Résumé
Le protocole distant Netlogon (également appelé MS-NRPC) est une interface RPC utilisée exclusivement par les appareils joints à un domaine. MS-NRPC inclut une méthode d’authentification et une méthode d’établissement d’un canal sécurisé Netlogon. Ces mises à jour appliquent le comportement du client Netlogon spécifié pour utiliser le protocole RPC sécurisé avec le canal sécurisé Netlogon entre les ordinateurs membres et les contrôleurs de domaine Active Directory (AD).
Cette mise à jour de sécurité corrige la vulnérabilité en appliquant le protocole RPC sécurisé lors de l’utilisation du canal sécurisé Netlogon dans une mise en production progressive expliquée dans la section Timing of updates to address Netlogon vulnerability CVE-2020-1472 . Pour fournir une protection de forêt AD, tous les contrôleurs de domaine doivent être mis à jour, car ils appliquent rpc sécurisé avec le canal sécurisé Netlogon. Cela inclut les contrôleurs de domaine en lecture seule (RODC).
Pour en savoir plus sur la vulnérabilité, consultez CVE-2020-1472.
Remarque
- Prendre des mesures
- Pour protéger votre environnement et empêcher les pannes, vous devez suivre la procédure ci-dessous :
- METTEZ À JOUR vos contrôleurs de domaine avec une mise à jour publiée le 11 août 2020 ou une version ultérieure.
- RECHERCHEz les appareils qui mettent en place des connexions vulnérables en surveillant les journaux des événements.
- Adressez les appareils non conformes qui effectuent des connexions vulnérables.
- ACTIVEZ le mode d’application pour traiter CVE-2020-1472 dans votre environnement.
- Note L’étape 1 de l’installation des mises à jour publiées le 11 août 2020 ou ultérieure résout le problème de sécurité dans CVE-2020-1472 pour les domaines et les approbations Active Directory, ainsi que les appareils Windows. Pour atténuer entièrement le problème de sécurité pour les appareils tiers, vous devez effectuer toutes les étapes.
- Avertissement À compter de février 2021, le mode d’application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes. À ce stade, vous ne pourrez pas désactiver le mode d’application.
Note Si vous utilisez Windows Server 2008 R2 SP1, vous avez besoin d’une licence de mise à jour de sécurité étendue (ESU) pour installer correctement toute mise à jour qui résout ce problème. Pour plus d’informations sur le programme ESU, consultez Questions fréquentes (FAQ) sur le cycle de vie - Mises à jour de sécurité étendue.
Dans cet article :
- Récapitulatif
- Minutage des mises à jour pour résoudre la vulnérabilité Netlogon CVE-2020-1472
- Instructions de déploiement : déployer des mises à jour et appliquer la conformité
- « Contrôleur de domaine : autoriser les connexions de canal sécurisé Netlogon vulnérables » stratégie de groupe
- Erreurs du journal des événements Windows liées à CVE-2020-1472
- Valeur de Registre pour le mode d’application
- Appareils tiers implémentant [MS-NRPC] : Netlogon Remote Protocol
- Forum aux questions (FAQ)
- Glossaire
Minutage des mises à jour pour résoudre la vulnérabilité Netlogon CVE-2020-1472
Les mises à jour seront publiées en deux phases : la phase initiale pour les mises à jour publiées à partir du 11 août 2020 et la phase de mise en œuvre pour les mises à jour publiées à partir du 9 février 2021.
11 août 2020 - Phase de déploiement initial
La phase de déploiement initiale commence avec les mises à jour publiées le 11 août 2020 et se poursuit avec les mises à jour ultérieures jusqu’à la phase d’application. Ces mises à jour et ultérieures apportent des modifications au protocole Netlogon pour protéger les appareils Windows par défaut, journalise les événements pour la découverte d’appareils non conformes et ajoute la possibilité d’activer la protection de tous les appareils joints à un domaine avec des exceptions explicites. Cette version :
- Applique l’utilisation sécurisée de RPC pour les comptes d’ordinateur sur les appareils Windows.
- Applique l’utilisation sécurisée de RPC pour les comptes d’approbation.
- Applique l’utilisation sécurisée de RPC pour tous les contrôleurs de domaine Windows et non Windows.
