la directiva de grupo se haya replicado y aplicado a todos los equipos DCs antes de establecer la clave del Registro FullSecureChannelProtection.

Cuando se implementa la clave del Registro FullSecureChannelProtection, los DCs estarán en modo de aplicación. Esta configuración requiere que todos los dispositivos que usen el canal seguro Netlogon:

Advertencia Los clientes de terceros que no admitan RPC seguro con conexiones de canal seguro de Netlogon se denegarán cuando se implemente la clave del Registro del modo de aplicación de DC, lo que puede interrumpir los servicios de producción.

Paso 3b: Fase de cumplimiento

Implementar actualizaciones del 9 de febrero de 2021

La implementación de actualizaciones publicadas el 9 de febrero de 2021 o posterior activará el modo de aplicación de DC. El modo de aplicación de DC es cuando todas las conexiones netlogon son necesarias para usar RPC segura o la cuenta debe haberse agregado a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables". En este momento, la clave del Registro FullSecureChannelProtection ya no es necesaria y ya no se admitirá.

"Controlador de dominio: Permitir conexiones de canal seguras netlogon vulnerables" directiva de grupo

El procedimiento recomendado es usar grupos de seguridad en la directiva de grupo para que la pertenencia se replique a través de la replicación normal de AD. Esto evita actualizaciones frecuentes de directivas de grupo y retrasos en la replicación.

Ruta de acceso de la directiva y nombre de configuración

Descripción

Ruta de acceso a la directiva: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad Nombre de configuración: Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables

¿Es necesario reiniciar? No

Esta configuración de seguridad determina si el controlador de dominio omite rpc seguro para netlogon conexiones de canal seguro para las cuentas de equipo especificadas.

Esta directiva se debe aplicar a todos los controladores de dominio en un bosque habilitando la directiva en la unidad organizativa de controladores de dominio.

Cuando se configura la lista de Connections vulnerables (lista de permitidos):

  • Permitir: el controlador de dominio permitirá que el grupo o cuentas especificados usen un canal seguro Netlogon sin RPC seguro.

  • Denegar: esta configuración es la misma que el comportamiento predeterminado. El controlador de dominio requerirá que el grupo o cuentas especificados usen un canal seguro Netlogon con RPC seguro.

Advertencia Si habilita esta directiva, se expondrán los dispositivos unidos a dominios y el bosque de Active Directory, lo que podría ponerlos en riesgo. Esta directiva debe usarse como medida temporal para dispositivos de terceros al implementar actualizaciones. Una vez que se actualiza un dispositivo de terceros para admitir el uso de RPC seguro con canales seguros de Netlogon, la cuenta debe quitarse de la lista Crear Connections vulnerables. Para comprender mejor el riesgo de que las cuentas puedan usar conexiones de canal seguras vulnerables de Netlogon, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Valor predeterminado: esta directiva no está configurada. Ningún equipo ni cuentas de confianza están explícitamente exentos de la obligatoriedad de conexiones de canal seguras de Netlogon con RPC seguras.

Esta directiva es compatible con Windows Server 2008 R2 SP1 y versiones posteriores.

Errores de registro de eventos de Windows relacionados con CVE-2020-1472

Hay tres categorías de eventos:

1. Eventos registrados cuando se deniega una conexión porque se ha intentado una conexión de canal seguro de Netlogon vulnerable:

  • 5827 (cuentas de equipo) Error

  • 5828 (cuentas de confianza) Error

2. Eventos registrados cuando se permite una conexión porque la cuenta se agregó a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables":

  • 5830 (cuentas de equipo) Advertencia

  • 5831 (cuentas de confianza) Advertencia

3. Eventos registrados cuando se permite una conexión en la versión inicial que se denegará en el modo de aplicación de DC:

  • 5829 (cuentas de equipo) Advertencia

Id. de evento 5827

Se registrará el id. de evento 5827 cuando se deniegue una conexión de canal seguro de Netlogon vulnerable desde una cuenta de equipo.

Registro de eventos

Sistema

Origen del evento

NETLOGON

Id. del evento

5827

Level

Error

Texto del mensaje del evento

El servicio Netlogon denegó una conexión de canal seguro vulnerable de Netlogon desde una cuenta de equipo.

