Resumen

El protocolo remoto de Netlogon (también llamado MS-NRPC) es una interfaz RPC que se usa exclusivamente por dispositivos Unidos a un dominio. MS-NRPC incluye un método de autenticación y un método para establecer un canal seguro de netlogon. Estas actualizaciones exigen el comportamiento específico del cliente Netlogon para usar RPC seguro con canal seguro de Netlogon entre equipos miembros y controladores de dominio (DC) de Active Directory (AD).

Esta actualización de seguridad corrige la vulnerabilidad al aplicar la RPC segura cuando se usa el canal seguro de Netlogon en una versión escalonada que se explica en la sección intervalos de actualizaciones para resolver la vulnerabilidad de Netlogon CVE-2020-1472 . Para proporcionar protección de bosques de AD, todos los DC de deben ser actualizados ya que aplicarán RPC seguros con canal seguro de netlogon. Esto incluye controladores de dominio de solo lectura (RODC).

Para obtener más información sobre la vulnerabilidad, consulte CVE-2020-1472.

Llevar a cabo una acción

Para proteger su entorno y evitar interrupciones, debe hacer lo siguiente:

Nota El paso 1 de la instalación de las actualizaciones publicadas el 11 de agosto de 2020 o posterior corregirá el problema de seguridad en CVE-2020-1472 para dominios y confianzas de Active Directory, así como para dispositivos Windows. Para mitigar totalmente el problema de seguridad de los dispositivos de terceros, debe completar todos los pasos.

Warning A partir del 2021 de febrero, se habilitará el modo de aplicación en todos los controladores de dominio de Windows y se bloquearán las conexiones vulnerables de los dispositivos no compatibles. En ese momento, no podrá deshabilitar el modo de aplicación.

  1. Actualizar los controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.

  2. Busque los dispositivos que estén realizando conexiones vulnerables al supervisar los registros de eventos.

  3. Direccionar los dispositivos no compatibles que hacen conexiones vulnerables.

  4. Habilite el modo de aplicación para la dirección CVE-2020-1472 en su entorno.


Nota Si usa Windows Server 2008 R2 SP1, necesita una licencia de actualización de seguridad ampliada (ESU) para instalar correctamente cualquier actualización que se ocupa de este problema. Para obtener más información sobre el programa ESU, consulte las preguntas más frecuentes del ciclo de vida: actualizaciones de seguridad ampliadas.

En este artículo:

Intervalos de actualizaciones para solucionar la vulnerabilidad de Netlogon CVE-2020-1472

Las actualizaciones se publican en dos fases: la fase inicial de las actualizaciones publicadas el 11 de agosto de 2020 y la fase de exigencia para las actualizaciones publicadas el 9 de febrero de 2021 o después.

11 de agosto de 2020-fase de implementación inicial

La fase de implementación inicial comienza con las actualizaciones publicadas el 11 de agosto de 2020 y continúa con las actualizaciones más recientes hasta la fase de aplicación. Estas y actualizaciones más recientes hacen que los cambios en el protocolo Netlogon protejan los dispositivos Windows de manera predeterminada, registra eventos para detectar el dispositivo no compatible y agrega la posibilidad de habilitar la protección de todos los dispositivos Unidos a un dominio con excepciones explícitas. Esta versión:

  • Exige el uso de RPC seguro para cuentas de equipo en dispositivos basados en Windows.

  • Exige el uso de RPC seguro para cuentas de confianza.

  • Exige el uso de RPC seguro para todos los DC de Windows y los que no son de Windows.

  • Incluye una nueva Directiva de grupo para permitir cuentas de dispositivo no compatibles (las que usan conexiones de canales seguros de Netlogon vulnerables). Incluso si los DC se ejecutan en el modo de aplicación o después de que se inicie la fase de aplicación , no se rechazará la conexión a los dispositivos permitidos.

  • FullSecureChannelProtection clave del registro para habilitar el modo de aplicación de DC para todas las cuentas de equipo (la fase de cumplimiento actualizará los DC al modo de aplicaciónde DC).

  • En se incluyen nuevos eventos cuando las cuentas se deniegan o se deniegan en el modo de cumplimiento de DC (y seguirán en la fase de aplicación). Más adelante en este artículo se explican los ID. de evento específicos.

