Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Yhteenveto

Netlogon-Etäprotokolla (jota kutsutaan myös MSRPC) on RPC-käyttö liittymä, jota käytetään yksinomaisesti toimi alue liitetyissä laitteissa. MS-NCRPC sisältää todentamis menetelmän ja menetelmän luoda Netlogon Secure-kanava. Nämä päivitykset valvovat määritettyä Netlogon-asiakas ohjelmaa käyttämään suojattua RPC-toimintoa ja Netlogon Secure-kanavaa jäsen tieto koneiden ja Active Directoryn (AD) toimi alueen ohjaus koneiden välillä.

Tämä suojaus päivitys korjaa ongelman pakotettaessa suojattua RPC-tietoja, kun Netlogon Secure Channel-sovellusta käytetään vaiheittaisessa julkaisussa, joka selitetään Osoite Netlogon-HAAVOITTUVUUDEN CVE-2020-1472-osan päivitysten ajoituksessa . Jos haluat tarjota AD Forest Protection-ympäristön, Kaikki DCs on päivitettävä, sillä ne valvovat suojattua RPC-Netlogon suojattua kanavaa. Tämä koskee vain luku-tilassa olevaa toimi alueen ohjaus konetta (RODC).

Lisä tietoja haavoittuvuudesta on kohdassa CVE-2020-1472.

Tee toimia

Ympäristön suojaamiseksi ja katkokset estämiseksi sinun on tehtävä seuraavat toimet:

Huomautus 1. elokuuta 2020 tai uudempi versio päivitysten asentamista käsittelevä vaihe on lisä tietoja: n tieto turva ongelmasta CVE-2020-1472 : n Active Directory-toimi alueet ja-luottamus suhteet sekä Windows-laitteet. Jos haluat lieventää kolmannen osapuolen laitteiden suojaus ongelmaa, sinun on suoritettava kaikki vaiheet.

Varoituksen Helmi kuun 2021 alkaen voimaan tulo tila otetaan käyttöön kaikissa Windowsin toimi alueen ohjaus koneissa, ja se estää haavoittuvat yhteydet yhteensopimattomien laitteiden kanssa. Tällä hetkellä et voi poistaa pakotus tilaa käytöstä.

  1. Päivitä toimi alueen ohjaimet, jos päivitys on julkistettu elokuussa 11, 2020 tai uudemmassa versiossa.

  2. Etsi , mitkä laitteet tekevät haavoittuvaisia yhteyksiä seuraamalla tapahtuma lokeja.

  3. Osoite yhteensopimattomat laitteet, jotka tekevät haavoittuvia yhteyksiä.

  4. Ota käyttöön -käyttö ympäristö, jonka avulla voit korjata CVE-2020-1472- tilan.


Huomautus Jos käytössäsi on Windows Server 2008 R2 SP1, sinulla on oltava Extended Security Update (ESU)-käyttö oikeus, jotta tätä ongelmaa käsittelevä päivitys voidaan asentaa onnistuneesti. Jos haluat lisä tietoja ESU-ohjelmasta, tutustu elin kaaren usein kysyttyihin kysymyksiin – laajennettuihin suojaus päivityksiin.

Tässä artikkelissa:

Osoite-Netlogon haavoittuvuuden CVE-2020-1472 päivitysten ajoitus

Päivitykset julkaistaan kahdessa vaiheessa: ensimmäisen vaiheen päivitykset, jotka on julkistettu elokuun 11.2020 jälkeen, sekä niiden päivitysten täytäntöönpano vaihe, jotka on julkistettu 9. helmi kuuta 2021 tai sen jälkeen.

11. elokuuta 2020 – käyttöönotto vaihe

Käyttöönoton ensimmäinen vaihe alkaa 11. elokuuta 2020 julkaistuista päivityksistä, ja sitä jatketaan myöhemmissä päivityksissä täytäntöönpano vaiheenloppuun asti. Nämä ja myöhemmät päivitykset tekevät Netlogon-protokollasta muutoksia, jotka suojaavat Windows-laitteita oletusarvoisesti, kirjaa lokiin vaatimustenmukaiset laitteet ja mahdollistaa suoja uksen kaikissa toimi alueeseen liitetyissä laitteissa, joilla on tarkat poikkeukset. Tämä julkaisu:

  • Pakottaa suojatun RPC-käytön tieto kone tileille Windows-pohjaisissa laitteissa.

  • Pakottaa Secure RPC-käyttö luottamuksen tileille.

  • Toimeenpanee suojatun RPC-käytön kaikissa Windowsin ja muiden kuin Windowsin DCs-käyttö liittymien käytössä.

  • Sisältää uuden ryhmä käytäntöjen, jotka sallivat yhteensopimattomien laite tilien (jotka käyttävät haavoittuvia Netlogon Secure Channel Connections). Myös silloin, kun hallinta järjestelmät ovat käytössä pakotus tilassa tai pakotus vaiheen käynnistymisen jälkeen, sallittuihin laitteisiin ei evätä yhteyttä.