Machine SamAccountName:

Dominio:

Tipo de cuenta:

Sistema operativo del equipo:

Compilación del sistema operativo de equipo:

Service Pack de sistema operativo de equipo:

Para obtener más información sobre por qué se deniega esto, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Id. de evento 5828

El id. de evento 5828 se registrará cuando se deniegue una conexión de canal seguro de Netlogon vulnerable desde una cuenta de confianza.

Registro de eventos

Sistema

Origen del evento

NETLOGON

Id. del evento

5828

Level

Error

Texto del mensaje del evento

El servicio Netlogon denegó una conexión de canal segura vulnerable de Netlogon mediante una cuenta de confianza.

Tipo de cuenta:

Nombre de la confianza:

Destino de confianza:

Dirección IP del cliente:

Para obtener más información sobre por qué se deniega esto, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Id. de evento 5829

El id. de evento 5829 solo se registrará durante la fase de implementación inicial, cuando se permita una conexión de canal seguro de Netlogon vulnerable desde una cuenta de equipo.

Cuando se implementa el modo de obligatoriedad de CONTROLADOR o cuando la fase de obligatoriedad comienza con la implementación de las actualizaciones del 9 de febrero de 2021, estas conexiones se denegarán y se registrará el id. de evento 5827. Por este motivo, es importante supervisar el evento 5829 durante la fase de implementación inicial y actuar antes de la fase de aplicación para evitar interrupciones.

Registro de eventos 

Sistema 

Origen del evento 

NETLOGON 

Id. del evento 

5829 

Level 

Advertencia 

Texto del mensaje del evento 

El servicio Netlogon permitió una conexión de canal segura de Netlogon vulnerable.  

Advertencia: Esta conexión se denegará una vez que se publique la fase de aplicación. Para comprender mejor la fase de cumplimiento, visite https://go.microsoft.com/fwlink/?linkid=2133485.  

Machine SamAccountName:  

Dominio:  

Tipo de cuenta:  

Sistema operativo del equipo:  

Compilación del sistema operativo de equipo:  

Service Pack de sistema operativo de equipo:  

Id. de evento 5830

Se registrará el id. de evento 5830 cuando se permita una conexión de cuenta de equipo de canal seguro vulnerable de Netlogon mediante la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables".

Registro de eventos

Sistema

Origen del evento

NETLOGON

Id. del evento

5830

Level

Advertencia

Texto del mensaje del evento

El servicio Netlogon permitió una conexión de canal segura vulnerable de Netlogon porque la cuenta del equipo está permitida en la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables".

Advertencia: El uso de canales seguros vulnerables de Netlogon expondrá a ataques los dispositivos unidos a un dominio. Para proteger el dispositivo contra ataques, quite una cuenta de equipo de la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" después de actualizar el cliente de Netlogon de terceros. Para comprender mejor el riesgo de configurar las cuentas de equipo para que puedan usar conexiones de canal seguras vulnerables de Netlogon, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Machine SamAccountName:

Dominio:

Tipo de cuenta:

Sistema operativo del equipo:

Compilación del sistema operativo de equipo:

Service Pack de sistema operativo de equipo:

Id. de evento 5831

El id. de evento 5831 se registrará cuando se permita una conexión de cuenta de confianza de canal seguro vulnerable de Netlogon mediante la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables".

Registro de eventos

Sistema

Origen del evento

NETLOGON

Id. del evento

5831

Level

Advertencia

Texto del mensaje del evento

El servicio Netlogon permitió una conexión de canal segura vulnerable de Netlogon porque la cuenta de confianza está permitida en la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables".

Advertencia: El uso de canales seguros vulnerables de Netlogon expondrá los bosques de Active Directory a ataques. Para proteger los bosques de Active Directory contra ataques, todas las confianzas deben usar rpc con canal seguro Netlogon seguro. Quite una cuenta de confianza de la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables" después de actualizar el cliente de Netlogon de terceros en los controladores de dominio. Para comprender mejor el riesgo de configurar cuentas de confianza para que puedan usar conexiones de canal seguras vulnerables de Netlogon, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Tipo de cuenta:

Nombre de la confianza:

Destino de confianza:

Dirección IP del cliente:

Valor del Registro para el modo de aplicación

Advertencia: pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft garantiza que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad. 

