Kokkuvõte
Netlogon Remote Protocol (mida nimetatakse ka MS-NRPC) on RPC liides, mida kasutatakse ainult domeeniga ühendatud seadmetes. MS-NRPC sisaldab autentimise meetodit ja meetodit Netlogon turvalise kanali loomiseks. Need värskendused jõustavad määratud Netlogon-i kliendi käitumise turvalise RPC ja Netlogon turvalise kanali abil liige arvutid ja Active Directory (AD) domeenikontrollerid (DC).
See turvavärskendus käsitleb haavatavust, täites turvalist RPC-i, kui kasutati etapiviisilist versiooni "Netlogon haavatavust" CVE-2020-1472 jaotist, mis on välja toodud teemas värskenduste lahendamise ajakava. REKLAAMIde Metsakaitse tagamiseks tuleb kõiki DCs värskendada, kuna need jõustavad turvalise RPC koos Netlogon Secure Channeliga. See hõlmab kirjutuskaitstud domeenikontrollerid (RODC).
Haavatavuse kohta leiate lisateavet teemast CVE-2020-1472.
Toimingu sooritamine
Selleks et kaitsta keskkonda ja ennetada katkestusi, peate tegema järgmist.
Märkus 1. augustil 2020 või uuemas versioonis antud värskenduste installimisel käsitletakse turbega seotud probleeme CVE-2020-1472 Active Directory domeenide ja loodavate ja usaldatud akende puhul. Kolmanda osapoole seadmete turvalisuse täielikuks vähendamiseks peate täitma kõik vajalikud toimingud.
Hoiatus Alates veebruarist 2021 lubatakse täitmise režiimi kõiki Windowsi domeenikontrollerid ja blokeeritakse lubamatud ühendused, mis ei vasta nõuetele. Sel ajal ei saa te jõustamise režiimi keelata.
-
Värskendage oma domeenikontrollerid värskendusega, mis anti välja 11. augustil 2020 või uuemas versioonis.
-
Sündmuste logide jälgimiseks leiate , millised seadmed teevad haavatavaid ühendusi.
-
Aadressid , mis ei vasta nõuetele ja mis teevad haavatavaid ühendusi.
-
Lubage täitmise režiimi CVE – 2020-1472 teie keskkonnas.
Märkus Kui kasutate opsüsteemi Windows Server 2008 R2 hoolduspaketti SP1, on vaja laiendatud TURVAVÄRSKENDUSE (ESÜd) litsentsi, et edukalt installida mis tahes värskendus, mis selle probleemi lahendab. Lisateavet ESÜD-i programmi kohta leiate teemast elutsükli KKK – laiendatud turvavärskendused.
Selles artiklis:
Aadressi Netlogon haavatavuse CVE-2020-1472
Värskendused antakse välja kahel etapil. 11. augustil 2020 ja pärast seda välja antud värskenduste algfaasis või pärast seda, kui värskendusi on antud 9. veebruaril 2021 või pärast seda.
11. august 2020 – algne juurutamise etapp
Esialgse kasutuselevõtu etappi alustatakse värskendustega, mis on välja antud 11. augustil 2020 ja mis jätkub hilisemate värskendustega kuni täitmise etapini. Nende ja uuemate värskendustega muudetakse Netlogon-protokolli, et kaitsta Windowsi seadmeid vaikimisi, logib sisse lubamatu seadme tuvastamise ja lisab võimaluse lubada kaitset kõikidele domeeniga ühendatud seadmetele, millel on selgesõnalised erandid. See versioon:
-
Jõustab opsüsteemi Windowsis seadmetes olevate seadmete jaoks turvalise RPC-kasutuse.
-
Jõustab turvalise RPC-kasutuse usaldavate kontode jaoks.
-
Jõustab turvalise RPC-kasutuse kõigi akende ja mitte-akende DCs jaoks.
-
Sisaldab uue rühma poliitikat, mis lubab lubamatute seadmete kontode (need, mis kasutavad haavatavate Netlogon-i turvaliste kanalite ühendusi). Isegi siis, kui DCs töötab jõustamise režiimis või pärast jõustamise etappi , ei lubata lubatud seadmetel ühendust luua.
-
FullSecureChannelProtection registrivõti, mis võimaldab DC-i jõustamise režiimi kõigile arvuti kontodele (täitmise etapp värskendab DCS DC-i jõustamise režiimi).
