Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472

Se aplica: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions

Nota Si usa Windows Server 2008 R2 SP1, necesita una licencia de actualización de seguridad ampliada (ESU) para instalar correctamente cualquier actualización que se ocupa de este problema. Para obtener más información sobre el programa ESU, consulte las preguntas más frecuentes del ciclo de vida: actualizaciones de seguridad ampliadas.

Resumen


El protocolo remoto de Netlogon (también llamado MS-NRPC) es una interfaz RPC que se usa exclusivamente por dispositivos Unidos a un dominio. MS-NRPC incluye un método de autenticación y un método para establecer un canal seguro de netlogon. Estas actualizaciones exigen el comportamiento específico del cliente Netlogon para usar RPC seguro con canal seguro de Netlogon entre equipos miembros y controladores de dominio (DC) de Active Directory (AD).

Esta actualización de seguridad corrige la vulnerabilidad al aplicar la RPC segura cuando se usa el canal seguro de Netlogon en una versión escalonada que se explica en la sección actualizaciones. Para proporcionar protección de bosques de AD, todos los DC de deben ser actualizados ya que aplicarán RPC seguros con canal seguro de netlogon. Esto incluye controladores de dominio de solo lectura (RODC).

Para obtener más información sobre la vulnerabilidad, consulte CVE-2020-1472.

 

Glosario


Vigencia Definiciones
CLASIFICADO Active Directory
CONTINUA Controlador de dominio
Modo de aplicación La clave del registro que le permite habilitar el modo de aplicación por adelantado el 9 de febrero de 2021.
Fase de exigencia Fase que comienza con el 9 de febrero de 2021 actualizaciones, donde se habilitará el modo de aplicación en todos los controladores de dominio de Windows, independientemente de la configuración del registro. DCs deniega conexiones vulnerables de todos los dispositivos no compatibles, a menos que se agreguen al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo. 
Fase de implementación inicial La fase comienza con las actualizaciones del 11 de agosto de 2020 y continúa con las actualizaciones más recientes hasta la fase de aplicación.
cuenta de máquina También se conoce como objeto de equipo o equipo de Active Directory.  Consulte la definición completa en el Glosario MS-NPRC .
MS-NRPC Protocolo remoto de Microsoft Netlogon
Dispositivo no compatible Un dispositivo no compatible es aquél que usa una conexión a canales seguros de Netlogon vulnerable.
RODC Controladores de dominio de solo lectura
Conexiones vulnerables Las conexiones vulnerables son conexiones de canales seguros de Netlogon que no usan RPC seguras.

Actualizaciones


Las actualizaciones se publican en dos fases: la fase inicial de las actualizaciones publicadas el 11 de agosto de 2020 y la fase de exigencia para las actualizaciones publicadas el 9 de febrero de 2021 o después.

11 de agosto de 2020-fase de implementación inicial

La fase de implementación inicial comienza con las actualizaciones publicadas el 11 de agosto de 2020 y continúa con las actualizaciones más recientes hasta la fase de aplicación. Estas y actualizaciones más recientes hacen que los cambios en el protocolo Netlogon protejan los dispositivos Windows de manera predeterminada, registra eventos para detectar el dispositivo no compatible y agrega la posibilidad de habilitar la protección de todos los dispositivos Unidos a un dominio con excepciones explícitas. Esta versión:

  • Exige el uso de RPC seguro para cuentas de equipo en dispositivos basados en Windows.
  • Exige el uso de RPC seguro para cuentas de confianza.
  • Exige el uso de RPC seguro para todos los DC de Windows y los que no son de Windows.
  • Incluye una nueva Directiva de grupo para permitir cuentas de dispositivo no compatibles (las que usan conexiones de canales seguros de Netlogon vulnerables). Incluso si los DC se ejecutan en el modo de aplicación o después de que se inicie la fase de aplicación , no se rechazará la conexión a los dispositivos permitidos.
  • FullSecureChannelProtection clave del registro para habilitar el modo de aplicación de DC para todas las cuentas de equipo (la fase de cumplimiento actualizará los DC al modo de aplicaciónde DC).

  • En se incluyen nuevos eventos cuando las cuentas se deniegan o se deniegan en el modo de cumplimiento de DC (y seguirán en la fase de aplicación). Más adelante en este artículo se explican los ID. de evento específicos.