  • Fullsecurchachanprotection-rekisteri avain, jolla voi ottaa käyttöön DC:N valvonta tilan kaikissa tieto kone tileissä (valvonta vaihe päivittää kehitys ympäristön ja DC:n pakotus tilan).

  • Sisältää uusia tapahtumia, kun tilien käyttö on estetty tai evättäisiin tasa virta pakotus tilassa (ja sitä jatketaan täytäntöönpano vaiheessa). Tarkat tapahtuma tunnukset selitetään jäljempänä tässä artikkelissa.

Lieventäminen tarkoittaa päivitysten asentamista kaikkiin DCS-ja Rodcs:iin, uusien tapahtumien seuraamista sekä yhteensopimattomien laitteiden käsittelemistä, jotka käyttävät suojattomia Netlogon-suojattuja kanava yhteyksiä. Tieto kone tilien käyttö yhteensopimattomien laitteiden kanssa voi sallia haavoittuvan Netlogon Secure Channel Connectin käytön. ne on kuitenkin päivitettävä, jotta ne tukevat suojattua Netlogon-palvelua ja tilin pakotettua mahdollisimman nopeasti hyökkäyksen vaaran poistamiseksi.

9. helmi kuuta 2021 – täytäntöönpano vaihe

9. helmi kuuta 2021 on siirtymässä pakotus vaiheeseen. DCs on nyt pakotus tilassa , olipa pakotus tilan rekisteri avain mikä tahansa. Tämä edellyttää, että kaikki Windowsin ja muiden kuin Windows-laitteiden on käytettävä suojattua RPC-palvelua Netlogon Secure-kanavan kanssa, tai sallittava tilin salliminen lisäämällä poikkeus yhteensopimattomaan laitteeseen. Tämä julkaisu:

Käyttöönotto ohjeet-päivitysten käyttöönotto ja vaatimustenmukaisuus

Käyttöönoton ensimmäinen vaihe on seuraavat vaiheet:

  1. 11. elokuuta-päivitysten käyttöönottokaikissa metsän ohjaus-ja kehitys-ja jakelu soluissa.

  2. (a) näyttö varoitus tapahtumistaja (b) toimii jokaisessa tapahtumassa.

  3. (a) kun kaikki varoitus tapahtumat on korjattu, voit ottaa käyttöön täyden suoja uksen ottamalla käyttöön DC:N pakotus tilan. (b) kaikki varoitukset on ratkaistava ennen 9. helmi kuuta 2021 voimaan saattamisen vaihe päivitystä.

vaihe 1: PÄIVITYS

Ota käyttöön elokuun 11, 2020 päivitykset

Ota käyttöön 11. elokuuta päivitykset kaikkiin toimi alueen ohjaus koneisiin (DCS) metsässä. se voi olla vain luku-tilassa. Kun tämä päivitys paikattu-kehitys ohjelma on käyttöönoton jälkeen:

  • Aloita suojatun RPC-käytön käyttö kaikissa Windows-pohjaisissa laite tileissä, luottamus tileissä ja kaikissa DCs-laitteissa.

  • Kirjaudu tapahtuma tunnukset 5827 ja 5828 järjestelmän tapahtuma lokissa, jos yhteydet on estetty.

  • Kirjaudu tapahtuma tunnukset 5830 ja 5831 järjestelmän tapahtuma lokiin, jos toimi alueen ohjaus kone sallii yhteydet: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

  • Kirjaudu tapahtuma tunnuksen 5829 järjestelmän tapahtuma lokiin aina, kun haavoittuva Netlogon Secure Channel-yhteys on sallittua. Nämä tapahtumat on käsiteltävä ennen kuin DC:N pakotus tila on määritetty tai ennen kuin täytäntöönpano vaihe alkaa 9. helmi kuuta 2021.

 

vaihe 2a: Etsi

Ei-yhteensopivien laitteiden tunnistaminen tapahtuma tunnuksen 5829 avulla

11. elokuuta 2020: n päivitykset on otettu käyttöön DCS-ohjelmassa, ja ne voidaan kerätä tasa virta-tapahtuma lokeissa ja määrittää, mitkä laitteet omassa ympäristössäsi käyttävät haavoittuvia Netlogon Secure Channel yhteydet (tässä artikkelissa mainittuja laitteita, jotka eivät ole yhteensopivia). Valvonta paikattu tapahtuma tunnuksen 5829 tapahtumia varten. Tapahtumissa on tietoja vaatimustenmukaisten laitteiden tunnistamisesta.

Voit seurata tapahtumia, käyttää käytettävissä olevaa tapahtuman valvonta ohjelmistoa tai komento sarjoja, joiden avulla voit seurata ohjaus koneita. Jos haluat käyttää esimerkkisi kanssa mukautettavissa olevaa komento sarjaa, Lue artikkeli komento sarja, jonka avulla voit TARKKAILLA CVE-2020-1472: n Netlogon päivityksiin liittyviä tapahtuma tunnuksia .