- Inclut une nouvelle stratégie de groupe pour autoriser les comptes d’appareil non conformes (ceux qui utilisent des connexions de canal sécurisé Netlogon vulnérables). Même lorsque les contrôleurs de domaine s’exécutent en mode d’application ou après le démarrage de la phase d’application , la connexion n’est pas refusée aux appareils autorisés.
- Clé de Registre FullSecureChannelProtection pour activer le mode d’application dc pour tous les comptes d’ordinateur (la phase d’application met à jour les contrôleurs de domaine vers le mode d’application DC).
- Inclut de nouveaux événements lorsque les comptes sont refusés ou sont refusés dans le mode de mise en application du contrôleur de domaine (et continueront dans la phase d’application). Les ID d’événement spécifiques sont expliqués plus loin dans cet article.
L’atténuation consiste à installer la mise à jour sur tous les contrôleurs de domaine et contrôleurs de domaine en lecture seule, à surveiller les nouveaux événements et à traiter les appareils non conformes qui utilisent des connexions de canal sécurisé Netlogon vulnérables. Les comptes d’ordinateur sur des appareils non conformes peuvent être autorisés à utiliser des connexions de canal sécurisé Netlogon vulnérables . Toutefois, ils doivent être mis à jour pour prendre en charge rpc sécurisé pour Netlogon et le compte appliqué dès que possible afin de supprimer le risque d’attaque.
9 février 2021 - Phase de mise en application
La publication du 9 février 2021 marque la transition vers la phase d’application. Les contrôleurs de domaine sont désormais en mode d’application , quelle que soit la clé de Registre du mode d’application. Cela nécessite que tous les appareils Windows et non-Windows utilisent le protocole RPC sécurisé avec le canal sécurisé Netlogon ou autorisent explicitement le compte en ajoutant une exception pour l’appareil non conforme. Cette version :
- Applique l’utilisation sécurisée de RPC pour les comptes d’ordinateur sur les appareils non Windows, sauf si cela est autorisé par la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
- La journalisation de l’ID d’événement 5829 sera supprimée. Étant donné que toutes les connexions vulnérables sont refusées, vous ne verrez désormais que les ID d’événement 5827 et 5828 dans le journal des événements système.
Instructions de déploiement : déployer des mises à jour et appliquer la conformité
La phase de déploiement initial se compose des étapes suivantes :
- Déploiement des mises à jour du 11 août sur tous les contrôleurs de domaine de la forêt.
- (a) Surveiller les événements d’avertissement et (b) agir sur chaque événement.
- (a) Une fois que tous les événements d’avertissement ont été traités, la protection complète peut être activée en déployant le mode d’application dc. (b) Tous les avertissements doivent être résolus avant la mise à jour de la phase d’application du 9 février 2021.
Étape 1 : METTRE À JOUR
Déployer les mises à jour du 11 août 2020
Déployez les mises à jour du 11 août sur tous les contrôleurs de domaine applicables dans la forêt, y compris les contrôleurs de domaine en lecture seule (RODC). Après le déploiement de cette mise à jour, les contrôleurs de domaine corrigés :
- Commencez à appliquer l’utilisation sécurisée de RPC pour tous les comptes d’appareil Windows, les comptes d’approbation et tous les contrôleurs de domaine.
- Journaliser les ID d’événement 5827 et 5828 dans le journal des événements système, si les connexions sont refusées.
- Journaliser les ID d’événement 5830 et 5831 dans le journal des événements système, si les connexions sont autorisées par la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
- ID d’événement de journal 5829 dans le journal des événements système chaque fois qu’une connexion au canal sécurisé Netlogon vulnérable est autorisée. Ces événements doivent être traités avant la configuration du mode d’application du contrôleur de domaine ou avant le début de la phase d’application le 9 février 2021.
Étape 2a : RECHERCHER
Détection des appareils non conformes à l’aide de l’ID d’événement 5829
Une fois que les mises à jour du 11 août 2020 ont été appliquées aux contrôleurs de domaine, les événements peuvent être collectés dans les journaux des événements dc pour déterminer quels appareils de votre environnement utilisent des connexions de canal sécurisé Netlogon vulnérables (appelés appareils non conformes dans cet article). Surveillez les contrôleurs de domaine corrigés pour les événements d’ID d’événement 5829. Les événements incluent des informations pertinentes pour identifier les appareils non conformes.