-
Sisaldab uusi sündmusi, kui kontod on tagasi lükatud või keelati DC-i jõustamise režiimis (ja jätkub ka täitmise etapis). Selles artiklis selgitatakse konkreetseid sündmuste ID-sid hiljem.
Leevendamine seisneb selles, et installib värskenduse kõigi DCs-ja RODCs, jälgib uute sündmuste seiret ja käsitleb lubamatute Netlogon-i turvaliste kanalite ühendusi kasutavatele nõuetele mittevastavaid seadmeid. Seadmetes, mis ei vasta nõuetele, võib lubada kasutada haavatavaid Netlogon-i turvalise kanali ühendusi. kuid neid tuleks ajakohastada, et toetada turvalist RPC-ga Netlogon-i ja kontot rakendatakse nii kiiresti kui võimalik, et eemaldada rünnak.
9. veebruar 2021 – täitmise etapp
9. veebruaril 2021 Release märgib üleminekut täitmise etapile. DCs viiakse nüüd täitmise režiimile, sõltumata täitmise režiimi registrivõti. See nõuab, et kõik Windowsi ja mitte-Windowsi seadmed kasutaksid turvalist RPC-ga Netlogon Secure Channeli või lubaks konto selgesõnaliselt, lisades erandi lubamatule seadmele. See versioon:
-
Jõustab turvalise RPC-kasutuse opsüsteemidele, mis pole Windowsi-põhistes seadmetes, välja arvatud juhul, kui "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
-
Sündmuse ID 5829 logimine eemaldatakse. Kuna kõik haavatavad ühendused on keelatud, kuvatakse süsteemis sündmuste logi ainult sündmuse ID-d 5827 ja 5828.
Juurutamise suunised – värskenduste juurutamine ja nõuetele vastavuse tagamine
Juurutamise esialgne etapp koosneb järgmistest toimingutest.
-
11. augustil värskendataksekõik metsa DCS.
-
(a) jälgige hoiatusija (b) tegutsege igal üritusel.
-
(a) pärast seda, kui kõik hoiatusteated on lahendatud, saab täieliku kaitse lubada DC täitmise režiimijuurutamise teel. (b) kõik hoiatused peaks olema lahendatud enne 9. veebruari 2021 täitmise etapi värskendust.
1. toiming. VÄRSKENDA
11. august 2020 värskenduste juurutamine
11. augustil juurutatakse kõik metsas kasutatavad domeenikontrollerid (DCs) (sh kirjutuskaitstud domeenikontrollerid (RODCs)). Pärast seda, kui seda värskendust paigatud DCs juurutatakse, on järgmised.
-
Alustage turvaliste RPC-kasutuse jõustamist kõigi Windowsi-põhiste seadmete kontode, usalda kontode ja kõigi DCs.
-
Logi sündmuse ID-d 5827 ja 5828 süsteemi sündmuselogisse, kui ühendused on keelatud.
-
Logi sündmuse ID-d 5830 ja 5831 Systemi sündmuselogisse, kui ühendused on lubatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
-
Logi sündmuse ID 5829 süsteemi sündmuselogisse, kui on lubatud haavatavate Netlogon turvalise kanali ühendus. Need sündmused peaksid olema adresseeritud enne DC-i jõustamise režiimi konfigureerimist või enne täitmise etapi algust 9. veebruaril 2021.
juhis 2a: leidmine
Lubamatute seadmete tuvastamine sündmuse ID 5829 abil
Pärast 11. augustil 2020 värskendusi on rakendatud DCs, sündmusi saab koguda DC sündmuste logisid, et teha kindlaks, millised seadmed teie keskkonnas kasutavad haavatavaid Netlogon turvalise kanali ühendusi (viidatud kui selles artiklis lubamatud seadmed). Sündmuse ID 5829 sündmuste jälgimiseks paigatud DCs. Üritused sisaldavad asjakohast teavet lubamatute seadmete tuvastamiseks.
Sündmuste jälgimiseks saate kasutada saadaval sündmuste jälgimise tarkvara või oma DCs jälgida skripti abil. Näiteks skripti, mida saate oma keskkonnaga kohandada, leiate teemast skriptid, mis aitavad jälgida sündmuse ID-d, mis on seotud Netlogon värskendustega CVE-2020-1472
samm 2b. AADRESS
Sündmuse ID-de 5827 ja 5828-ga toimetulek
Vaikimisi ei tohiks täielikult värskendatud Windowsi toetatud versioonid kasutada haavatavate Netlogon-i turvalise kanali ühendusi. Kui üks neist sündmustest on sisse logitud Windowsi seadmes Systemi sündmuselogisse, tehke järgmist.