La mitigación consiste en instalar la actualización de todos los DC y RODC, supervisar los nuevos eventos y dirigirse a los dispositivos no compatibles que usan conexiones de canal seguro de Netlogon vulnerables. Las cuentas de equipo en dispositivos no compatibles pueden usar conexiones de canales seguros de Netlogon vulnerables. sin embargo, deben actualizarse para ser compatibles con RPC seguro para netlogon y la cuenta se aplica tan pronto como sea posible para eliminar el riesgo de ataque.

9 de febrero de 2021-fase de exigencia

La versión del 9 de febrero de 2021 marca la transición en la fase de exigencia. El DCs estará ahora en el modo de aplicación independientemente de la clave del registro en el modo de aplicación. Para ello, es necesario que todos los dispositivos Windows y los que no sean Windows usen un RPC seguro con un canal seguro de Netlogon o permitir explícitamente la cuenta al agregar una excepción al dispositivo no compatible. Esta versión:

Instrucciones de implementación


La fase de implementación inicial se compone de los pasos siguientes:

  1. Implementación de la undécimo actualización de la versión de agosto en todos los DC del bosque.
  2. (a) supervisar eventos de advertencia y (b) actuar en cada evento.
  3. (a) una vez que se hayan corregido todos los eventos de advertencia, se puede habilitar la protección completa al implementar el modo de aplicaciónde DC. (b) todas las advertencias deben resolverse antes de la actualización de la fase de aplicación del 9 de febrero de 2021.

paso 1: ACTUALIZACIÓN

Implementar las actualizaciones del 11 de agosto de 2020

Implemente la undécimo actualización de las 11 de agosto para todos los controladores de dominio (DC) aplicables en el bosque, incluido el controlador de dominio de solo lectura (RODC). Después de implementar esta actualización, los DC revisados tendrán:

  • Comience a exigir el uso de RPC seguro para todas las cuentas de dispositivo basadas en Windows, las cuentas de confianza y todos los DC.
  • Registre los ID. de evento 5827 y 5828 en el registro de eventos del sistema si se deniegan las conexiones.
  • Registre los ID. de evento 5830 y 5831 en el registro de eventos del sistema si se permiten las conexiones en "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.
  • Registre el ID. de evento 5829 en el registro de eventos del sistema siempre que se permita una conexión de canal seguro de Netlogon vulnerable. Estos sucesos deben solucionarse antes de que se configure el modo de aplicación de DC o antes de que comience la fase de aplicación el 9 de febrero de 2021.

 

paso 2a: BUSCAR

Detección de dispositivos no compatibles con el ID. de evento 5829

Después del 11 de agosto de 2020 se han aplicado actualizaciones a los DC, se pueden recopilar eventos en los registros de eventos de DC para determinar qué dispositivos de su entorno usan conexiones de canal seguro de Netlogon vulnerables (denominadas "dispositivos no compatibles" en este artículo). Supervisar DCs con parches para eventos con ID. 5829. Los eventos incluirán información relevante para identificar los dispositivos no compatibles.

Para supervisar sucesos, utilice el software de supervisión de sucesos disponible o el uso de un script para supervisar los DC.  Para obtener un script de ejemplo que se puede adaptar al entorno, vea script para ayudar a la supervisión de identificadores de eventos relacionados con las actualizaciones de Netlogon para CVE-2020-1472

Step 2B: Dirección

Direccionar los ID. de evento 5827 y 5828

De forma predeterminada, las versiones de Windows compatibles que se han actualizado completamente no deben usar conexiones de canal seguro de Netlogon vulnerables. Si se graba uno de estos eventos en el registro de eventos del sistema para un dispositivo Windows:

  1. Confirme que el dispositivo ejecuta una versión compatible de Windows.
  2. Asegúrese de que el dispositivo está totalmente actualizado.
  3. Asegúrese de que miembro del dominio: Cifrar o firmar digitalmente datos de un canal seguro (siempre) se establece en habilitado.

En el caso de los dispositivos que no sean Windows y que actúan como DC, estos sucesos se registran en el registro de eventos del sistema cuando se usan conexiones de canales seguros de Netlogon vulnerables. Si se registra uno de estos sucesos:

  • Recomendable Colaborar con el fabricante del dispositivo (OEM) o con el proveedor de software para recibir soporte técnico para RPC seguro con canal seguro de Netlogon
    1. Si el DC no compatible es compatible con RPC seguro con canal seguro de Netlogon, habilite Secure RPC en el DC.
    2. Si el DC no compatible no es compatible actualmente con RPC seguro, trabaje con el fabricante del dispositivo (OEM) o con el proveedor de software para obtener una actualización que sea compatible con RPC seguro con canal seguro de netlogon.
    3. Retiramos el DC no compatible.
  • Vulnerables Si un DC no compatible no es compatible con un canal seguro de Netlogon antes de que los DC estén en modo de ejecución, agregue el DC con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " la Directiva de grupo que se describe a continuación.

