Avaldamise algne kuupäev: 13. august 2025
KB ID: 5066014
Selles artiklis kirjeldatakse järgmist.
Kokkuvõte
CVE-2025-49716 lahendab teenuse keelamise nõrkuse, mille korral kaugautentimata kasutajad võivad teha hulga Netlogoni-põhiseid kaugprotseduurikutseid (RPC), mis lõpuks tarbivad kogu mälu domeenikontrolleris (DC). Selle nõrkuse leevendamiseks tehti 2025. aasta mais Windowsi turve värskenduses Windows Server 2025 koodimuudatus ja 2025. aasta juuli Windowsi turve Teabevärskendused kõigi muude serveriplatvormide jaoks versioonist Windows Server 2008SP2 Windows Server 2022( k.a). See värskendus sisaldab Microsoft RPC Netlogoni protokolli turbekiurdendusmuudatust. See muudatus parandab turvalisust, tugevdades kaugprotseduurikutsete (RPC) päringute kogumi juurdepääsukontrolle. Pärast selle värskenduse installimist ei luba Active Directory domeenikontrollerid enam anonüümsetel klientidel käivitada mõned RPC taotlused Netlogon RPC serveri kaudu. Need taotlused on tavaliselt seotud domeenikontrolleri asukohaga.
Pärast seda muudatust võib see mõjutada teatud faili & prinditeenuste tarkvara, sealhulgas Samba. Samba on selle muudatuse jaoks välja andnud värskenduse. Lisateavet vt Samba 4.22.3 - Versioonimärkmed .
Selleks et kohandada olukordi, kus mõjutatud kolmanda osapoole tarkvara ei saa värskendada, andsime 2025. aasta augustis Windowsi turve värskenduses välja täiendavad konfigureerimisfunktsioonid. See muudatus rakendab registrivõtmel põhineva tumblernupu vaiketäitmisrežiimi , auditirežiimi vahel, mis logib muudatused, kuid ei blokeeri autentimata Netlogon RPC kutseid ja keelatud režiimi (pole soovitatav).)
Tegutsemine
Oma keskkonna kaitsmiseks ja katkestuste vältimiseks värskendage esmalt kõik seadmed, mis majutavad Active Directory domeenikontrollerit või LDS Serveri rolli, installides uusimad Windowsi värskendused. DC-d, millel on 8. juuli 2025 või uuem Windowsi turve Teabevärskendused (või Windows Server 2025. aasta mai värskendustega DC-d), on vaikimisi turvalised ega aktsepteeri vaikimisi autentimata Netlogoni-põhiseid RPC-kutseid. DC-d, millel on 12. augustil 2025 või uuem Windowsi turve Teabevärskendused, ei aktsepteeri vaikimisi autentimata Netlogoni-põhiseid RPC-kutseid, kuid neid saab ajutiselt konfigureerida.
-
Pääsuprobleemide korral jälgige oma keskkonda. Kui see esineb, kontrollige, kas Netlogon RPC kõvastusmuudatused on juurpõhjus.
-
Kui installitud on ainult juuli värskendused, lubage käsu "Nltest.exe /dbflag:0x2080ffff" abil paljusõnaline Netlogoni logimine ja seejärel jälgige järgmisele reale meenutavate kirjete logisid. Väljad OpNum ja Method võivad erineda ning tähistada blokeeritud toimingut ja RPC-meetodit:
06/23 10:50:39 [KRIITILINE] [5812] NlRpcSecurityCallback: volitamata RPC-kutse hülgamine [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Kui Windowsi augusti või uuemad värskendused on installitud, otsige oma DC-dest Security-Netlogon sündmust 9015, et teha kindlaks, millised RPC kutsed lükatakse tagasi. Kui need kõned on kriitilise tähtsusega, saate DC tõrkeotsingu ajal ajutiselt lülitada auditirežiimi või keelatud režiimi.
-
Tehke sellised muudatused, et rakendus kasutaks autenditud Netlogon RPC kõnesid, või pöörduge lisateabe saamiseks oma tarkvaratarnija poole.
-
-
Kui lülitate DC-d auditirežiimi, jälgige Security-Netlogon sündmust 9016, et teha kindlaks, millised RPC kutsed lükatakse tagasi, kui lülitasite jõustamisrežiimi sisse. Seejärel tehke sellised muudatused, et rakendus kasutaks autenditud Netlogon RPC kõnesid või pöörduge lisateabe saamiseks oma tarkvaratarnija poole.