-
Veenduge, et seadmes töötaks Windowsi toetatud versioonid.
-
Veenduge, et seade on täielikult värskendatud.
-
Veenduge, et domeeni liige. Digitaalne krüptimine või allkirjastamine turvalise kanali andmed (alati) on seatud lubatud.
Kui mitte-Windowsi seadmed, mis tegutsevad DC-ga, logitakse need sündmused süsteemi sündmuselogisse, kui kasutate haavatavate Netlogon-i turvalise kanali ühendusi. Kui logitakse üks neist sündmustest, tehke järgmist.
-
Soovitatav Seadme tootja (OEM) või tarkvara tarnijaga töötamine turvalise RPC ja Netlogon turvalise kanali toe saamiseks
-
Kui lubamatu DC toetab turvalist RPC-d koos Netlogon Secure Channeliga, lubage turvalise RPC-d DC-s.
-
Kui lubamatu DC ei toeta praegu turvalist RPC-d, toimige seadme tootja (OEM) või tarkvara tarnija juures, et saada värskendus, mis toetab turvalist RPC-d ja Netlogon Secure channelit.
-
Katkestage lubamatu DC-ga.
-
-
Haavatavad Kui lubamatut DC-d ei saa toetada turvalise RPC koos Netlogon Secure Channeliga, enne kui DCs on täitmise režiimis, lisage DC "domeenikontroller" abil. Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika allpool kirjeldatud.
Hoiatus DCs lubamine rühmapoliitika poolt haavatavate ühenduste kasutamine muudab metsa kaitsetuks rünnakute eest. Lõppeesmärk peaks olema selle rühma poliitika kõigi kontode aadress ja eemaldamine.
Sündmuse 5829
Sündmuse ID 5829 genereeritakse juhul, kui algse juurutamise etapis on lubatud haavatavaid ühendusi. Kui DCs on täitmise režiimis, ei saa neid ühendusi keelata. Selliste sündmuste korral Keskenduge seadme nimele, domeenile ja OPSÜSTEEMI versioonidele, mis tuvastatakse lubamatute seadmete tuvastamiseks ja kuidas neid tuleb lahendada.
Lubamatute seadmetega tegelemise viisid.
-
Soovitatav Seadme tootja (OEM) või tarkvara tarnijaga töötamine turvalise RPC ja Netlogon turvalise kanali toe saamiseks.
-
Kui lubamatu seade toetab turvalist RPC-ga Netlogon Secure Channeli, siis lubage seadmes turvaline RPC.
-
Kui lubamatu seade ei toeta praegu turvalist RPC-i Netlogon-i turvalise kanali abil, toimige seadme tootja või tarkvara tarnija juures, et saada värskendus, mis võimaldab lubada turvalist RPC-ga Netlogon-i turvalist kanalit.
-
Katkestage lubamatu seade.
-
-
Haavatavad Kui lubamatu seade ei saa toetada turvalist RPC-ga Netlogon Secure channelit enne, kui DCs on täitmise režiimis, lisage seade "domeenikontroller: Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika allpool kirjeldatud.
Hoiatus Kui lubate seadme kontodel kasutada rühmapoliitika haavatavaid ühendusi, seab need AD kontod ohtu. Lõppeesmärk peaks olema selle rühma poliitika kõigi kontode aadress ja eemaldamine.
Haavatavate ühenduste lubamine kolmanda osapoole seadmetest
Kasutage "domeenikontroller: Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitikat, et lisada lubamatud kontod. Seda tuleks käsitleda üksnes lühiajalise lahendusena, kuni nõuetele mittevastavaid seadmeid käsitletakse eespool kirjeldatud viisil. Märkus Lubamatute ühenduste korral, mis ei vasta nõuetele, võib olla tundmatu Turve ja see peaks olema lubatud ettevaatusega.
-
Loonud turberühma (d) kontode jaoks, millel on lubatud kasutada haavatavate Netlogon-i turvalist kanalit.
-
Avage rühmapoliitika > Windowsi sätted > turvasätted > Kohalikud poliitikad > turbesätted.