La mitigación consiste en instalar la actualización de todos los DC y RODC, supervisar los nuevos eventos y dirigirse a los dispositivos no compatibles que usan conexiones de canal seguro de Netlogon vulnerables. Las cuentas de equipo en dispositivos no compatibles pueden usar conexiones de canales seguros de Netlogon vulnerables. sin embargo, deben actualizarse para ser compatibles con RPC seguro para netlogon y la cuenta se aplica tan pronto como sea posible para eliminar el riesgo de ataque.

9 de febrero de 2021-fase de exigencia

La versión del 9 de febrero de 2021 marca la transición en la fase de exigencia. El DCs estará ahora en el modo de aplicación independientemente de la clave del registro en el modo de aplicación. Para ello, es necesario que todos los dispositivos Windows y los que no sean Windows usen un RPC seguro con un canal seguro de Netlogon o permitir explícitamente la cuenta al agregar una excepción al dispositivo no compatible. Esta versión:

Instrucciones de implementación: implementar actualizaciones y aplicar cumplimiento normativo

La fase de implementación inicial se compone de los pasos siguientes:

  1. Implementación de la undécimo actualización de laversión de agosto en todos los DC del bosque.

  2. (a) supervisar eventos de advertenciay (b) actuar en cada evento.

  3. (a) una vez que se hayan corregido todos los eventos de advertencia, se puede habilitar la protección completa al implementar el modo de aplicaciónde DC. (b) todas las advertencias deben resolverse antes de la actualización de la fase de aplicación del 9 de febrero de 2021.

paso 1: ACTUALIZACIÓN

Implementar las actualizaciones del 11 de agosto de 2020

Implemente la undécimo actualización de las 11 de agosto para todos los controladores de dominio (DC) aplicables en el bosque, incluido el controlador de dominio de solo lectura (RODC). Después de implementar esta actualización, los DC revisados tendrán:

  • Comience a exigir el uso de RPC seguro para todas las cuentas de dispositivo basadas en Windows, las cuentas de confianza y todos los DC.

  • Registre los ID. de evento 5827 y 5828 en el registro de eventos del sistema si se deniegan las conexiones.

  • Registre los ID. de evento 5830 y 5831 en el registro de eventos del sistema si se permiten las conexiones en "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

  • Registre el ID. de evento 5829 en el registro de eventos del sistema siempre que se permita una conexión de canal seguro de Netlogon vulnerable. Estos sucesos deben solucionarse antes de que se configure el modo de aplicación de DC o antes de que comience la fase de aplicación el 9 de febrero de 2021.

 

paso 2a: BUSCAR

Detección de dispositivos no compatibles con el ID. de evento 5829

Después del 11 de agosto de 2020 se han aplicado actualizaciones a los DC, se pueden recopilar eventos en los registros de eventos de DC para determinar qué dispositivos de su entorno usan conexiones de canal seguro de Netlogon vulnerables (denominadas "dispositivos no compatibles" en este artículo). Supervisar DCs con parches para eventos con ID. 5829. Los eventos incluirán información relevante para identificar los dispositivos no compatibles.

Para supervisar sucesos, utilice el software de supervisión de sucesos disponible o el uso de un script para supervisar los DC.  Para obtener un script de ejemplo que se puede adaptar al entorno, vea script para ayudar a la supervisión de identificadores de eventos relacionados con las actualizaciones de Netlogon para CVE-2020-1472

Step 2B: Dirección

Direccionar los ID. de evento 5827 y 5828

De forma predeterminada, las versiones de Windows compatibles que se han actualizado completamente no deben usar conexiones de canal seguro de Netlogon vulnerables. Si se graba uno de estos eventos en el registro de eventos del sistema para un dispositivo Windows:

  1. Confirme que el dispositivo ejecuta una versión compatible de Windows.

  2. Asegúrese de que el dispositivo está totalmente actualizado.

  3. Asegúrese de que miembro del dominio: Cifrar o firmar digitalmente datos de un canal seguro (siempre) se establece en habilitado.