Pour surveiller les événements, utilisez le logiciel de surveillance des événements disponible ou en utilisant un script pour surveiller vos contrôleurs de domaine. Pour obtenir un exemple de script que vous pouvez adapter à votre environnement, consultez Script pour faciliter la surveillance des ID d’événement liés aux mises à jour Netlogon pour CVE-2020-1472
Étape 2b : ADRESSE
Id d’événement de résolution 5827 et 5828
Par défaut, les versions prises en charge de Windows qui ont été entièrement mises à jour ne doivent pas utiliser de connexions de canal sécurisé Netlogon vulnérables. Si l’un de ces événements est enregistré dans le journal des événements système pour un appareil Windows :
- Vérifiez que l’appareil exécute une version prise en charge de Windows.
- Vérifiez que l’appareil est entièrement mis à jour.
- Vérifiez que membre du domaine : Chiffrer ou signer numériquement les données du canal sécurisé (toujours) est défini sur Activé.
Pour les appareils non Windows agissant en tant que contrôleur de domaine, ces événements sont enregistrés dans le journal des événements système lors de l’utilisation de connexions de canal sécurisé Netlogon vulnérables. Si l’un de ces événements est enregistré :
Recommandé Collaborez avec le fabricant de l’appareil (OEM) ou l’éditeur de logiciels pour obtenir la prise en charge du rpc sécurisé avec le canal sécurisé Netlogon
- Si le contrôleur de domaine non conforme prend en charge rpc sécurisé avec le canal sécurisé Netlogon, activez rpc sécurisé sur le contrôleur de domaine.
- Si le contrôleur de domaine non conforme ne prend ACTUELLEMENT PAS en charge rpc sécurisé, contactez le fabricant de l’appareil (OEM) ou le fournisseur de logiciels pour obtenir une mise à jour qui prend en charge rpc sécurisé avec canal sécurisé Netlogon.
- Mettre hors service le contrôleur de domaine non conforme.
Vulnérables Si un contrôleur de domaine non conforme ne peut pas prendre en charge rpc sécurisé avec canal sécurisé Netlogon avant que les contrôleurs de domaine ne soient en mode d’application, ajoutez le contrôleur de domaine à l’aide de la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » décrite ci-dessous.
Remarque
Avertissement Autoriser les contrôleurs de domaine à utiliser des connexions vulnérables par la stratégie de groupe rend la forêt vulnérable aux attaques. L’objectif final doit être d’adresser et de supprimer tous les comptes de cette stratégie de groupe.
Adressage de l’événement 5829
L’ID d’événement 5829 est généré lorsqu’une connexion vulnérable est autorisée pendant la phase de déploiement initiale. Ces connexions sont refusées lorsque les contrôleurs de domaine sont en mode d’application. Dans ces événements, concentrez-vous sur le nom de l’ordinateur, le domaine et les versions du système d’exploitation identifiés pour déterminer les appareils non conformes et la façon dont ils doivent être traités.
Les façons de traiter les appareils non conformes :
Recommandé Collaborez avec le fabricant de l’appareil (OEM) ou l’éditeur de logiciels pour obtenir une prise en charge de rpc sécurisé avec le canal sécurisé Netlogon :
- Si l’appareil non conforme prend en charge rpc sécurisé avec le canal sécurisé Netlogon, activez rpc sécurisé sur l’appareil.
- Si l’appareil non conforme ne prend PAS actuellement en charge le rpc sécurisé avec le canal sécurisé Netlogon, collaborez avec le fabricant de l’appareil ou le fournisseur de logiciels pour obtenir une mise à jour qui permet d’activer le RPC sécurisé avec le canal sécurisé Netlogon.
- Mettre hors service l’appareil non conforme.
Vulnérables Si un appareil non conforme ne peut pas prendre en charge le protocole RPC sécurisé avec le canal sécurisé Netlogon avant que les contrôleurs de domaine ne soient en mode d’application, ajoutez l’appareil à l’aide de la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » décrite ci-dessous.
Remarque
Avertissement Autoriser les comptes d’appareil à utiliser des connexions vulnérables par la stratégie de groupe met ces comptes AD en danger. L’objectif final doit être d’adresser et de supprimer tous les comptes de cette stratégie de groupe.
Autorisation des connexions vulnérables à partir d’appareils tiers
Utilisez la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » pour ajouter des comptes non conformes. Cela ne doit être considéré comme une solution à court terme que jusqu’à ce que les appareils non conformes soient traités comme décrit ci-dessus. Note L’autorisation des connexions vulnérables à partir d’appareils non conformes peut avoir un impact inconnu sur la sécurité et doit être autorisée avec prudence.