-
"domeenikontrolleri otsing: Luba haavatavate Netlogon turvalise kanali ühendused ".
-
Kui administraatorite rühm või mõni rühm, mis pole spetsiaalselt selle rühmapoliitika kasutamiseks loodud, siis eemaldage see.
-
Saate lisada turberühma, mis on mõeldud kasutamiseks selle rühma poliitikaga ja mille puhul on lubatud "luba". Märkus "Keela" luba toimib samamoodi nagu siis, kui kontot ei lisatud, s. t kontode puhul ei lubata haavatavaid Netlogon turvalisi kanaleid.
-
Pärast turberühma (de) lisamist peab rühmapoliitika olema kopeeritud iga DC-ga.
-
Jälgige perioodiliselt sündmusi 5827, 5828 ja 5829, et kindlaks teha, millised kontod kasutavad haavatavaid turvalise kanali ühendusi.
-
Vajaduse korral lisage need arvuti turberühma (de) sse. Head tavad Kasutage rühmapoliitika turberühma ja lisage kontod rühmale, et liikmestaatus oleks kopeeritud tavalise reklaami kopeerimise kaudu. Nii välditakse sagedasti rühmapoliitika värskendusi ja replikatsiooni viivitusi.
Pärast seda, kui kõik lubamatud seadmed on adresseeritud, saate DCs viia täitmise režiimi (vt järgmist jaotist).
Hoiatus DCs saab kasutada haavatavate ühenduste loomiseks rühmapoliitika abil kaitsetuid ühendusi. Trusti kontod on tavaliselt nime saanud usaldusväärse domeeni järgi, näiteks: Domeeni DC-s on Trust koos DC-ga domeenis-b. Ettevõttesiseselt on domeenil asuval DC-Il usaldusväärne konto nimega "Domain-b $", mis tähistab domeeni-b Trust-objekti. Kui DC domeenis – soovib seada metsa ründe ohtu, lubades kaitstud Netlogon-i turvalise kanali ühendusi domeeni-b Trusti kontolt, saab administraator kasutada adgroupmember – identiteeti "turberühma nimi" – liikmed "Domain-b $", et lisada Trusti konto turberühma.
3. juhis: LUBA
Üleminek täitmise režiimile enne veebruari 2021 jõustamise etappi
Pärast seda, kui kõik lubamatud seadmed on adresseeritud, lubades turvalise RPC või lubades haavatavate ühenduste "domeenikontrolleri: Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika, määrake FullSecureChannelProtection registrivõti väärtuseks 1.
Märkus Kui kasutate "domeenikontroller: Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitikaveenduge, et rühmapoliitika oleks kopeeritud ja rakendatud kõigile DCs enne FullSecureChannelProtection registrivõtme seadmist.
FullSecureChannelProtection registrivõtme juurutamisel viiakse DCs täitmise režiimi. See tähendab, et kõik seadmed, mis kasutavad Netlogon Secure Channeli, on järgmised.
-
Kasutage turvalist RPC-i.
-
On lubatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
Hoiatus Kolmanda osapoole kliendid, kes ei toeta Secure RPC-d koos Netlogon-iga Secure Channel Connections, keelatakse, kui on kasutusele võetud DC-i jõustamise režiimi registrivõti, mis võib takistada
toiming 3b: Täitmise etapi
9. veebruaril 2021 värskenduste juurutamine
Värskenduste juurutamine, mis anti välja 9. veebruaril 2021 või uuemas versioonis, lülitab sisse DC täitmise režiimi. DC täitmise režiim on siis, kui kõik Netlogon ühendused on kas nõutavad turvalise RPC või konto on lisatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika. Praegu pole FullSecureChannelProtection registrivõti enam vajalik ja seda enam ei toetata.
"Domeenikontroller: Luba haavatavad Netlogon Secure Channel Connections "rühmapoliitika
Hea tava on rühmapoliitika turberühma kasutamine nii, et liikmestaatust paljundatakse tavalise reklaami kopeerimise kaudu. Nii välditakse sagedasti rühmapoliitika värskendusi ja replikatsiooni viivitusi.
|
Poliitika tee ja määrangu nimi |
Kirjeldus |
|
Poliitika tee: Arvuti konfiguratsioon > Windowsi sätted > turvasätted > Kohalikud poliitikad > turbesätted Kas teil on vaja taaskäivitada? Ei |
Selle turbesätete abil määratletakse, kas domeenikontroller ümbersõit turvalise RPC for Netlogon turvalise kanali ühendusi määratud arvuti kontod. See poliitika tuleks rakendada kõigile metsa domeenikontrollerid, lubades domeeni domeenikontrollerid OU poliitika. Loendis "haavatavate ühenduste loend" (lubatud loend) konfigureerimise korral tehke järgmist.