Vaihe 2b: Osoite

Osoitteiden tapahtuma tunnukset 5827 ja 5828

Oletusarvoisesti tuetut Windowsin versiot , jotka on täysin päivitetty, eivät saa käyttää haavoittuvia Netlogon Secure Channel-yhteyksiä. Jos jokin näistä tapahtumista kirjataan järjestelmän tapahtuma lokiin Windows-laitteessa:

  1. Varmista, että laitteessa on käytössä tuettu Windowsin versio.

  2. Varmista, että laite on täysin päivitetty.

  3. Varmista, että toimi alue jäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)- on määritetty käytössä.

Jos kyseessä on muu kuin Windows-laite, joka toimii tasa virta järjestelmänä, nämä tapahtumat kirjataan järjestelmän tapahtuma lokiin, kun käytössä on haavoittuvia Netlogon Secure Channel-yhteyksiä. Jos jompikumpi tällaisista tapahtumista kirjataan lokiin:

  • Suositeltujen Hanki tukea suojattuun RPC-palveluun Netlogon Secure-kanavan kanssa laite valmistajien (OEM) tai ohjelmistomyyjän kanssa

    1. Jos yhteensopimattoman tasa virta tukee suojattua RPC-Netlogon suojattua kanavaa ja käyttää suojattua RPC-tietoja, ota se käyttöön DC:ssä.

    2. Jos tämä ei ole yhteensopivaa DC:tä, ei tällä hetkellä tue suojattua RPC-palvelua, käytä laite valmistajia tai ohjelmistomyyjän kanssa suojattua RPC-palveluun ja Netlogon-suojattuun kanavaan tukevan päivityksen päivitystä.

    3. Poista vaatimustenmukainen DC käytöstä.

  • Haavoittuva Jos vaatimustenmukainen toimi alue ei voi tukea suojattua RPC-palvelua Netlogon Secure-kanavan kanssa, ennen kuin ohjaus kone on täytäntöönpano tilassa, lisää se toimi alueen ohjaus koneella: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen kuvattu alla.

Varoituksen Jos DCS voi käyttää ryhmä käytännössä haavoittuvia yhteyksiä, se on haavoittuvainen hyökkäykselle. Lopetus tavoitteen pitäisi olla tämän ryhmä käytäntöjen kaikkien tilien osoite ja poistaminen.

 

Addressing Event 5829

Tapahtuma tunnus 5829 luodaan, kun haavoittuva yhteys sallitaan ensimmäisen käyttöönoton vaiheessa. Nämä yhteydet kielletään, jos DCs on pakotus tilassa. Tässä tapa uksessa keskity koneen nimi-, toimi alue-ja käyttö järjestelmä versioihin, jotka määrittävät yhteensopimattomat laitteet ja miten niihin on puututtava.

Tapoja käsitellä yhteensopimattomia laitteita:

  • Suositeltujen Hanki tukea suojattuun RPC-palveluun Netlogon Secure-kanavan kanssa laite valmistajien (OEM) ja ohjelmisto toimittajien kanssa:

    1. Jos yhteensopimattomat laitteet tukevat suojattua RPC-Netlogon-suojattua kanavaa ja antavat suojatun RPC-ominaisuuden käyttöön laitteessa.

    2. Jos yhteensopimattomat laitteet eivät tällä hetkellä tue suojattua RPC-palvelua Netlogon Secure-kanavan kanssa, käytä laitteen valmistajaa tai ohjelmistomyyjän kanssa päivitystä, jonka ansiosta suojattu RPC ja Netlogon Secure Channel on käytettävissä.

    3. Poista yhteensopimattomat laitteet käytöstä.

  • Haavoittuva Jos vaatimustenmukainen laite ei voi tukea suojattua RPC-palvelua Netlogon Secure-kanavan kanssa, ennen kuin kehitys ohjaus kone on käytössä,Lisää laite käyttämällä toimi alueen ohjaus konetta: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen kuvattu alla.

Varoituksen Tämä on riski, kun Salli laite tilien käyttää ryhmä käytännössä haavoittuvia yhteyksiä. Lopetus tavoitteen pitäisi olla tämän ryhmä käytäntöjen kaikkien tilien osoite ja poistaminen.

 

Haavoittuvan yhteyden salliminen kolmannen osapuolen laitteista

Käytä toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen, jos haluat lisätä yhteensopimattomia tilejä. Tätä on harkittava ainoastaan lyhytaikaisessa korjaavana keinona, ennen kuin yhteensopimattomat laitteet on osoitettu yllä kuvatulla tavalla. Huomautus Jos yhteensopimattomista laitteista on mahdollista käyttää haavoittuvia yhteyksiä, suojaus saattaa olla tuntematonta ja se kannattaa antaa varoen.

  1. Luonut käyttö oikeus ryhmän (t) tileille, joilla on mahdollisuus käyttää haavoittuvaa Netlogon-suojattua kanavaa.

  2. Siirry ryhmä käytännössä kohtaan tieto koneen kokoonpano > Windowsin asetukset > Suojaus asetukset > Paikalliset käytännöt > Suojaus asetukset

  3. Etsi toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet ".

  4. Jos järjestelmänvalvoja-ryhmä on olemassa tai jos jokin ryhmä, jota ei ole erikseen luotu tämän ryhmä käytäntöjen kanssa, on käytössä, poista se.