- Création d’un ou de plusieurs groupes de sécurité pour les comptes qui seront autorisés à utiliser un canal sécurisé Netlogon vulnérable.
- Dans stratégie de groupe, accédez à Configuration > ordinateur Paramètres > Windows Paramètres de sécurité Stratégies > locales > Options de sécurité
- Recherchez « Contrôleur de domaine : autoriser les connexions de canal sécurisé Netlogon vulnérables ».
- Si le groupe Administrateur ou si un groupe qui n’est pas spécifiquement créé pour une utilisation avec cette stratégie de groupe est présent, supprimez-le.
- Ajoutez un groupe de sécurité spécifiquement conçu pour être utilisé avec cette stratégie de groupe au descripteur de sécurité avec l’autorisation « Autoriser ». Note L’autorisation « Refuser » se comporte de la même façon que si le compte n’a pas été ajouté, c’est-à-dire que les comptes ne sont pas autorisés à créer des canaux sécurisés Netlogon vulnérables.
- Une fois le ou les groupes de sécurité ajoutés, la stratégie de groupe doit être répliquée sur chaque contrôleur de domaine.
- Surveillez régulièrement les événements 5827, 5828 et 5829 pour déterminer quels comptes utilisent des connexions de canal sécurisé vulnérables.
- Ajoutez ces comptes d’ordinateur aux groupes de sécurité en fonction des besoins. Bonne pratique Utilisez des groupes de sécurité dans la stratégie de groupe et ajoutez des comptes au groupe afin que l’appartenance soit répliquée par le biais d’une réplication AD normale. Cela évite les mises à jour fréquentes des stratégies de groupe et les retards de réplication.
Une fois que tous les appareils non conformes ont été traités, vous pouvez déplacer vos contrôleurs de domaine en mode d’application (voir la section suivante).
Remarque
Avertissement Autoriser les contrôleurs de domaine à utiliser des connexions vulnérables pour les comptes d’approbation par la stratégie de groupe rend la forêt vulnérable aux attaques. Les comptes d’approbation sont généralement nommés d’après le domaine approuvé, par exemple : le contrôleur de domaine dans le domaine a une approbation avec un contrôleur de domaine dans domain-b. En interne, le contrôleur de domaine dans domain-a dispose d’un compte d’approbation nommé « domain-b$ » qui représente l’objet d’approbation pour domain-b. Si le contrôleur de domaine dans le domaine a souhaite exposer la forêt à un risque d’attaque en autorisant les connexions de canal sécurisé Netlogon vulnérables à partir du compte d’approbation domain-b, un administrateur peut utiliser Add-adgroupmember –identity « Name of security group » -members « domain-b$ » pour ajouter le compte d’approbation au groupe de sécurité.
Étape 3a : ACTIVER
Passage au mode de mise en application avant la phase d’application de février 2021
Une fois que tous les appareils non conformes ont été traités, en activant rpc sécurisé ou en autorisant les connexions vulnérables avec la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables », définissez la clé de Registre FullSecureChannelProtection sur 1.
Note Si vous utilisez la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables », vérifiez que la stratégie de groupe a été répliquée et appliquée à tous les contrôleurs de domaine avant de définir la clé de Registre FullSecureChannelProtection.
Lorsque la clé de Registre FullSecureChannelProtection est déployée, les contrôleurs de domaine sont en mode d’application. Ce paramètre nécessite que tous les appareils utilisant le canal sécurisé Netlogon :
- Utilisez rpc sécurisé.
- Sont autorisés dans la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
Remarque
Avertissement Les clients tiers qui ne prennent pas en charge les connexions RPC sécurisées avec le canal sécurisé Netlogon seront refusés lorsque la clé de Registre du mode d’application du contrôleur de domaine est déployée, ce qui peut perturber les services de production.
Étape 3b : Phase de mise en application
Déployer les mises à jour du 9 février 2021
Le déploiement des mises à jour publiées le 9 février 2021 ou une version ultérieure activera le mode d’application du contrôleur de domaine. Le mode d’application du contrôleur de domaine est lorsque toutes les connexions Netlogon sont requises pour utiliser rpc sécurisé ou que le compte doit avoir été ajouté à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». À ce stade, la clé de Registre FullSecureChannelProtection n’est plus nécessaire et ne sera plus prise en charge.