Hoiatus Selle poliitika lubamisel kuvatakse teie domeeniga liitunud seadmed ja teie Active Directory mets, mis võib neid ohtu seada. Seda poliitikat tuleks värskenduste juurutamisel ajutiste meetmetena kasutada kolmanda osapoole seadmetes. Pärast seda, kui kolmanda osapoole seade värskendatakse turvalise RPC abil Netlogon turvalise kanali abil, tuleks konto eemaldada loendist haavatavate ühenduste loomine. Selleks et paremini mõista, kas kontode konfigureerimine on lubatud haavatavate Netlogon turvalise kanali ühenduste kasutamiseks, külastage https://go.microsoft.com/fwlink/?linkid=2133485. Vaikimisi See poliitika pole konfigureeritud. Ilma masinate või usalduse kontod on selgesõnaliselt vabastada Secure RPC koos Netlogon Secure Channel Connections jõustamine. See poliitika on toetatud Windows Server 2008 R2 hoolduspaketi SP1 ja uuemate versioonide korral. |
Windowsi sündmuselogi tõrked, mis on seotud CVE-2020-1472
Sündmuste kategooriaid on kolm.
1. Ühenduse keelamise korral logitakse sündmused, kuna prooviti haavatavaid Netlogon turvalise kanali ühendust.
-
5827 (masina kontode) tõrge
-
5828 (Trust Accounts) tõrge
2. Ühenduse lubamisel logitud sündmused, kuna konto lisati "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika:
-
5830 (arvuti kontod) hoiatus
-
5831 (Trust Accounts) hoiatus
3. Sündmuste sisselogimine, kui ühendus on lubatud esialgses versioonis, mida ei saa DC-i õiguskaitse režiimiskeelata.
-
5829 (arvuti kontod) hoiatus
Sündmuse ID 5827
Sündmuse ID 5827 logitakse siis, kui keelatud Netlogon turvalise kanali ühendus arvuti kontolt keelatakse.
|
Sündmuselogi |
Süsteem |
|
Sündmuse allikas |
NETLOGON |
|
Sündmuse ID |
5827 |
|
Tase |
Tõrge |
|
Sündmuse sõnumi tekst |
Teenus Netlogon on keelanud kaitsetute Netlogon-i turvalise kanali ühenduse arvuti konto kaudu. Masina SamAccountName: Domeen: Konto tüüp: Machine Operating System: Masinate opsüsteemi järk: Opsüsteemi hoolduspaketi Service Pack: Lisateavet selle kohta, miks see keelati, leiate teemast https://go.microsoft.com/fwlink/?LinkId=2133485. |
Sündmuse ID 5828
Sündmuse ID 5828 logitakse siis, kui kaitstud Netlogon turvalise kanali ühendust ei saa usaldada.
|
Sündmuselogi |
Süsteem |
|
Sündmuse allikas |
NETLOGON |
|
Sündmuse ID |
5828 |
|
Tase |
Tõrge |
|
Sündmuse sõnumi tekst |
Teenus Netlogon keelas kaitstud Netlogon turvalise kanali, kasutades usaldusväärset kontot. Konto tüüp: Trusti nimi: Trusti sihtmärk: Kliendi IP-aadress: Lisateavet selle kohta, miks see keelati, leiate teemast https://go.microsoft.com/fwlink/?LinkId=2133485. |
Sündmuse ID 5829
Sündmuse ID 5829 logitakse ainult esialgse juurutamise etapis, kui seadmes on lubatud haavatavate Netlogon-i turvalise kanali ühendus.