 

Evento de direccionamiento 5829

El ID. de evento 5829 se genera cuando se permiten conexiones vulnerables durante la fase de implementación inicial. Se denegarán estas conexiones cuando los DC estén en modo de aplicación. En estos sucesos, céntrese en el nombre del equipo, en el dominio y en las versiones del sistema operativo, determinadas para determinar los dispositivos no compatibles y cómo se deben tratar.

Las formas de afrontar los dispositivos no compatibles:

  • Recomendable Trabaje con el fabricante del dispositivo (OEM) o con el proveedor de software para obtener soporte técnico para RPC seguro con canal seguro de Netlogon:
    1. Si el dispositivo no compatible es compatible con un canal seguro de inicio de sesión seguros, habilite Secure RPC en el dispositivo.
    2. Si el dispositivo no compatible no es compatible actualmente con el canal seguro de Netlogon, trabaje con el fabricante del dispositivo o con el proveedor de software para obtener una actualización que permita que la RPC segura con un canal seguro de Netlogon esté habilitada.
    3. Retirará el dispositivo no compatible.
  • Vulnerables Si un dispositivo no compatible no es compatible con un canal seguro de Netlogon antes de que los DC estén en modo de ejecución, agregue el dispositivo con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " la Directiva de grupo que se describe a continuación.

 

Permitir conexiones vulnerables de dispositivos de terceros

Use el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables " Directiva de grupo para agregar cuentas no compatibles. Esto solo debería considerarse como un remedio a corto plazo hasta que se trate de un dispositivo no compatible como el descrito anteriormente. Nota Permitir conexiones vulnerables de dispositivos no compatibles puede tener una repercusión en la seguridad desconocida y debería permitirse con precaución.

  1. Se crearon un grupo de seguridad para cuentas que podrán usar un canal seguro de Netlogon vulnerable.
  2. En Directiva de grupo, vaya a configuración del equipo > configuración de Windows > configuración de seguridad > directiva local > las opciones de seguridad
  3. Buscar "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables ".
  4. Si el grupo administrador o si hay algún grupo que no se haya creado específicamente para usarlo en esta directiva de grupo, quítelo.
  5. Agregue un grupo de seguridad específicamente diseñado para usarlo con esta directiva de grupo en el descriptor de seguridad con el permiso "permitir". Nota El permiso de "denegación" tiene el mismo aspecto que si no se hubiera agregado la cuenta, es decir, las cuentas no podrán establecer canales seguros de Netlogon vulnerables.
  6. Una vez que se agregan los grupos de seguridad, la Directiva de grupo debe replicarse en cada DC.
  7. Supervisa periódicamente los eventos 5827, 5828 y 5829 para determinar qué cuentas usan conexiones de canal seguro vulnerables.
  8. Agregue esas cuentas de equipo al grupo o grupos de seguridad según sea necesario. Procedimiento recomendado Use grupos de seguridad en la Directiva de grupo y agregue cuentas al grupo para que la pertenencia se replique mediante la replicación de AD normal. Esto evita las frecuentes actualizaciones de directivas de grupo y retrasos de replicación.

Una vez que se hayan resuelto todos los dispositivos no compatibles, puede mover los DC al modo de cumplimiento (consulte la sección siguiente).

 

paso 3A: HABILITAR

Pasar al modo de aplicación con antelación a la fase de aplicación 2021 de febrero

Después de que se hayan resuelto todos los dispositivos no compatibles, habilite RPC seguro o al permitir conexiones vulnerables con el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo, configure la clave del registro FullSecureChannelProtection en 1.

Nota Si usa el "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo, asegúrese de que la Directiva de grupo se ha replicado y se ha aplicado a todos los DC antes de establecer la clave del registro FullSecureChannelProtection.