En el caso de los dispositivos que no sean Windows y que actúan como DC, estos sucesos se registran en el registro de eventos del sistema cuando se usan conexiones de canales seguros de Netlogon vulnerables. Si se registra uno de estos sucesos:

  • Recomendable Colaborar con el fabricante del dispositivo (OEM) o con el proveedor de software para recibir soporte técnico para RPC seguro con canal seguro de Netlogon

    1. Si el DC no compatible es compatible con RPC seguro con canal seguro de Netlogon, habilite Secure RPC en el DC.

    2. Si el DC no compatible no es compatible actualmente con RPC seguro, trabaje con el fabricante del dispositivo (OEM) o con el proveedor de software para obtener una actualización que sea compatible con RPC seguro con canal seguro de netlogon.

    3. Retiramos el DC no compatible.

  • Vulnerables Si un DC no compatible no es compatible con un canal seguro de Netlogon antes de que los DC estén en modo de ejecución, agregue el DC con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " la Directiva de grupo que se describe a continuación.

Warning Permitir que los DC usen conexiones vulnerables por la Directiva de grupo hará que el bosque sea vulnerable a un ataque. El objetivo final debe ser tratar y quitar todas las cuentas de esta directiva de grupo.

 

Evento de direccionamiento 5829

El ID. de evento 5829 se genera cuando se permiten conexiones vulnerables durante la fase de implementación inicial. Se denegarán estas conexiones cuando los DC estén en modo de aplicación. En estos sucesos, céntrese en el nombre del equipo, en el dominio y en las versiones del sistema operativo, determinadas para determinar los dispositivos no compatibles y cómo se deben tratar.

Las formas de afrontar los dispositivos no compatibles:

  • Recomendable Trabaje con el fabricante del dispositivo (OEM) o con el proveedor de software para obtener soporte técnico para RPC seguro con canal seguro de Netlogon:

    1. Si el dispositivo no compatible es compatible con un canal seguro de inicio de sesión seguros, habilite Secure RPC en el dispositivo.

    2. Si el dispositivo no compatible no es compatible actualmente con el canal seguro de Netlogon, trabaje con el fabricante del dispositivo o con el proveedor de software para obtener una actualización que permita que la RPC segura con un canal seguro de Netlogon esté habilitada.

    3. Retirará el dispositivo no compatible.

  • Vulnerables Si un dispositivo no compatible no es compatible con un canal seguro de Netlogon antes de que los DC estén en modo de ejecución, agregue el dispositivo con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " la Directiva de grupo que se describe a continuación.

Warning Permitir que las cuentas de dispositivo usen conexiones vulnerables por la Directiva de grupo pondrá estas cuentas de publicidad en peligro. El objetivo final debe ser tratar y quitar todas las cuentas de esta directiva de grupo.

 

Permitir conexiones vulnerables de dispositivos de terceros

Use el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " Directiva de grupo para agregar cuentas no compatibles. Esto solo debería considerarse como un remedio a corto plazo hasta que se trate de un dispositivo no compatible como el descrito anteriormente. Nota Permitir conexiones vulnerables de dispositivos no compatibles puede tener una repercusión en la seguridad desconocida y debería permitirse con precaución.

  1. Se crearon un grupo de seguridad para cuentas que podrán usar un canal seguro de Netlogon vulnerable.

  2. En Directiva de grupo, vaya a configuración del equipo > configuración de Windows > configuración de seguridad > directivas locales > las opciones de seguridad

  3. Buscar "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables ".

  4. Si el grupo administrador o si hay algún grupo que no se haya creado específicamente para usarlo en esta directiva de grupo, quítelo.

  5. Agregue un grupo de seguridad específicamente diseñado para usarlo con esta directiva de grupo en el descriptor de seguridad con el permiso "permitir". Nota El permiso de "denegación" tiene el mismo aspecto que si no se hubiera agregado la cuenta, es decir, las cuentas no podrán establecer canales seguros de Netlogon vulnerables.

  6. Una vez que se agregan los grupos de seguridad, la Directiva de grupo debe replicarse en cada DC.

  7. Supervisa periódicamente los eventos 5827, 5828 y 5829 para determinar qué cuentas usan conexiones de canal seguro vulnerables.

  8. Agregue esas cuentas de equipo al grupo o grupos de seguridad según sea necesario. Procedimiento recomendado Use grupos de seguridad en la Directiva de grupo y agregue cuentas al grupo para que la pertenencia se replique mediante la replicación de AD normal. Esto evita las frecuentes actualizaciones de directivas de grupo y retrasos de replicación.