  5. Voit lisätä suojaus kuvauksen sallimiseksi käyttö oikeus ryhmän, joka on erityisesti suunniteltu käytettäväksi tämän ryhmä käytäntöjen kanssa. Huomautus Estä-käyttö oikeus toimii samalla tavalla kuin jos tiliä ei olisi lisätty, eli tilien ei sallita voivan tehdä haavoittuvia Netlogon-suojattuja kanavia.

  6. Kun suojaus ryhmät on lisättynä, ryhmä käytännöllä on oltava replikointi jokaiseen ks:aan.

  7. Valvo ajoittain tapahtumia 5827, 5828 ja 5829 määrittääksesi, mitkä tilit käyttävät suojattomia suojattuja kanava yhteyksiä.

  8. Lisää nämä tieto kone tilit suojaus ryhmiin tarpeen mukaan. Parhaiden käytäntöjen Voit käyttää käyttö oikeus ryhmiä Ryhmä käytännössä ja lisätä ryhmään tilejä, jotta jäsenyys replikoidaan tavallisen AD-replikointi tavan kautta. Näin vältetään toistuvien ryhmä käytäntöjen päivitykset ja replikointi viiveet.

Kun kaikki yhteensopimattomat laitteet on korjattu, voit siirtää ohjaus järjestelmät pakotus tilaan (Katso seuraava osio).

Varoituksen Jos DCS voi käyttää haavoittuvat yhteydet luottamus tileille ryhmä käytännössä, se on alttiina hyökkäykselle. Luottamus tilit on yleensä nimetty luotettavan toimi alueen mukaan, esim.: Toimi alue: n DC:ssä on luottamus, jossa on toimi alue-b: n tasa virta. Sisäisesti: n toimi alue – a on luottamus tili, jonka nimi on toimi alue-b $. se edustaa toimi alue b: n luottamus objektia. Jos toimi alue – a haluaa altistaa metsän hyökkäyksille ja sallia haavoittuvat Netlogon Secure Channel-yhteydet toimi alue-b-luottamuksesta, järjestelmänvalvoja voi käyttää käyttö oikeus ryhmän nimi: Add-adgroupmember – tunniste tiedot ".

 

Vaihe 3A: Ota käyttöön

Siirtyminen pakotus tilaan ennen helmi kuun 2021 täytäntöönpano vaihetta

Kun kaikki yhteensopimattomat laitteet on korjattu, joko ottamalla suojattu RPC-yhteys tai sallimalla haavoittuvat yhteydet toimi alueen ohjaus koneeseen: Salli haavoittuvat Netlogon-suojaus kanava yhteydet "ryhmä käytäntöjen, määritä Fullsecunnchannusprotection-rekisteri avain arvoksi 1.

Huomautus Jos käytössäsi on toimi alueen ohjaus kone: Salli Verkkonetlogon suojatut kanava yhteydet "ryhmä käytäntöjen, varmista, että ryhmä käytäntöjä on replikoitu ja otettu käyttöön kaikissa ohjaus-ja rekisteröinti asetuksissa, ennen kuin voit määrittää Fullseculchannetud:n

Kun Fullsecuunchainprotection-rekisteri avain otetaan käyttöön, DCs on pakotus tilassa. Tämä asetus edellyttää, että kaikki Netlogon Secure-kanavaa käyttävät laitteet ovat joko:

Varoituksen Kolmannen osapuolen Asiakkaat, jotka eivät tue suojattua RPC-palvelua Netlogon Secure Channel yhteydet, estetään, kun DC:n pakotus tilan rekisteri avain otetaan käyttöön, mikä voi häiritä tuotanto palveluja.

 

Vaihe 3B: Täytäntöönpano vaihe

Ota käyttöön 9. helmi kuuta 2021 päivitykset

Päivitysten käyttöönotto, jotka on julkistettu 9. helmi kuuta 2021 tai uudempi versio ottaa käyttöön DC:N pakotus tilan. DC:N pakotus tila on, kun kaikki Netlogon-yhteydet on joko pakollista suojatun RPC-palvelun käyttämiseen, tai tilin on oltava lisätty toimi alueen ohjaus koneeseen: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen. Tällä hetkellä Fullsecunechainprotection-rekisteri avainta ei enää tarvita, eikä sitä enää tueta.

Toimi alueen ohjaus kone: Salli suojattomia Netlogon Secure Channel Connections-ryhmä käytännöt

Paras tapa on käyttää ryhmä käytännön käyttö oikeus ryhmiä, jotta jäsenyys replikoidaan tavallisen AD-replikointi tavan kautta. Näin vältetään toistuvien ryhmä käytäntöjen päivitykset ja replikointi viiveet.