Kui juurutate DC-i jõustamise režiimi või kui jõustamise etapp algab 9. veebruaril 2021 värskenduste juurutamisega, siis need ühendused keelatakse ja logitakse sündmuse ID 5827. See on põhjus, miks on oluline jälgida sündmuse 5829 esialgse juurutamise etapis ja tegutseda enne täitmist, et vältida katkestusi.
|
Sündmuselogi |
Süsteemi |
|
Sündmuse allikas |
NETLOGON |
|
Sündmuse ID |
5829 |
|
Taseme |
Hoiatus |
|
Sündmuse sõnumi tekst |
Teenus Netlogon on lubanud haavatavate Netlogon-i turvalise kanali ühenduse. Hoiatus. See ühendus keelatakse, kui jõustamise etapp on välja antud. Täitmise tagamise etapist paremini aru saamiseks külastage https://go.microsoft.com/fwlink/?LinkId=2133485. Masina SamAccountName: Domeen: Konto laad: Machine Operating System: Masinate opsüsteemi järk: Opsüsteemi hoolduspaketi Service Pack: |
Sündmuse ID 5830
Sündmuse ID 5830 logitakse pärast seda, kui "domeenikontroller on lubatud haavatavate Netlogon turvalise kanali arvuti kontoga". Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
|
Sündmuselogi |
Süsteem |
|
Sündmuse allikas |
NETLOGON |
|
Sündmuse ID |
5830 |
|
Tase |
Hoiatus |
|
Sündmuse sõnumi tekst |
Teenus Netlogon on lubanud haavatavate Netlogon turvalise kanali ühenduse, kuna arvuti konto on lubatud domeeni kontroller: Luba haavatavate Netlogon-i turvalise kanali ühenduste rühmapoliitika. Hoiatus. Haavatavate Netlogon-i turvalise kanali abil saab rünnata domeeniga ühendatud seadmeid. Kui soovite, et teie seade ründaks rünnaku eest, eemaldage arvutist "domeenikontrolleri". Lubage haavatavad Netlogon Secure Channel Connections "rühmapoliitika pärast kolmanda osapoole Netlogon-i klientrakenduse värskendamist. Selleks, et saaksite paremini mõista, et arvuti kontode konfigureerimine on lubatud haavatavate Netlogon turvaliste kanalite ühenduste kasutamiseks, külastage https://go.microsoft.com/fwlink/?LinkId=2133485. Masina SamAccountName: Domeen: Konto tüüp: Machine Operating System: Masinate opsüsteemi järk: Opsüsteemi hoolduspaketi Service Pack: |
Sündmuse ID 5831
Sündmuse ID 5831 logitakse siis, kui haavatavate Netlogon Secure Channel Trusti konto ühenduse lubamiseks on "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
|
Sündmuselogi |
Süsteem |
|
Sündmuse allikas |
NETLOGON |
|
Sündmuse ID |
5831 |
|
Tase |
Hoiatus |
|
Sündmuse sõnumi tekst |
Teenus Netlogon on lubatud haavatavate Netlogon-i turvalise kanali kaudu, sest see on domeenikontrolleri jaoks lubatud. Luba haavatavate Netlogon-i turvalise kanali ühenduste rühmapoliitika. Hoiatus. Haavatavate Netlogon-i turvalise kanali abil saab rünnata Active Directory metsi. Selleks et kaitsta teie Active Directory metsi rünnaku eest, peavad kõik Trust-i kasutamine olema turvalise RPC abil Netlogon Secure Channel. Usalduskeskuse eemaldamine "domeenikontrolleri: Lubage haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika pärast seda, kui domeenikontrollerid on värskendatud kolmanda osapoole Netlogon-i klientrakendust. Kui soovite, et usaldusväärsete kontode konfigureerimise risk oleks lubatud, et saaksite kasutada haavatavaid Netlogon turvalise kanali ühendusi, külastage https://go.microsoft.com/fwlink/?LinkId=2133485. Konto tüüp: Trusti nimi: Trusti sihtmärk: Kliendi IP-aadress: |
Jõustamise režiimi registriväärtus
hoiatus . Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Need probleemid võivad nõuda opsüsteemi uuesti installimist. Microsoft ei taga, et neid probleeme saab lahendada. Muutke registrit omal vastutusel.