Una vez que se hayan resuelto todos los dispositivos no compatibles, puede mover los DC al modo de cumplimiento (consulte la sección siguiente).

Warning Permitir que los DC usen conexiones vulnerables para cuentas de confianza por la Directiva de grupo hará que el bosque sea vulnerable a un ataque. Las cuentas de confianza suelen tener el mismo nombre que el dominio de confianza, por ejemplo: El DC del dominio-a tiene una confianza con un DC en el dominio-b. En un contexto interno, el DC del dominio-a tiene una cuenta de confianza denominada "domain-b $" que representa el objeto de confianza para Domain-b. Si el DC del dominio-a desea exponer el bosque al riesgo de ataques al permitir conexiones de canal seguro de Netlogon vulnerables de la cuenta de confianza del dominio b, un administrador puede usar Add-adgroupmember – Identity "nombre del grupo de seguridad"-los miembros "domain-b $" para agregar la cuenta de confianza al grupo de seguridad.

 

paso 3A: HABILITAR

Pasar al modo de aplicación con antelación a la fase de aplicación 2021 de febrero

Después de que se hayan resuelto todos los dispositivos no compatibles, habilite RPC seguro o al permitir conexiones vulnerables con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo, configure la clave del registro FullSecureChannelProtection en 1.

Nota Si usa el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo, asegúrese de que la Directiva de grupo se ha replicado y se ha aplicado a todos los DC antes de establecer la clave del registro FullSecureChannelProtection.

Cuando la clave del registro FullSecureChannelProtection está implementada, DCs estará en modo de aplicación. Esta configuración requiere que todos los dispositivos que utilicen un canal seguro de Netlogon:

Warning Los clientes de terceros que no son compatibles con RPC seguras con conexiones de canal seguro de Netlogon se rechazarán cuando se implemente la clave del registro del modo de aplicación de DC que puede interrumpir los servicios de producción.

 

paso 3B: fase de exigencia

Implementar el 9 de febrero de 2021 actualizaciones

La implementación de las actualizaciones publicadas en el 9 de febrero de 2021 o posterior se activará en el modo de aplicaciónde DC. El modo de aplicación de DC es cuando se requiere que todas las conexiones Netlogon usen RPC seguro o se debe haber agregado la cuenta al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo. En este momento, la clave del registro FullSecureChannelProtection ya no es necesaria y ya no será compatible.

"Controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo

Se recomienda usar grupos de seguridad en la Directiva de grupo para que la pertenencia se replique por medio de la replicación de AD normal. Esto evita las frecuentes actualizaciones de directivas de grupo y retrasos de replicación.

La ruta de acceso de la Directiva y el nombre de configuración

Descripción

Ruta de acceso de directiva: Configuración de equipo > configuración de Windows > configuración de seguridad > directivas locales > opciones de seguridad

Nombre de configuración: controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables

¿Es necesario reiniciar? No

Esta configuración de seguridad determina si el controlador de dominio omite RPC seguras para las conexiones de canal seguro de Netlogon para las cuentas de equipo especificadas.

Esta Directiva debe aplicarse en todos los controladores de dominio de un bosque al habilitar la Directiva en la uo controladores de dominio.

Cuando la lista crear conexiones vulnerables (lista permitir) está configurada:

  • Permitir El controlador de dominio permite que el grupo/cuentas especificadas usen un canal seguro de Netlogon sin Secure RPC.

  • Negación Esta configuración es la misma que la predeterminada. El controlador de dominio necesitará que el grupo/cuentas especificadas usen un canal seguro de Netlogon con un RPC seguro.

Warning La habilitación de esta directiva expondrá los dispositivos Unidos a un dominio y el bosque de Active Directory, lo que les pondría en peligro. Esta Directiva se debe usar como medida temporal para dispositivos de terceros al implementar las actualizaciones. Una vez que se actualiza un dispositivo de terceros para admitir el uso de canales seguros seguros con un canal seguro de Netlogon, la cuenta debe quitarse de la lista crear conexiones vulnerables. Para entender mejor el riesgo de configurar cuentas para que se les permita usar conexiones de canales seguros de Netlogon vulnerables, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Opción Esta Directiva no se configura. Las cuentas de equipo o confianza no están explícitamente exentas de RPC seguras con la aplicación de conexiones de canal seguro de netlogon.