Käytäntötie ja-asetus nimi

Kuvaus

Käytäntötie: Tieto kone kokoonpano > Windowsin asetukset > suojaus asetukset > Paikalliset käytännöt > suojaus asetukset

Asetuksen nimi: toimi alueen ohjaus kone: Salli haavoittuvat Netlogon suojatut kanava yhteydet

Uudelleenkäynnistys on suoritettava? Ei

Tämä suojaus asetus määrittää, ohitaako toimi alue ohjaus kone määritettyjen tieto kone tilien suojatun RPC-Netlogon suojattujen kanavien yhteydet.

Tätä käytäntöjä on sovellettava kaikkiin toimi aluepuu ryhmän ohjaus koneisiin ottamalla käyttöön toimi alueen ohjaus koneiden käytäntöjä.

Kun luo haavoittuvat yhteydet-luettelo (sallittujen luettelo) on määritetty:

  • Salli Toimi alueen ohjaus kone sallii määritettyjen ryhmien tai tilien käyttää verkkonetlogon suojattua kanavaa ilman turvallista RPC-tiliä.

  • Estä Tämä asetus on sama kuin oletusarvoinen toiminto. Toimi alueen ohjaus kone edellyttää määritettyjen ryhmien tai tilien käyttävän verkkonetlogon suojattua kanavaa turvallisella RPC-toiminnolla.

Varoituksen Kun otat tämän asetuksen käyttöön, toimi alueesi liitetyt laitteet ja Active Directory-metsäsi tulevat alttiiksi riskeille. Tätä käytäntöjä pitäisi käyttää tilapäisenä toimenpiteenä, jos otat käyttöön päivitykset: n kolmannen osapuolen laitteita. Kun kolmannen osapuolen laite päivitetään käyttämään suojattua RPC-palvelua Netlogon Secure-kanavien kanssa, tilin pitäisi olla poistettu luo haavoittuvat yhteydet-luettelosta. Lisä tietoja siitä, miten voit määrittää tilien käyttö oikeuksia, jotka voivat käyttää haavoittuvia Netlogon Secure Channel-yhteyksiä, on osoitteessa https://go.microsoft.com/fwlink/?linkid=2133485.

Oletus Tätä käytäntöjä ei ole määritetty. Suojaus RPC ja Netlogon Secure Channel yhteydet-pakotus eivät nimenomaisesti vapauta laitteita tai luottamus tilejä.

Tätä käytäntöjä tuetaan Windows Server 2008 R2 SP1:N ja sitä uudempien versioiden kanssa.

CVE-2020-1472: een liittyvät Windowsin tapahtuma loki virheet

On kolme tapahtuma luokkaa:

1. Tapahtumat, jotka on kirjattu, kun yhteys on estetty, koska haavoittuvaa Netlogon Secure Channel-yhteyttä yritettiin:

  • 5827 (kone tilit)-virhe

  • 5828 (luottamus tilit)-virhe

2. Tapahtumat, jotka on kirjattu, kun yhteys on sallittu, koska tili on lisätty toimi alueen ohjaus koneeseen: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen:

  • 5830 (kone tilit)-varoitus

  • 5831 (luottamus tilit)-varoitus

3. Tapahtumat, jotka on kirjattu, kun yhteys on sallittu alkuperäisen julkaisun yhteydessä ja jotka kielletään tasa virta pakotus tilassa:

  • 5829 (kone tilit)-varoitus

Tapahtuman tunnus 5827

Tapahtuma tunnus 5827 kirjataan lokiin, kun haavoittuva Netlogon Secure Channel-yhteys tieto kone tilistä evätään.

Tapahtuma loki

Järjestelmä

Tapahtumalähde

NETLOGON

Tapahtumatunnus

5827

Taso

Virhe

Tapahtuma viestin teksti

NETLOGON-palvelu kielsi haavoittuvan Netlogon Secure Channel-yhteyden kone tililtä.

Koneen Sacountilinimi:

Toimialue:

Tilityyppi:

Koneen käyttö järjestelmä:

Koneen käyttö järjestelmän koonti versio:

Kone käyttö järjestelmä Service Pack:

Lisä tietoja siitä, miksi tämä on estetty, saat osoitteesta https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Tapahtuman tunnus 5828

Tapahtuma tunnus 5828 kirjataan lokiin, kun haavoittuva Netlogon Secure Channel-yhteys luottamus tililtä on estetty.

Tapahtuma loki

Järjestelmä

Tapahtumalähde

NETLOGON

Tapahtumatunnus

5828

Taso

Virhe

Tapahtuma viestin teksti

NETLOGON-palvelu kielsi haavoittuvan Netlogon Secure Channel-yhteyden käyttämällä luottamus tiliä.

Tilityyppi:

Luottamuksen nimi:

Luottamuksen kohde:

Asiakkaan IP-osoite:

Lisä tietoja siitä, miksi tämä on estetty, saat osoitteesta https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Tapahtuman tunnus 5829

Tapahtuma tunnuksen 5829 kirjataan vain ensimmäisen käyttöönotto vaiheenaikana, kun haavoittuva Netlogon Secure Channel-yhteys tieto koneesta on sallittua.