Märkus.: Windows 2008 SP2 ja Windows 2008 R2 serverites kuvatakse need sündmused süsteemi sündmuste logides vastavalt Netlogon Events 5844 ja 5845 jõustamisrežiimi ja auditirežiimi jaoks.
Windowsi värskenduste ajastus
Need Windowsi värskendused anti välja mitmes etapis.
-
Algne muudatus Windows Server 2025 (13. mai 2025) – autentimata Netlogoni-põhiste RPC-kutsete vastu tugevnenud algne värskendus lisati Windows Server 2025. aasta mai Windowsi turve värskendusesse.
-
Algsed muudatused muudel serveriplatvormidel (8. juuli 2025) – muude Serveri platvormide autentimata Netlogoni-põhiste RPC-kutsete vastu tugevdatud värskendused lisati 2025. aasta juuli Windowsi turve Teabevärskendused.
-
Auditirežiimi ja keelatud režiimi lisamine (12. august 2025) – 2025. aasta augusti Windowsi turve Teabevärskendused lisati vaikimisi režiimidega Auditi- või keelatud režiimid.
-
Auditirežiimi ja keelatud režiimi (TBD) eemaldamine – hiljem võidakse operatsioonisüsteemist eemaldada auditi- ja keelatud režiimid. Seda artiklit värskendatakse täiendavate üksikasjade kinnitamisel.
Juurutamise juhised
Kui juurutate augusti Windowsi turve Teabevärskendused ja soovite konfigureerida oma DC-d auditi- või keelatud režiimis, juurutage allpool olev registrivõti sobiva väärtusega. Taaskäivitamist pole vaja.
|
Rada |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Registri väärtus |
DCLocatorRPCSecurityPolicy |
|
Väärtuse tüüp |
REG_DWORD |
|
Väärtuseandmed |
0 – keelatud režiim1 – auditirežiim2 – jõustamisrežiim (vaikesäte) |
Märkus.: Autentimata taotlused on lubatud nii auditirežiimis kui ka keelatud režiimis.
Äsja lisatud sündmused
2025. aasta 12. augusti Windowsi turve Teabevärskendused lisab ka uued sündmuselogid Windows Server 2012. aasta Windows Server 2022 domeenikontrolleritele.
|
Sündmuste logi |
Microsoft-Windows-Security-Netlogon/Operational |
|
Sündmuse tüüp |
Teave |
|
Sündmuse ID |
9015 |
|
Sündmuse tekst |
Netlogon keeldus RPC-kutsest. Poliitika on jõustamisrežiimis. Klienditeave: Meetodi nimi: %method% Meetodi opnum: %opnum% Kliendi aadress: <IP-aadress> Kliendi identiteet: <helistaja SID> Lisateavet leiate teemast https://aka.ms/dclocatorrpcpolicy. |
|
Sündmuste logi |
Microsoft-Windows-Security-Netlogon/Operational |
|
Sündmuse tüüp |
Teave |
|
Sündmuse ID |
9016 |
|
Sündmuse tekst |
Netlogon lubas RPC-kutse, mis oleks tavaliselt keelatud. Poliitika on auditirežiimis. Klienditeave: Meetodi nimi: %method% Meetodi opnum: %opnum% Kliendi aadress: <IP-aadress> Kliendi identiteet: <helistaja SID> Lisateavet leiate teemast https://aka.ms/dclocatorrpcpolicy. |
Märkus.: Windows 2008 SP2 ja Windows 2008 R2 serverites kuvatakse need sündmused süsteemi sündmuste logides vastavalt netlogon-sündmustena 5844 ja 5845 jõustamis- ja auditirežiimides.
Korduma kippuvad küsimused (KKK)
DC-d, mida ei värskendata 8. juuli 2025 Windowsi turve Teabevärskendused või uuema versiooniga, lubavad endiselt autentimata Netlogoni-põhiste RPC kutsete & ei logi selle nõrkusega seotud sündmusi.
8. juulil 2025 värskendatud DC-d Windowsi turve Teabevärskendused ei luba autentimata Netlogoni-põhiseid RPC-kutseid, kuid ei logi sündmust, kui selline kõne on blokeeritud.
Vaikimisi ei luba DC-d, mida värskendatakse 12. augusti 2025 Windowsi turve Teabevärskendused või uuema versiooniga, autentimata Netlogoni-põhiseid RPC-kutseid ja logivad sündmuse, kui selline kõne on blokeeritud.
Ei.