« Contrôleur de domaine : autoriser les connexions de canal sécurisé Netlogon vulnérables » stratégie de groupe
La meilleure pratique consiste à utiliser des groupes de sécurité dans la stratégie de groupe afin que l’appartenance soit répliquée par le biais d’une réplication AD normale. Cela évite les mises à jour fréquentes des stratégies de groupe et les retards de réplication.
| Chemin d’accès à la stratégie et nom du paramètre | Description |
|---|---|
| Chemin de la stratégie : Configuration > ordinateur Paramètres > Windows Paramètres de sécurité Stratégies > locales > Options de sécurité Nom du paramètre : Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables Redémarrage nécessaire ? Non |
Ce paramètre de sécurité détermine si le contrôleur de domaine contourne les connexions de canal sécurisé RPC sécurisé pour Netlogon pour les comptes d’ordinateur spécifiés. Cette stratégie doit être appliquée à tous les contrôleurs de domaine d’une forêt en activant la stratégie sur l’unité d’organisation des contrôleurs de domaine. Lorsque la liste Créer des connexions vulnérables (liste verte) est configurée :
Par défaut : cette stratégie n’est pas configurée. Aucune machine ou aucun compte d’approbation n’est explicitement exempté de l’application des connexions de canaux sécurisés Rpc sécurisé avec Netlogon. Cette stratégie est prise en charge sur Windows Server 2008 R2 SP1 et versions ultérieures. |
Erreurs du journal des événements Windows liées à CVE-2020-1472
Il existe trois catégories d’événements :
1. Événements enregistrés lorsqu’une connexion est refusée en raison d’une tentative de connexion au canal sécurisé Netlogon vulnérable :
- Erreur 5827 (comptes d’ordinateur)
- Erreur 5828 (comptes d’approbation)
2. Événements enregistrés lorsqu’une connexion est autorisée, car le compte a été ajouté à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » :
- 5830 (comptes d’ordinateur) Avertissement
- 5831 (comptes d’approbation) Avertissement
3. Événements enregistrés lorsqu’une connexion est autorisée dans la version initiale, qui sera refusée dans le mode d’application du contrôleur de domaine :
- 5829 (comptes d’ordinateur) Avertissement
ID d’événement 5827
L’ID d’événement 5827 est journalisé lorsqu’une connexion de canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur est refusée.
| Journal des événements | Système |
|---|---|
| Source de l’événement | NETLOGON |
| ID d’événement | 5827 |
| Level (Niveau) | Error |
| Texte du message d’événement | Le service Netlogon a refusé une connexion de canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur. Machine SamAccountName : Domaine : Type de compte : Système d’exploitation de l’ordinateur : Build du système d’exploitation de l’ordinateur : Service Pack du système d’exploitation de l’ordinateur : Pour plus d’informations sur la raison pour laquelle cela a été refusé, veuillez visiter https://go.microsoft.com/fwlink/?linkid=2133485. |
ID d’événement 5828
L’ID d’événement 5828 est journalisé lorsqu’une connexion au canal sécurisé Netlogon vulnérable à partir d’un compte d’approbation est refusée.
| Journal des événements | Système |
|---|---|
| Source de l’événement | NETLOGON |
| ID d’événement | 5828 |
| Level (Niveau) | Error |
| Texte du message d’événement | Le service Netlogon a refusé une connexion de canal sécurisé Netlogon vulnérable à l’aide d’un compte d’approbation. Type de compte : Nom de l’approbation : Cible d’approbation : Adresse IP du client : Pour plus d’informations sur la raison pour laquelle cela a été refusé, veuillez visiter https://go.microsoft.com/fwlink/?linkid=2133485. |
ID d’événement 5829
L’ID d’événement 5829 sera journalisé uniquement pendant la phase de déploiement initial, lorsqu’une connexion de canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur est autorisée.