Esta directiva es compatible con Windows Server 2008 R2 SP1 y versiones posteriores.

Errores del registro de eventos de Windows relacionados con CVE-2020-1472

Existen tres categorías de eventos:

1. Eventos registrados cuando se denegó una conexión porque se intentó una conexión de canal seguro Netlogon vulnerable:

  • Error 5827 (cuentas de equipo)

  • Error 5828 (cuentas de confianza)

2. Eventos registrados cuando se permite una conexión porque la cuenta se ha agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de Grupo:

  • 5830 (cuentas de equipo) ADVERTENCIA

  • ADVERTENCIA 5831 (cuentas de confianza)

3. Eventos que se registran cuando se permite una conexión en la versión inicial, que se rechazará en el modo de aplicaciónde DC:

  • 5829 (cuentas de equipo) ADVERTENCIA

ID. de evento 5827

El ID. de evento 5827 se registrará cuando se deniegue una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5827

Nivel

Error

Texto del mensaje del evento

El servicio de net Logon denegó una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

SamAccountName de equipo:

Dominio:

Tipo de cuenta:

Sistema operativo de equipo:

Compilación de sistema operativo de equipo:

Paquete de servicio de sistema operativo de equipo:

Para obtener más información sobre por qué se denegó esto, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID. de evento 5828

El ID. de evento 5828 se registrará cuando se deniegue una conexión de canal seguro de Netlogon vulnerable de una cuenta de confianza.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5828

Nivel

Error

Texto del mensaje del evento

El servicio NetLogon denegó una conexión de canal seguro de Netlogon vulnerable con una cuenta de confianza.

Tipo de cuenta:

Nombre de confianza:

Destino de confianza:

Dirección IP del cliente:

Para obtener más información sobre por qué se denegó esto, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID. de evento 5829

El ID. de evento 5829 solo se registra durante la fase de implementación inicial, cuando se permite una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

Cuando se implementa el modo de aplicación por CC o cuando la fase de la aplicación comienza con la implementación de las actualizaciones del 9 de febrero de 2021, estas conexiones se deniegan y se registra el ID. de evento 5827. Este es el motivo por el que es importante supervisar el evento 5829 durante la fase de implementación inicial y Act antes de la fase de aplicación para evitar interrupciones.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5829

Distribuye

Previo

Texto del mensaje del evento

El servicio NetLogon permitió una conexión de canal seguro de Netlogon vulnerable.  

Advertencia: Se rechazará esta conexión cuando se publique la fase de aplicación. Para entender mejor la fase de exigencia, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.  

SamAccountName de equipo:  

Dominio:  

Tipo de cuenta:  

Sistema operativo de equipo:  

Compilación de sistema operativo de equipo:  

Paquete de servicio de sistema operativo de equipo:  

ID. de evento 5830

El ID. de evento 5830 se registra cuando se permite la conexión a una cuenta de equipo de canal seguro de Netlogon vulnerable por "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5830

Nivel

Advertencia

Texto del mensaje del evento

El servicio de inicio de sesión de Netlogon permitió una conexión de canal seguro de Netlogon vulnerable porque la cuenta de equipo se permite en el "controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables ".

Advertencia: El uso de canales seguros de Netlogon vulnerables expondrá los dispositivos que se unan a un dominio a los ataques. Para proteger el dispositivo frente a ataques, quite una cuenta de equipo de "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo después de que se haya actualizado el cliente Netlogon de terceros. Para entender mejor el riesgo de configurar cuentas de equipo para que se les permita usar conexiones de canal seguro de Netlogon vulnerables, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

SamAccountName de equipo:

Dominio:

Tipo de cuenta:

Sistema operativo de equipo:

Compilación de sistema operativo de equipo:

Paquete de servicio de sistema operativo de equipo:

 

ID. de evento 5831

El ID. de evento 5831 se registra cuando se permite la conexión a una cuenta de confianza de canal seguro de Netlogon vulnerable por "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5831

Nivel

Advertencia

Texto del mensaje del evento

El servicio de inicio de sesión de Netlogon permitió una conexión de canal seguro de Netlogon vulnerable porque la cuenta de confianza se permite en el "controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables ".