Las actualizaciones del 11 de agosto de 2020 presentan la siguiente configuración del Registro para habilitar el modo de aplicación anticipada. Esto se habilitará independientemente de la configuración del Registro en la Fase de cumplimiento a partir del 9 de febrero de 2021: 

Subclave del Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor

FullSecureChannelProtection

Tipo de datos

REG_DWORD

Datos

1 – Esto habilita el modo de aplicación. Los controladores de dominio denegarán las conexiones de canal seguras vulnerables de Netlogon a menos que la cuenta sea permitida por la lista Crear conexión vulnerable en la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables".  

0: los DCs permitirán conexiones de canal seguro Netlogon vulnerables desde dispositivos que no sean Windows. Esta opción quedará en desuso en la versión de la fase de aplicación.

¿Es necesario reiniciar?

No

Dispositivos de terceros que implementan [MS-NRPC]: Protocolo remoto netlogon

Todos los clientes o servidores de terceros deben usar RPC seguro con el canal seguro Netlogon. Ponte en contacto con el fabricante de dispositivos (OEM) o los proveedores de software para determinar si su software es compatible con el protocolo remoto Netlogon más reciente. 

Las actualizaciones de protocolos pueden encontrarse en el sitio de documentación del protocolo de Windows

Preguntas más frecuentes (P+F)

  • Windows & dispositivos unidos a dominios de terceros que tienen cuentas de equipo en Active Directory (AD)

  • Windows Server & controladores de dominio de terceros en dominios de confianza & de confianza que tienen cuentas de confianza en AD

Los dispositivos de terceros podrían no ser compatibles. Si la solución de terceros mantiene una cuenta de equipo en AD, póngase en contacto con el proveedor para determinar si se ve afectado.

Los retrasos en la replicación de AD y Sysvol o en los errores de la aplicación de directiva de grupo en el controlador de dominio de autenticación pueden provocar que los cambios en la directiva de grupo "Controlador de dominio: permitir que las conexiones de canal seguras vulnerables de Netlogon" directiva de grupo estén ausentes y dar lugar a la cuenta denegada. 

Los pasos siguientes pueden ayudar a solucionar el problema:

De forma predeterminada, las versiones compatibles de Windows que se han actualizado por completo no deben usar conexiones de canal seguro netlogon vulnerables. Si se registra un id. de evento 5827 en el registro de eventos del sistema para un dispositivo Windows:

  1. Confirma que el dispositivo ejecuta una versión compatible de Windows.

  2. Asegúrate de que el dispositivo esté totalmente actualizado desde Windows Update.

  3. Compruebe que el miembro del dominio: los datos del canal seguro de cifrado digital (siempre) se establecen en Habilitados en un GPO vinculado a la unidad organizativa para todos los equipos, como los GPO de controladores de dominio predeterminados.

Sí, deben actualizarse, pero no son específicamente vulnerables a CVE-2020-1472.

No, los controladores de dominio son el único rol afectado por CVE-2020-1472 y se pueden actualizar independientemente de los servidores de Windows que no sean de CC y de otros dispositivos Windows.

Windows Server 2008 SP2 no es vulnerable a este CVE específico porque no usa AES para RPC seguro.

Sí, necesitarás Extended Security Update (ESU) para instalar las actualizaciones para dirigirte a CVE-2020-1472 para Windows Server 2008 R2 SP1.

Mediante la implementación de las actualizaciones del 11 de agosto de 2020 o posteriores a todos los controladores de dominio en su entorno.

Asegúrese de que ninguno de los dispositivos agregados a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" tenga servicios de privilegios de administrador de empresa o de dominio, como SCCM o Microsoft Exchange.  Nota: Cualquier dispositivo de la lista de permitidos podrá usar conexiones vulnerables y podría exponer su entorno al ataque.