Lorsque le mode d’application du contrôleur de domaine est déployé ou une fois que la phase d’application commence par le déploiement des mises à jour du 9 février 2021, ces connexions sont refusées et l’ID d’événement 5827 est journalisé. C’est pourquoi il est important de surveiller l’événement 5829 pendant la phase de déploiement initial et d’agir avant la phase de mise en œuvre pour éviter les pannes.
| Journal des événements | Système |
|---|---|
| Source de l’événement | NETLOGON |
| ID d’événement | 5829 |
| Level (Niveau) | Avertissement |
| Texte du message d’événement | Le service Netlogon a autorisé une connexion de canal sécurisé Netlogon vulnérable. Avertissement : cette connexion est refusée une fois la phase d’application libérée. Pour mieux comprendre la phase d’application de la loi, visitez https://go.microsoft.com/fwlink/?linkid=2133485. Machine SamAccountName : Domaine : Type de compte : Système d’exploitation de l’ordinateur : Build du système d’exploitation de l’ordinateur : Service Pack du système d’exploitation de l’ordinateur : |
ID d’événement 5830
L’ID d’événement 5830 sera journalisé lorsqu’une connexion de compte d’ordinateur de canal sécurisé Netlogon vulnérable est autorisée par la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
| Journal des événements | Système |
|---|---|
| Source de l’événement | NETLOGON |
| ID d’événement | 5830 |
| Level (Niveau) | Avertissement |
| Texte du message d’événement | Le service Netlogon a autorisé une connexion de canal sécurisé Netlogon vulnérable, car le compte d’ordinateur est autorisé dans la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». Avertissement : l’utilisation de canaux sécurisés Netlogon vulnérables expose les appareils joints à un domaine à une attaque. Pour protéger votre appareil contre les attaques, supprimez un compte d’ordinateur de la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » après la mise à jour du client Netlogon tiers. Pour mieux comprendre le risque lié à la configuration des comptes d’ordinateur pour qu’ils soient autorisés à utiliser des connexions de canal sécurisé Netlogon vulnérables, consultez https://go.microsoft.com/fwlink/?linkid=2133485. Machine SamAccountName : Domaine : Type de compte : Système d’exploitation de l’ordinateur : Build du système d’exploitation de l’ordinateur : Service Pack du système d’exploitation de l’ordinateur : |
ID d’événement 5831
L’ID d’événement 5831 sera journalisé lorsqu’une connexion de compte d’approbation de canal sécurisé Netlogon vulnérable est autorisée par la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
| Journal des événements | Système |
|---|---|
| Source de l’événement | NETLOGON |
| ID d’événement | 5831 |
| Level (Niveau) | Avertissement |
| Texte du message d’événement | Le service Netlogon a autorisé une connexion de canal sécurisé Netlogon vulnérable, car le compte d’approbation est autorisé dans la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». Avertissement : L’utilisation de canaux sécurisés Netlogon vulnérables expose les forêts Active Directory à des attaques. Pour protéger vos forêts Active Directory contre les attaques, toutes les approbations doivent utiliser le protocole RPC sécurisé avec le canal sécurisé Netlogon. Supprimez un compte d’approbation de la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » après la mise à jour du client Netlogon tiers sur les contrôleurs de domaine. Pour mieux comprendre le risque lié à la configuration des comptes d’approbation pour qu’ils soient autorisés à utiliser des connexions de canal sécurisé Netlogon vulnérables, consultez https://go.microsoft.com/fwlink/?linkid=2133485. Type de compte : Nom de l’approbation : Cible d’approbation : Adresse IP du client : |
Valeur de Registre pour le mode d’application
Remarque
Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes graves. Ces problèmes peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir la résolution de ces problèmes. Vous assumez l’ensemble des risques liés à la modification du Registre.
Les mises à jour du 11 août 2020 introduisent le paramètre de Registre suivant pour activer le mode d’application plus tôt. Cette option sera activée quel que soit le paramètre de Registre dans la phase d’application à compter du 9 février 2021 :
| Sous-clé de Registre | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|---|---|
| Valeur | FullSecureChannelProtection |
| Type de données | REG_DWORD |
| Data (Données) | 1 – Cela active le mode d’application. Les contrôleurs de domaine refusent les connexions de canal sécurisé Netlogon vulnérables, sauf si le compte est autorisé par la liste Créer une connexion vulnérable dans la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». 0 – Les contrôleurs de domaine autorisent les connexions de canal sécurisé Netlogon vulnérables à partir d’appareils non Windows. Cette option sera déconseillée lors de la mise en production de la phase d’application. |
| Redémarrage nécessaire ? | Non |
Appareils tiers implémentant [MS-NRPC] : Netlogon Remote Protocol
Tous les clients ou serveurs tiers doivent utiliser le protocole RPC sécurisé avec le canal sécurisé Netlogon. Contactez le fabricant de l’appareil (OEM) ou les fournisseurs de logiciels pour déterminer si leur logiciel est compatible avec le dernier protocole Netlogon Remote Protocol.