Advertencia: El uso de canales seguros de Netlogon vulnerables expondrá bosques de Active Directory a los ataques. Para proteger los bosques de Active Directory frente a ataques, todas las confianzas deben usar RPC seguro con un canal seguro de netlogon. Quitar una cuenta de confianza de "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo después de que se haya actualizado el cliente Netlogon de terceros en los controladores de dominio. Para entender mejor el riesgo de configurar cuentas de confianza para permitir el uso de conexiones de canales seguros de Netlogon vulnerables, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

Tipo de cuenta:

Nombre de confianza:

Destino de confianza:

Dirección IP del cliente:

Valor del registro para el modo de cumplimiento

ADVERTENCIA se pueden producir problemas graves si modifica incorrectamente el registro con el editor del registro o con otro método. Es posible que estos problemas requieran que vuelva a instalar el sistema operativo. Microsoft no garantiza que estos problemas se puedan solucionar. Modifique el registro bajo su responsabilidad. 

Las actualizaciones del 11 de agosto de 2020 presentan el siguiente valor del registro para habilitar el modo de aplicación anticipadamente. Se habilitará, independientemente de la configuración del registro en la fase de aplicación que comience el 9 de febrero de 2021: 

Subclave del registro

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor

FullSecureChannelProtection

Tipo de datos

REG_DWORD

Datos

1: habilita el modo de aplicación. DCs deniega conexiones de canales seguros de Netlogon vulnerables, excepto si la cuenta se permite por la lista de creación de conexiones vulnerables en el "Domain Controller: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.  

0: DCs permite conexiones de canales seguros de Netlogon vulnerables de dispositivos que no son Windows. Esta opción estará en desuso en la versión de la fase de aplicación.

¿Es necesario reiniciar?

No

 

Dispositivos de terceros que implementan [MS-NRPC]: Protocolo remoto Netlogon

Todos los clientes o servidores de terceros deben usar RPC seguro con el canal seguro de netlogon. Para determinar si el software es compatible con el protocolo de Netlogon remoto más reciente, póngase en contacto con el fabricante del dispositivo (OEM) o con los proveedores de software. 

Las actualizaciones de protocolo se pueden encontrar en el sitio de la documentación de protocolos de Windows

Preguntas más frecuentes (p + f)

  • Windows & dispositivos de terceros Unidos a un dominio que tienen cuentas de equipo en Active Directory (AD).

  • Windows Server & controladores de dominio de terceros en los que confía & dominios que tienen cuentas de confianza en AD

Los dispositivos de terceros podrían no ser compatibles. Si su solución de terceros tiene una cuenta de equipo en AD, póngase en contacto con el proveedor para determinar si se ve afectado.

Los retrasos en la replicación de AD y SYSVOL o de las aplicaciones de la Directiva de grupo en el DC de autenticación podrían causar cambios en la Directiva de grupo "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "está ausente la Directiva de grupo y dará lugar a la denegación de la cuenta. 

Los pasos siguientes pueden ayudarle a solucionar el problema:

De forma predeterminada, las versiones de Windows compatibles que se han actualizado completamente no deben usar conexiones de canal seguro de Netlogon vulnerables. Si se graba un identificador de evento 5827 en el registro de eventos del sistema para un dispositivo Windows:

  1. Confirme que el dispositivo ejecuta una versión compatible de Windows.

  2. Asegúrese de que el dispositivo se ha actualizado completamente desde Windows Update.

  3. Asegúrese de que miembro del dominio: Cifrar o firmar datos de canal seguro digitalmente (siempre) se configura como habilitado en un GPO vinculado a la uo para todos los DC, como el GPO predeterminado de controladores de dominio.

Sí, deben actualizarse, pero no son específicamente vulnerables a CVE-2020-1472.

No, los DC son el único rol afectado por CVE-2020-1472 y se pueden actualizar independientemente de los servidores Windows y otros dispositivos Windows que no sean DC.

El Service Pack 2 de Windows 2008 Server no se ve afectado por este CVE específico, ya que no usa AES para las RPC seguras.

Sí, necesitará una actualización de seguridad ampliada (ESU) para instalar las actualizaciones de la dirección CVE-2020-1472 para Windows Server 2008 R2 SP1.

Al implementar las actualizaciones del 11 de agosto de 2020 o posteriores en todos los controladores de dominio de su entorno.