Kun tasa virta pakottaminen on otettu käyttöön tai kun pakotus vaihe alkaa 9. helmi kuuta 2021-päivitysten käyttöönoton myötä, nämä yhteydet kielletään, ja tapahtuman tunnus 5827 kirjataan lokiin. Siksi on tärkeää seurata tapahtumaa 5829 käyttöönoton aikana ja toimia ennen täytäntöönpanon vaihetta, jotta vältetään katkokset.

Tapahtuma loki

Järjestelmä

Tapahtuma lähde

NETLOGON

Tapahtuma tunnus

5829

Tasolla

Varoitus

Tapahtuma viestin teksti

NETLOGON-palvelu mahdollisti haavoittuvan Netlogon Secure Channel-yhteyden.  

Varoitus: Tämä yhteys evätään, kun täytäntöönpano vaihe on julkistettu. Jos haluat ymmärtää täytäntöönpano vaiheen paremmin, käy osoitteessa https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Koneen Sacountilinimi:  

Toimialue:  

Tilin tyyppi:  

Koneen käyttö järjestelmä:  

Koneen käyttö järjestelmän koonti versio:  

Kone käyttö järjestelmä Service Pack:  

Tapahtuman tunnus 5830

Tapahtuma tunnus 5830 kirjataan lokiin, kun haavoittuva Netlogon Secure Channel Machine-tilin yhteys sallitaan toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

Tapahtuma loki

Järjestelmä

Tapahtumalähde

NETLOGON

Tapahtumatunnus

5830

Taso

Varoitus

Tapahtuma viestin teksti

NETLOGON-palvelu mahdollisti haavoittuvan Netlogon Secure Channel-yhteyden, koska tieto kone tili on sallittu toimi alue ohjaimessa: Salli suojattomia Netlogon Secure Channel Connections-ryhmä käytäntöjä.

Varoitus: Haavoittuvilla Netlogon-turvattujen kanavien käyttö altistaa toimi alueelle liitetyt laitteet hyökkäyksille. Jos haluat suojata laitettasi hyökkäyksiltä, Poista tieto kone tili: n toimi alueen ohjaus koneesta. Salli suojattomia Netlogon-suojaus kanava yhteydet "ryhmä käytäntöjä, kun kolmannen osapuolen Netlogon-asiakas ohjelma on päivitetty. Lisä tietoja siitä, miten voit määrittää kone tilien käyttö oikeuksia haavoittuville Netlogon Secure Channel-yhteyksiin, on osoitteessa https://go.Microsoft.com/fwlink/?LinkId=2133485.

Koneen Sacountilinimi:

Toimialue:

Tilityyppi:

Koneen käyttö järjestelmä:

Koneen käyttö järjestelmän koonti versio:

Kone käyttö järjestelmä Service Pack:

 

Tapahtuman tunnus 5831

Tapahtuma tunnus 5831 kirjataan lokiin, kun haavoittuva Netlogon Secure Channel trustin tilin yhteys on sallittu toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

Tapahtuma loki

Järjestelmä

Tapahtumalähde

NETLOGON

Tapahtumatunnus

5831

Taso

Varoitus

Tapahtuma viestin teksti

NETLOGON-palvelu mahdollisti haavoittuvan Netlogon Secure Channel-yhteyden, koska luottamus tili on sallittu toimi alueen ohjaus koneessa: Salli suojattomia Netlogon Secure Channel Connections-ryhmä käytäntöjä.

Varoitus: Haavoittuvan Netlogon Secure-kanavien käyttö altistaa Active Directory-metsät hyökkäyksille. Jos haluat suojata Active Directoryn metsät hyökkäyksestä, kaikkien trustien on käytettävä suojattua RPC-Netlogon-suojattua kanavaa. Luottamus tilin poistaminen toimi alueen ohjaus koneesta: Salli haavoittuvat Netlogon-suojatut kanava yhteydet "ryhmä käytäntöjä, kun kolmannen osapuolen Netlogon-asiakas ohjelma on päivitetty toimi alue ohjaimeen. Lisä tietoja siitä, miten voit määrittää, että luottamus tilien määrittämisen on sallittua käyttää haavoittuvia Netlogon Secure Channel-yhteyksiä, on osoitteessa https://go.Microsoft.com/fwlink/?LinkId=2133485.

Tilityyppi:

Luottamuksen nimi:

Luottamuksen kohde:

Asiakkaan IP-osoite:

Valvonta tilan rekisteri arvo

Varoitus vakavista ongelmista voi syntyä, jos muokkaat rekisteriä virheellisesti rekisteri editorin tai muun menetelmän avulla. Nämä ongelmat saattavat edellyttää käyttö järjestelmän asentamista uudelleen. Microsoft ei takaa, että nämä ongelmat voidaan ratkaista. Muokkaa rekisteriä omalla vastuullasi. 