Vous trouverez les mises à jour du protocole sur le site documentation du protocole Windows.
Forum aux questions (FAQ)
1. Qu’utilise le canal sécurisé Netlogon ?
- Windows & appareils tiers joints à un domaine qui ont des comptes d’ordinateur dans Active Directory (AD)
- Windows Server & des contrôleurs de domaine tiers dans des domaines d’approbation & approuvés qui ont des comptes d’approbation dans AD
2. Les solutions tierces peuvent-elles être impactées ?
Les appareils tiers peuvent ne pas être conformes. Si votre solution tierce gère un compte d’ordinateur dans AD, contactez le fournisseur pour déterminer si vous êtes concerné.
3. Pourquoi mon contrôleur de domaine refuse-t-il les comptes qui ont été configurés dans la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » ?
Les retards dans la réplication AD et Sysvol ou les échecs d’application de stratégie de groupe sur le contrôleur de domaine d’authentification peuvent entraîner l’absence des modifications apportées à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » et entraîner le refus du compte.
Les étapes suivantes peuvent vous aider à résoudre le problème :
Si vous avez configuré la stratégie pour contenir un groupe et apporté des modifications à l’appartenance au groupe pour ajouter le compte, case activée que le contrôleur de domaine qui a refusé la connexion a répliqué les modifications d’appartenance au groupe localement. Note Il n’est pas recommandé d’ajouter les comptes directement à la stratégie de groupe.
Si vous avez apporté une modification à la stratégie et ajouté un nouveau compte ou un nouveau groupe case activée que la modification de stratégie est répliquée et appliquée : exécutez les commandes gpupdate /force et gpresult /h
Pour plus d’informations sur la résolution des problèmes stratégie de groupe Application et les composants associés dépendants, consultez les rubriques suivantes :
4. J’ai un ID d’événement 5827 pour un appareil Windows. Je pensais que vous avez dit que Windows n’est pas impacté ?
Par défaut, les versions prises en charge de Windows qui ont été entièrement mises à jour ne doivent pas utiliser de connexions de canal sécurisé Netlogon vulnérables. Si un ID d’événement 5827 est enregistré dans le journal des événements système pour un appareil Windows :
- Vérifiez que l’appareil exécute une version prise en charge de Windows.
- Vérifiez que l’appareil est entièrement mis à jour à partir de Windows Update.
- Vérifiez que membre de domaine : Chiffrer ou signer numériquement les données du canal sécurisé (toujours) est défini sur Activé dans un objet de stratégie de groupe lié à l’unité d’organisation pour tous vos contrôleurs de domaine, tels que l’objet de stratégie de groupe des contrôleurs de domaine par défaut.
5. Les stations de travail et les appareils de point de terminaison doivent-ils également être mis à jour ?
Oui, ils doivent être mis à jour, mais ils ne sont pas spécifiquement vulnérables à CVE-2020-1472.
6. Les serveurs Windows non DC ou les autres appareils Windows doivent-ils être mis à jour avec les mises à jour publiées le 11 août 2020 ou ultérieurement avant la mise à jour des contrôleurs de domaine ?
Non, les contrôleurs de domaine sont le seul rôle affecté par CVE-2020-1472 et peuvent être mis à jour indépendamment des serveurs Windows non dc et d’autres appareils Windows.
7. Pourquoi Windows Server 2008 SP2 n’est-il pas mis à jour pour répondre à CVE-2020-1472 ?
Windows Server 2008 SP2 n’est pas vulnérable à ce CVE spécifique, car il n’utilise pas AES pour secure RPC.
8. Ai-je besoin d’ESU pour Windows Server 2008 R2 SP1 pour traiter CVE-2020-1472 ?
Oui, vous aurez besoin de la mise à jour de sécurité étendue (ESU) pour installer les mises à jour pour résoudre cve-2020-1472 pour Windows Server 2008 R2 SP1.
9. Comment faire s’assurer que mes contrôleurs de domaine sont protégés ?
En déployant les mises à jour du 11 août 2020 ou ultérieures sur tous les contrôleurs de domaine de votre environnement.