11. august 2020 värskendustega on kehtestatud järgmine registri sätted, mis võimaldavad jõustamise režiimi ennetähtaegselt käivitada. See säte on lubatud olenemata sellest, millise registri sätteid jõustamise etapis rakendatakse alates 9. veebruarist 2021:
|
Registri alamvõti |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Väärtus |
FullSecureChannelProtection |
|
Andmetüüp |
REG_DWORD |
|
Andmed |
1 – see võimaldab jõustamise režiimi. DCs keelab haavatavad Netlogon turvalise kanali ühendused, välja arvatud juhul, kui konto on lubatud "domeenikontroller:" Loo haavatavate ühenduste loend. Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika. 0 – DCs lubab kaitstud Netlogon turvalise kanali ühendusi mitte-Windowsi seadmetest. See suvand on aegunud täitmise etapis. |
|
Kas teil on vaja taaskäivitada? |
Ei |
Kolmanda osapoole seadmed, mida rakendatakse [MS-NRPC]: Netlogon Remote Protocol
Kõik kolmanda osapoole kliendid või serverid peavad kasutama turvalist RPC-ga Netlogon Secure channelit. Selleks et teha kindlaks, kas nende tarkvara ühildub uusima Netlogon-protokolliga, pöörduge seadme tootja (OEM) või tarkvara tarnija poole.
Protokolli värskendused leiate Windows Protocoli dokumentatsiooni veebisaidilt.
Korduma kippuvad küsimused (KKK)
-
Windows & kolmanda osapoole domeeniga liitunud seadmed, millel on arvutis Active Directory (AD) kontod
-
Windows Server & kolmanda osapoole domeenikontrollerid Usaldusväärsetes & usaldavad domeenid, millel on AD usaldusväärsed kontod.
Kolmanda osapoole seadmed võivad olla lubamatud. Kui teie kolmanda osapoole lahendus säilitab AD-i konto, pöörduge tarnija poole, et teha kindlaks, kas teil on mõju.
REKLAAMI ja Sysvol replikatsiooni viivitused või rühmapoliitika rakenduse tõrked autenditud DC-s võivad põhjustada rühmapoliitika "domeenikontrolleri: Lubage haavatavate Netlogon-i turvalise kanali ühendused "rühmapoliitika puudub ja see võib põhjustada konto keelamise.
Järgmised juhised võivad aidata probleemi tõrkeotsinguks.
-
Kui olete konfigureerinud poliitika nii, et see sisaldaks rühma ja tegi rühma liikmeks muudatused, veenduge, et ühendusele keelanud DC on kopeeritud rühma Liikmestaatuse muudatused kohalikus järjestuses. Märkus Kontosid ei soovitata lisada otse rühma poliitikasse.
-
Kui tegite poliitikas muudatusi ja lisasite uue konto või uue rühma, kontrollige, kas poliitika muutmine on kopeeritud ja rakendatud. Käskude käivitamine gpupdate gpupdate ja Gpresult/h
-
Rühmapoliitika rakenduse ja sõltuva seotud komponentide tõrkeotsingu kohta leiate lisateavet järgmistest teemadest.
Vaikimisi ei tohiks täielikult värskendatud Windowsi toetatud versioonid kasutada haavatavate Netlogon-i turvalise kanali ühendusi. Kui sündmuse ID 5827 logitakse Windowsi seadmes Systemi sündmuselogisse:
-
Veenduge, et seadmes töötaks Windowsi toetatud versioonid.
-
Veenduge, et seade on Windows Update ' i kaudu täielikult värskendatud.
-
Veenduge, et domeeni liige. Digitaalselt krüptida või allkirjastada turvalise kanali andmed (alati) on lubatud GPO-ga, mis on lingitud teie DCs (nt vaike-domeenikontrollerid).
Jah, need peaksid olema värskendatud, kuid need pole CVE-2020-1472konkreetselt haavatavad.
Ei, DCs on ainus roll, mida mõjutab CVE-2020-1472 ja mida saab värskendada mujalt kui DC-i akendest ja muudest Windowsi seadmetest.
Windows Server 2008 SP2 pole selles konkreetses CVE haavatavad, kuna see ei kasuta turvaliste RPC-i jaoks AES-i.
Jah, teil läheb vaja laiendatud turvavärskenduse (ESÜd) , et installida värskendused aadressile CVE-2020-1472 Windows Server 2008 R2 hoolduspaketi SP1 jaoks.
Kui juurutate 11. augustil 2020 või uuemates versioonides värskendusi kõigile teie keskkonna domeenikontrollerid.
Veenduge, et "domeenikontroller" poleks lisatud ühtegi seadet. Lubage haavatavate Netlogon-i turvalise kanali ühendused "rühmapoliitika omama ettevõtte administraatori või domeeni-administraatori õiguste teenuseid (nt SCCM või Microsoft Exchange). Märkus Mis tahes loendis luba olev seade saab kasutada haavatavaid ühendusi ja võib teie keskkonna rünnata.