La instalación de actualizaciones publicadas el 11 de agosto de 2020 o posteriores en los controladores de dominio protege las cuentas de equipo basadas en Windows, las cuentas de confianza y las cuentas de controlador de dominio. 

Las cuentas de equipo de Active Directory para dispositivos de terceros unidos a dominios no están protegidas hasta que se implementa el modo de aplicación. Las cuentas de equipo tampoco están protegidas si se agregan a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables".

Asegúrese de que todos los controladores de dominio de su entorno han instalado las actualizaciones del 11 de agosto de 2020 o posteriores.

Cualquier identidad de dispositivo que se haya agregado a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables" será vulnerable a ataques.   

Asegúrese de que todos los controladores de dominio de su entorno han instalado las actualizaciones del 11 de agosto de 2020 o posteriores. 

Habilite el modo de obligatoriedad para denegar las conexiones vulnerables de identidades de dispositivos de terceros no compatibles.  Nota Con el modo de obligatoriedad habilitado, cualquier identidad de dispositivo de terceros que se haya agregado a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables" seguirá siendo vulnerable y podría permitir a un atacante acceso no autorizado a su red o dispositivos.

El modo de obligatoriedad indica a los controladores de dominio que no permiten conexiones Netlogon desde dispositivos que no usan RPC seguro, a menos que dicha cuenta de dispositivo se haya agregado a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables".

Para obtener más información, vea la sección Valor del Registro para el modo de obligatoriedad.

Solo las cuentas de equipo para dispositivos que no se pueden proteger habilitando RPC seguro en el canal seguro de Netlogon deben agregarse a la directiva de grupo.  Se recomienda hacer que estos dispositivos cumplan o reemplacen estos dispositivos para proteger tu entorno.

Un atacante puede tomar el control de una identidad de máquina de Active Directory de cualquier cuenta de equipo agregada a la directiva de grupo y, posteriormente, aprovechar los permisos que la identidad del equipo tiene.

Si tiene un dispositivo de terceros que no admite RPC seguro para el canal seguro de Netlogon y desea habilitar el modo de aplicación, debe agregar la cuenta del equipo para ese dispositivo a la directiva de grupo. Esto no se recomienda y podría dejar el dominio en un estado potencialmente vulnerable.  Se recomienda usar esta directiva de grupo para dar tiempo a actualizar o reemplazar los dispositivos de terceros para que cumplan los requisitos.

El modo de obligatoriedad debe habilitarse tan pronto como sea posible.  Cualquier dispositivo de terceros tendrá que ser tratado ya sea haciendo que sea compatible o agregándolos a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables". Nota: Cualquier dispositivo de la lista de permitidos podrá usar conexiones vulnerables y podría exponer su entorno al ataque.

Glosario

Término

Definición

de acceso

Active Directory

DC

Controlador de dominio

Modo de obligatoriedad

La clave del Registro que le permite habilitar el modo de obligatoriedad antes del 9 de febrero de 2021.

Fase de cumplimiento

Fase que comienza con las actualizaciones del 9 de febrero de 2021 en las que el modo de obligatoriedad se habilitará en todos los controladores de dominio de Windows, independientemente de la configuración del Registro. Los controladores de dominio denegarán las conexiones vulnerables de todos los dispositivos no compatibles, a menos que se agreguen a la directiva de grupo "Controlador de dominio: Permitir conexiones de canal seguras de Netlogon vulnerables".

Fase de implementación inicial

Fase que comienza con las actualizaciones del 11 de agosto de 2020 y continúa con las actualizaciones posteriores hasta la fase de aplicación.

cuenta de equipo

También se conoce como equipo u objeto de equipo de Active Directory.  Consulta el glosario de MS-NPRC para obtener una definición completa.

MS-NRPC

ProtoCol remoto de Microsoft Netlogon

Dispositivo no compatible

Un dispositivo no compatible es aquel que usa una conexión de canal seguro Netlogon vulnerable.

RODC

controladores de dominio de solo lectura

Conexión vulnerable

Una conexión vulnerable es una conexión de canal seguro de Netlogon que no usa RPC seguro.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.