Cuando la clave del registro FullSecureChannelProtection está implementada, DCs estará en modo de aplicación. Esta configuración requiere que todos los dispositivos que utilicen un canal seguro de Netlogon:

 

Paso 3B:

Implementar el 9 de febrero de 2021 actualizaciones

La implementación de las actualizaciones publicadas en el 9 de febrero de 2021 o posterior se activará en el modo de aplicaciónde DC. El modo de aplicación de DC es cuando se requiere que todas las conexiones Netlogon usen RPC seguro o se debe haber agregado la cuenta al "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo. En este momento, la clave del registro FullSecureChannelProtection ya no es necesaria y ya no será compatible.

"Controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo


Se recomienda usar grupos de seguridad en la Directiva de grupo para que la pertenencia se replique por medio de la replicación de AD normal. Esto evita las frecuentes actualizaciones de directivas de grupo y retrasos de replicación.

La ruta de acceso de la Directiva y el nombre de configuración Descripción

Ruta de acceso de directiva: La configuración del equipo > la configuración de Windows > la configuración de seguridad > las opciones de seguridad

Nombre de configuración: controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables

¿Es necesario reiniciar? No

Esta configuración de seguridad determina si el controlador de dominio omite RPC seguras para las conexiones de canal seguro de Netlogon para las cuentas de equipo especificadas.

Esta Directiva debe aplicarse en todos los controladores de dominio de un bosque al habilitar la Directiva en la uo controladores de dominio.

Cuando la lista crear conexiones vulnerables (lista permitir) está configurada:

  • Permitir El controlador de dominio permite que el grupo/cuentas especificadas usen un canal seguro de Netlogon sin Secure RPC.
  • Negación Esta configuración es la misma que la predeterminada. El controlador de dominio necesitará que el grupo/cuentas especificadas usen un canal seguro de Netlogon con un RPC seguro.

Warning La habilitación de esta directiva expondrá los dispositivos Unidos a un dominio y el bosque de Active Directory, lo que les pondría en peligro. Esta Directiva se debe usar como medida temporal para dispositivos de terceros al implementar las actualizaciones. Una vez que se actualiza un dispositivo de terceros para admitir el uso de canales seguros seguros con un canal seguro de Netlogon, la cuenta debe quitarse de la lista crear conexiones vulnerables. Para entender mejor el riesgo de configurar cuentas para que se les permita usar conexiones de canales seguros de Netlogon vulnerables, visite https://go.microsoft.com/fwlink/?linkid=2133485.

Opción Esta Directiva no se configura. Las cuentas de equipo o confianza no están explícitamente exentas de RPC seguras con la aplicación de conexiones de canal seguro de netlogon.

Esta directiva es compatible con Windows Server 2008 R2 SP1 y versiones posteriores.

Errores del registro de eventos de Windows


Existen tres categorías de eventos:

1. Eventos registrados cuando se denegó una conexión porque se intentó una conexión de canal seguro Netlogon vulnerable:

  • Error 5827 (cuentas de equipo)

  • Error 5828 (cuentas de confianza)

2. Eventos registrados cuando se permite una conexión porque la cuenta se ha agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de Grupo:

  • 5830 (cuentas de equipo) ADVERTENCIA

  • ADVERTENCIA 5831 (cuentas de confianza)

3. Eventos que se registran cuando se permite una conexión en la versión inicial, que se rechazará en el modo de aplicaciónde DC:

  • 5829 (cuentas de equipo) ADVERTENCIA

ID. de evento 5827

El ID. de evento 5827 se registrará cuando se deniegue una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5827

Nivel

Error

Texto del mensaje del evento

El servicio de net Logon denegó una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

SamAccountName de equipo:

Dominio:

Tipo de cuenta:

Sistema operativo de equipo:

Compilación de sistema operativo de equipo:

Paquete de servicio de sistema operativo de equipo:

Para obtener más información sobre por qué se denegó esto, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID. de evento 5828

El ID. de evento 5828 se registrará cuando se deniegue una conexión de canal seguro de Netlogon vulnerable de una cuenta de confianza.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5828

Nivel

Error

Texto del mensaje del evento

El servicio NetLogon denegó una conexión de canal seguro de Netlogon vulnerable con una cuenta de confianza.

Tipo de cuenta:

Nombre de confianza:

Destino de confianza:

Dirección IP del cliente:

Para obtener más información sobre por qué se denegó esto, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID. de evento 5829

El ID. de evento 5829 solo se registra durante la fase de implementación inicial, cuando se permite una conexión de canal seguro de Netlogon vulnerable de una cuenta de equipo.