Asegúrese de que ninguno de los dispositivos agregados al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "la Directiva de grupo tiene servicios de privilegios de administración empresarial o de administrador de dominio, como SCCM o Microsoft Exchange.  Nota Todos los dispositivos de la lista de permitidos podrán usar conexiones vulnerables y podrían exponer su entorno al ataque.

Instalar las actualizaciones publicadas el 11 de agosto de 2020 o posterior en los controladores de dominio protege las cuentas de equipo basadas en Windows, las cuentas de confianza y las cuentas de controlador de dominio. 

Las cuentas de equipo de Active Directory para dispositivos de terceros Unidos a un dominio no se protegen hasta que se implemente el modo de aplicación. Las cuentas de equipo tampoco se protegen si se agregan al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Asegúrese de que todos los controladores de dominio de su entorno han instalado las actualizaciones del 11 de agosto de 2020 o posteriores.

Las identidades de los dispositivos que se han agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "la Directiva de grupo será vulnerable a los ataques.   

Asegúrese de que todos los controladores de dominio de su entorno han instalado las actualizaciones del 11 de agosto de 2020 o posteriores. 

Habilite el modo de aplicación para denegar conexiones vulnerables de las que no cumplan las identidades de dispositivos de terceros.

Nota Con el modo de cumplimiento activado, las identidades de dispositivo de terceros que se han agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "la Directiva de grupo seguirá siendo vulnerable y podría permitir que un atacante obtenga acceso no autorizado a su red o dispositivos.

El modo de aplicación indica a los controladores de dominio que no permiten conexiones Netlogon desde dispositivos que no usen RPC seguros, a menos que se hayan agregado estas cuentas de dispositivo a "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Para obtener más información, vea la sección valor del registro para el modo de aplicación .

Solo se deben agregar a la Directiva de grupo las cuentas de equipo de los dispositivos que no se pueden proteger al habilitar RPC seguro en el canal seguro de netlogon. Se recomienda que estos dispositivos sean compatibles o reemplazarlos para proteger el entorno.

Un atacante puede asumir la identidad de un equipo de Active Directory de cualquier cuenta de equipo agregada a la Directiva de grupo y, posteriormente, usar los permisos que la identidad de equipo tiene.

Si tiene un dispositivo de terceros que no es compatible con RPC seguro para el canal seguro de netlogon y desea habilitar el modo de cumplimiento, debe agregar la cuenta de equipo del dispositivo a la Directiva de grupo. Esto no se recomienda y dejaría el dominio en un estado potencialmente vulnerable.  Se recomienda usar la Directiva de grupo para tener tiempo para actualizar o reemplazar todos los dispositivos de terceros y que sean compatibles.

Se debe habilitar el modo de aplicación tan pronto como sea posible. Se debe solucionar todos los dispositivos de terceros para que sean compatibles o bien puede agregarlos a "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo. Nota Todos los dispositivos de la lista de permitidos podrán usar conexiones vulnerables y podrían exponer su entorno al ataque.

 

Glosario

Vigencia

Definiciones

CLASIFICADO

Active Directory

CONTINUA

Controlador de dominio

Modo de aplicación

La clave del registro que le permite habilitar el modo de aplicación por adelantado el 9 de febrero de 2021.

Fase de exigencia

Fase que comienza con el 9 de febrero de 2021 actualizaciones, donde se habilitará el modo de aplicación en todos los controladores de dominio de Windows, independientemente de la configuración del registro. DCs deniega conexiones vulnerables de todos los dispositivos no compatibles, a menos que se agreguen al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Fase de implementación inicial

La fase comienza con las actualizaciones del 11 de agosto de 2020 y continúa con las actualizaciones más recientes hasta la fase de aplicación.

cuenta de máquina

También se conoce como objeto de equipo o equipo de Active Directory.  Consulte la definición completa en el Glosario MS-NPRC .

MS-NRPC

Protocolo remoto de Microsoft Netlogon

Dispositivo no compatible

Un dispositivo no compatible es aquél que usa una conexión a canales seguros de Netlogon vulnerable.

RODC

Controladores de dominio de solo lectura

Conexiones vulnerables

Las conexiones vulnerables son conexiones de canales seguros de Netlogon que no usan RPC seguras.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?

¿Qué ha afectado a tu experiencia?

¿Algún comentario adicional? (Opcional)

¡Gracias por sus comentarios!

×