Elokuun 11.2020-päivitykset esittelevät seuraavat rekisteri asetukset, jotta pakotus tila otetaan käyttöön ajoissa. Tämä on käytössä riippumatta siitä, mikä rekisteri asetus on pakotus vaiheessa alkaen 9. helmi kuuta 2021: 

Rekisterialiavain

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Arvo

Fullsecuon Chatprotection

Tietotyyppi

REG_DWORD

Tiedot

1 – Tämä mahdollistaa pakotus tilan. DCs estää haavoittuvat Netlogon Secure-kanavat, ellei tiliä sallita luo haavoittuva yhteys-luettelo toimi alueen ohjaus koneessa: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.  

0 – DCS mahdollistaa haavoittuvat Netlogon Secure-kanavien yhteydet muilta kuin Windows-laitteilta. Tämä vaihto ehto poistetaan käytöstä pakotus vaiheen julkaisusta.

Uudelleenkäynnistys on suoritettava?

Ei

 

Kolmannen osapuolen laitteet, jotka toteuttavat [MS-NCRPC]: Netlogon-Etäprotokolla

Kaikkien kolmannen osapuolen asiakkaiden tai palvelinten on käytettävä suojattua RPC-palvelinta Netlogon Secure-kanavan kanssa. Jos haluat tarkistaa, onko ohjelmisto yhteensopiva uusimman Netlogon-Etäprotokollan kanssa, ota yhteyttä laitteiston valmistajaan (OEM) ja ohjelmisto toimittajiin. 

Protokollan päivitykset ovat saatavilla Windows-protokollan dokumentaatio-sivustossa

Usein kysytyt kysymykset (FAQ)

  • Windows & kolmansien osapuolten toimi alue liitetyissä laitteissa, joilla on tieto kone tilejä Active Directoryssa (AD)

  • Akkuna Tarjoilija & kolmannes-puolue ala valvottu kotona luotettava & luottaminen toimi alueisiin, jotka luottavat-tileihin AD-palvelussa

Kolmannen osapuolen laitteet saattavat olla yhteensopimattomia. Jos kolmannen osapuolen ratkaisu säilyttää tieto kone tilin MAINOKSESSA, ota yhteyttä toimittajaan ja selvitä, onko se vaikuttanut sinuun.

Add in ja Sysvololin replikointi virheet tai ryhmä käytäntöjen epäonnistumiset todennus-ja käyttö oikeus tietojen siirrossa voivat aiheuttaa ryhmä käytäntöjen muutosten toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet "ryhmä käytäntöjen ei ole käytössä, ja tuloksena on tilin käyttö estetty. 

Seuraavat vaiheet voivat auttaa ongelman ratkaisemisessa:

Oletusarvoisesti tuetut Windowsin versiot , jotka on täysin päivitetty, eivät saa käyttää haavoittuvia Netlogon Secure Channel-yhteyksiä. Jos Windows-laitteen järjestelmän tapahtuma lokiin kirjataan tapahtuma tunnus 5827:

  1. Varmista, että laitteessa on käytössä tuettu Windowsin versio.

  2. Varmista, että laite on täysin päivitetty Windows Updatesta.

  3. Varmista, että toimi alue jäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)- on määritetty käytössä: n ryhmä käytäntö objektissa, joka on linkitetty kaikkiin: n toimi alue isiin.

Kyllä, ne on päivitettävä, mutta ne eivät ole erityisen alttiita CVE-2020-1472-tuotteelle.

Ei, DCS on ainoa tekijä, johon CVE-2020-1472 kohdistuu, ja sitä voidaan päivittää itsenäisesti muista kuin Windows-palvelimista ja muista Windows-laitteista.

Akkuna Tarjoilija 2008 SP2 on ei altis jotta nyt kuluva erityinen CVE koska se does ei käyttää AES ajaksi Secure RPC.

Kyllä, tarvitset laajennettujen suojaus päivitysten ( ESU) asentamaan Windows Server 2008 R2 SP1:n osoitteeseen CVE-2020-1472 .

Ottamalla käyttöön elokuun 11.2020: n tai sitä uudempien versioiden päivitykset ympäristön kaikissa toimi alueen ohjaus koneissa.

Varmista, ettei mikään toimi alueen ohjaus koneeseen lisäämistäsi laitteista ole: Salli suojattomia Netlogon-suojaus kanava yhteydet "ryhmä käytännöllä olla Enterprise-järjestelmänvalvojan tai toimi alue järjestelmänvalvojan käyttö oikeus palvelut, kuten SCCM tai Microsoft Exchange.  Huomautus Sallittujen luettelossa olevien laitteiden on sallittua käyttää haavoittuvia yhteyksiä ja altistaa ympäristösi hyökkäykselle.

Elokuun 11, 2020 tai uudemman version päivitysten asennus toimi alue ohjaimissa suojaa Windows-pohjaisia kone tilejä, luottamus tilejä ja toimi alueen ohjaus kone tilejä. 