Cuando se implementa el modo de aplicación por CC o cuando la fase de la aplicación comienza con la implementación de las actualizaciones del 9 de febrero de 2021, estas conexiones se deniegan y se registra el ID. de evento 5827. Este es el motivo por el que es importante supervisar el evento 5829 durante la fase de implementación inicial y Act antes de la fase de aplicación para evitar interrupciones.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5829

Distribuye

Previo

Texto del mensaje del evento

El servicio NetLogon permitió una conexión de canal seguro de Netlogon vulnerable.  

Advertencia: Se rechazará esta conexión cuando se publique la fase de aplicación. Para entender mejor la fase de exigencia, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.  

SamAccountName de equipo:  

Dominio:  

Tipo de cuenta:  

Sistema operativo de equipo:  

Compilación de sistema operativo de equipo:  

Paquete de servicio de sistema operativo de equipo:  

ID. de evento 5830

El ID. de evento 5830 se registra cuando se permite la conexión a una cuenta de equipo de canal seguro de Netlogon vulnerable por "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5830

Nivel

Advertencia

Texto del mensaje del evento

El servicio de inicio de sesión de Netlogon permitió una conexión de canal seguro de Netlogon vulnerable porque la cuenta de equipo se permite en el "controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables ".

Advertencia: El uso de canales seguros de Netlogon vulnerables expondrá los dispositivos que se unan a un dominio a los ataques. Para proteger el dispositivo frente a ataques, quite una cuenta de equipo de "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo después de que se haya actualizado el cliente Netlogon de terceros. Para entender mejor el riesgo de configurar cuentas de equipo para que se les permita usar conexiones de canal seguro de Netlogon vulnerables, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

SamAccountName de equipo:

Dominio:

Tipo de cuenta:

Sistema operativo de equipo:

Compilación de sistema operativo de equipo:

Paquete de servicio de sistema operativo de equipo:

 

ID. de evento 5831

El ID. de evento 5831 se registra cuando se permite la conexión a una cuenta de confianza de canal seguro de Netlogon vulnerable por "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.

Registro de eventos

Sistema

Origen del evento

DICHO

ID. de evento

5831

Nivel

Advertencia

Texto del mensaje del evento

El servicio de inicio de sesión de Netlogon permitió una conexión de canal seguro de Netlogon vulnerable porque la cuenta de confianza se permite en el "controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables ".

Advertencia: El uso de canales seguros de Netlogon vulnerables expondrá bosques de Active Directory a los ataques. Para proteger los bosques de Active Directory frente a ataques, todas las confianzas deben usar RPC seguro con un canal seguro de netlogon. Quitar una cuenta de confianza de "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "Directiva de grupo después de que se haya actualizado el cliente Netlogon de terceros en los controladores de dominio. Para entender mejor el riesgo de configurar cuentas de confianza para permitir el uso de conexiones de canales seguros de Netlogon vulnerables, visite https://go.Microsoft.com/fwlink/?LinkId=2133485.

Tipo de cuenta:

Nombre de confianza:

Destino de confianza:

Dirección IP del cliente:

Valor del registro para el modo de cumplimiento


Las actualizaciones del 11 de agosto de 2020 presentan el siguiente valor del registro para habilitar el modo de aplicación anticipadamente. Se habilitará, independientemente de la configuración del registro en la fase de aplicación que comience el 9 de febrero de 2021: 

Subclave del registro HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor FullSecureChannelProtection
Tipo de datos REG_DWORD
Datos

1: habilita el modo de aplicación. DCs deniega conexiones de canales seguros de Netlogon vulnerables, excepto si la cuenta se permite por la lista de creación de conexiones vulnerables en el "Domain Controller: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de grupo.  

0: DCs permite conexiones de canales seguros de Netlogon vulnerables de dispositivos que no son Windows. Esta opción estará en desuso en la versión de la fase de aplicación.

¿Es necesario reiniciar? No

 

Dispositivos de terceros que implementan [MS-NRPC]: Protocolo remoto Netlogon


Todos los clientes o servidores de terceros deben usar RPC seguro con el canal seguro de netlogon. Para determinar si el software es compatible con el protocolo de Netlogon remoto más reciente, póngase en contacto con el fabricante del dispositivo (OEM) o con los proveedores de software. 

Las actualizaciones de protocolo se pueden encontrar en el sitio de la documentación de protocolos de Windows