Värskenduste installimine, mis anti välja 11. augustil 2020 või uuemas versioonis.
Muude tootjate seadmetega liidetud domeeni Active Directory ' i kontod pole kaitstud enne, kui jõustamise režiim on juurutatud. Samuti pole arvuti kontod kaitstud, kui need lisatakse "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
Veenduge, et kõik teie keskkonna domeenikontrollerid on installinud 11. augustil 2020 või uuemate värskendustega.
Mis tahes seadme identiteet, mis on lisatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika on rünnakule haavatavad.
Veenduge, et kõik teie keskkonna domeenikontrollerid on installinud 11. augustil 2020 või uuemate värskendustega.
Lubage jõustamise režiimi lubamatute ühenduste keelamine kolmanda osapoole seadmete identiteedi korral.
Märkus Kui täitmise režiim on lubatud, siis mis tahes kolmanda osapoole seadme identiteeti, mis on lisatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika on endiselt haavatavad ja võib lubada ründaja volitamata juurdepääsu teie võrgule või seadmetele.
Täitmise režiim ütleb, et domeenikontrollerid ei luba Netlogon ühendusi seadmetest, mis ei kasuta turvalist RPC-ühendust, välja arvatud juhul, kui need seadme konto on lisatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika.
Lisateavet leiate jaotisest täitmise režiimi registriväärtus .
Rühmapoliitika tuleks lisada ainult need seadmed, mis on mõeldud seadmetele, mida ei saa turvaliseks muuta turvalise RPC lubamisel Netlogon Secure Channelis. Soovitatav on need seadmed teie keskkonna kaitsmiseks muuta nõuetele vastavaks või asendada need.
Ründaja saab üle võtta Active Directory masin isik mis tahes arvuti konto, mis on lisatud rühmapoliitika ja seejärel võimendada mis tahes õigusi, mis on teie seadme identiteeti.
Kui teil on kolmanda osapoole seade, mis ei toeta turvalist RPC-IT Netlogon-i turvalise kanali jaoks ja soovite jõustamise režiimi lubada, peaksite selle seadme jaoks lisama ka selle rühma poliitika. See pole soovitatav ja võib teie domeeni potentsiaalselt kaitsetusse olekusse jätta. Soovitatav on seda rühma poliitikat kasutada selleks, et aeg-ajalt värskendada või asendada kolmanda osapoole seadmed, et need vastaksid nõuetele.
Jõustamise režiim tuleks lubada nii kiiresti kui võimalik. Mis tahes kolmanda osapoole seade peab olema adresseeritud nii, et see vastaks neile või lisades need "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika. Märkus Mis tahes loendis luba olev seade saab kasutada haavatavaid ühendusi ja võib teie keskkonna rünnata.
Sõnastik
|
Terminikomplekti |
Definition |
|
AD |
Active Directory |
|
DC |
Domeenikontroller |
|
Registrivõti, mis võimaldab teil lubada täitmise režiimi juba 9. veebruaril 2021. |
|
|
Etapp alates 9. veebruarist 2021 värskendustest, kus jõustamise režiim on lubatud kõigis Windowsi domeenikontrollerid olenemata registri sättest. DCs keelab haavatavad ühendused kõigist lubamatutest seadmetest, välja arvatud juhul, kui need on lisatud "domeenikontroller: Luba haavatavate Netlogon turvalise kanali ühendused "rühmapoliitika. |
|
|
Etapp alates 11. august 2020 värskendab ja jätkab hilisemate värskendustega kuni täitmiseni. |
|
|
arvuti konto |
Seda nimetatakse ka Active Directory arvuti või arvuti objektiks. Täieliku definitsiooni leiate MS-NPRC sõnastikust . |
|
Microsoft Netlogon Remote ProtoCol |
|
|
Lubamatu seade |
Lubamatu seade on üks, mis kasutab kaitsetut Netlogon turvalise kanali ühendust. |
|
RODC |
kirjutuskaitstud domeenikontrollerid |
|
Haavatavaid ühendusi |
Haavatavaid ühendusi on Netlogon turvalise kanali ühendus, mis ei kasuta turvalist RPC-i. |