Toimi alueen yhdistettyjen kolmannen osapuolen laitteiden Active Directory-tieto kone tilejä ei suojata, ennen kuin pakotus tila otetaan käyttöön. Kone tilejä ei myöskään suojata, jos ne lisätään toimi alueen ohjaus koneeseen: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

Varmista, että kaikki ympäristösi toimi alue ohjaimet ovat asentaneet elokuun 11, 2020 tai myöhemmät päivitykset.

Kaikki laitteen tunniste tiedot, jotka on lisätty toimi alueen ohjaimeen: Salli suojattomia Netlogon-suojaus kanava yhteydet "ryhmä käytäntöjen on alttiina hyökkäyksille.   

Varmista, että kaikki ympäristösi toimi alue ohjaimet ovat asentaneet elokuun 11, 2020 tai myöhemmät päivitykset. 

Ota käyttöön pakotus tila, jos haluat estää haavoittuvat yhteydet kolmannen osapuolen laite tunniste tiedoista, jotka eivät ole yhteensopivia.

Huomautus Jos valvonta tila on käytössä, kaikki kolmannen osapuolen laitteeseen liittyvät tunniste tiedot, jotka on lisätty toimi alueen ohjaus koneeseen: Salli Verkkonetlogon suojatut kanava yhteydet "ryhmä käytäntöjen on edelleen haavoittuva ja saattaa antaa hyökkääjän käyttää verkkoa tai laitteita luvattomasti.

Pakotus tilan ansiosta toimi alueen ohjaus koneet eivät salli Netlogon-yhteyksiä laitteista, jotka eivät käytä suojattua RPC-tiliä, ellei näitä laitteita ole lisätty toimi alueen ohjaus kone: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

Lisä tietoja on kohdassa pakotus tilan rekisteri arvo .

Vain kone tilit laitteille, joita ei voi tehdä suojatusti, on lisättävä suojattuun RPC-käyttöön Netlogon Secure-kanavalla ryhmä käytäntöön. On suositeltavaa tehdä näistä laitteista yhteensopivia tai vaihtaa nämä laitteet ympäristön suojaamiseksi.

Hyökkääjä voi ottaa haltuunsa Active Directory Machine-tieto koneen käyttäjä tiedot, jotka on lisättynä ryhmä käytäntöön, ja hyödyntää sen jälkeen käyttö oikeuksia, jotka ovat koneen käyttäjä tiedoissa.

Jos sinulla on kolmannen osapuolen laite, joka ei tue suojattua RPC-palvelua Netlogon Secure-kanavalla ja haluat ottaa käyttöön pakotus tilan, sinun on lisättävä laitteen tieto kone tili ryhmä käytäntöön. Tätä ei suositella, ja se voi erota toimi alueesta mahdollisesti haavoittuvassa tilassa.  On suositeltavaa käyttää tätä ryhmä käytäntöjä, jotta on mahdollista päivittää tai korvata kolmannen osapuolen laitteita niiden vaatimustenmukaiseksi.

Valvonta tilan pitäisi olla käytössä mahdollisimman pian. Kolmannen osapuolen laitteeseen on puututtava joko määrittämällä ne yhteensopiviksi tai lisäämällä ne toimi alueen ohjaus koneeksi: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen. Huomautus Sallittujen luettelossa olevien laitteiden on sallittua käyttää haavoittuvia yhteyksiä ja altistaa ympäristösi hyökkäykselle.

 

Sanasto

Välin

Määritys

MAINOS

Active Directory

DC

Toimi alueen ohjaus kone

Valvonta tila

Rekisteri avain, jonka avulla voit ottaa käyttöön pakotus tilan ennen 9. helmi kuuta 2021.

Täytäntöönpano vaihe

1. helmi kuuta alkava vaihe, 2021-päivitykset, joissa pakotus tila otetaan käyttöön kaikissa Windows-toimi alueen ohjaus koneissa rekisteri asetuksesta riippumatta. DCS-järjestelmät kieltävät haavoittuvat yhteydet kaikilta yhteensopimattomat laitteet-luettelosta, ellei niitä ole lisättynä toimi alueen ohjaus koneeksi: Salli suojattomia Netlogon-suojaus kanava yhteydet ryhmä käytäntöjen.

Käyttöönoton alku vaihe

Vaihe alkaen 11. elokuuta 2020 päivityksistä, ja sitä jatketaan myöhemmillä päivityksillä, kunnes täytäntöönpano vaihe on voimassa.

kone tili

Viitataan myös nimellä Active Directory-tieto kone tai tieto kone objekti.  Jos haluat lisä tietoja, katso MS-NPRC:N sanaston määritelmä.

MS-NCRPC

Microsoft Netlogon-Etäprotokolla

Vaatimustenmukainen laite

Vaatimustenmukainen laite on sellainen, joka käyttää haavoittuvaa Netlogon Secure Channel-yhteyttä.

RODC

vain luku-tilassa olevat toimi alue ohjaimet

Haavoittuva yhteys

Haavoittuva yhteys on Netlogon-suojattu kanava yhteys, joka ei Käytä suojattua RPC-yhteyttä.
Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×