Vérifiez qu’aucun des appareils ajoutés à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » n’a de services de privilèges d’administrateur de domaine ou d’administrateur de domaine, tels que SCCM ou Microsoft Exchange. Note Tous les appareils de la liste verte sont autorisés à utiliser des connexions vulnérables et peuvent exposer votre environnement à l’attaque.
10. Si j’ai déployé des mises à jour sur tous mes contrôleurs de domaine, mon entreprise est-elle protégée contre CVE-2020-1472 ?
L’installation des mises à jour publiées le 11 août 2020 ou version ultérieure sur les contrôleurs de domaine protège les comptes d’ordinateur Windows, les comptes d’approbation et les comptes de contrôleur de domaine.
Les comptes d’ordinateur Active Directory pour les appareils tiers joints à un domaine ne sont pas protégés tant que le mode d’application n’est pas déployé. Les comptes d’ordinateur ne sont pas non plus protégés s’ils sont ajoutés à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
11. Comment faire m’assurer que mes identités d’appareils joints à un domaine Windows sont protégées ?
Vérifiez que tous les contrôleurs de domaine de votre environnement ont installé les mises à jour du 11 août 2020 ou ultérieures.
Toutes les identités d’appareil qui ont été ajoutées à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » seront vulnérables aux attaques.
12. Comment faire m’assurer que mes identités d’appareil jointes à un domaine tiers sont protégées ?
Vérifiez que tous les contrôleurs de domaine de votre environnement ont installé les mises à jour du 11 août 2020 ou ultérieures.
Activez le mode d’application pour refuser les connexions vulnérables à partir d’identités d’appareils tiers non conformes.
Note Avec le mode d’application activé, toutes les identités d’appareil tierces qui ont été ajoutées à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » sont toujours vulnérables et peuvent autoriser un accès non autorisé à votre réseau ou à vos appareils.
13. Qu’est-ce que le mode d’application ?
Le mode d’application indique aux contrôleurs de domaine de ne pas autoriser les connexions Netlogon à partir d’appareils qui n’utilisent pas rpc sécurisé, sauf si ces comptes d’appareil ont été ajoutés à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ».
Pour plus d’informations, consultez la section Valeur de Registre pour le mode d’application .
14. Quels comptes d’ordinateur doivent être ajoutés à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » ?
Seuls les comptes d’ordinateur pour les appareils qui ne peuvent pas être sécurisés en activant Secure RPC sur le canal sécurisé Netlogon doivent être ajoutés à la stratégie de groupe. Il est recommandé de rendre ces appareils conformes ou de les remplacer pour protéger votre environnement.
15. Que peut faire un attaquant aux comptes d’ordinateur qui se trouvent sur la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » ?
Un attaquant peut prendre le contrôle d’une identité d’ordinateur Active Directory de n’importe quel compte d’ordinateur ajouté à la stratégie de groupe, puis tirer parti des autorisations dont dispose l’identité de l’ordinateur.
16. Pourquoi ajouter un compte d’ordinateur à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables » ?
Si vous disposez d’un appareil tiers qui ne prend pas en charge le protocole RPC sécurisé pour le canal sécurisé Netlogon et que vous souhaitez activer le mode d’application, vous devez ajouter le compte d’ordinateur pour cet appareil à la stratégie de groupe. Cela n’est pas recommandé et peut laisser votre domaine dans un état potentiellement vulnérable. Il est recommandé d’utiliser cette stratégie de groupe pour laisser le temps de mettre à jour ou de remplacer des appareils tiers afin de les rendre conformes.
17. Quand souhaite-je activer le mode d’application ?
Le mode d’application doit être activé dès que possible. Tout appareil tiers doit être traité en le rendant conforme ou en l’ajoutant à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». Note Tous les appareils de la liste verte sont autorisés à utiliser des connexions vulnérables et peuvent exposer votre environnement à l’attaque.
Glossaire
| Terme | Définition |
|---|---|
| AD | Active Directory |
| DC | Contrôleur de domaine |
| Mode d’application | Clé de Registre qui vous permet d’activer le mode d’application avant le 9 février 2021. |
| phase de mise en conformité | Phase commençant par les mises à jour du 9 février 2021 où le mode d’application sera activé sur tous les contrôleurs de domaine Windows, quel que soit le paramètre de Registre. Les contrôleurs de domaine refusent les connexions vulnérables de tous les appareils non conformes, sauf s’ils sont ajoutés à la stratégie de groupe « Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables ». |
| phase de déploiement initiale | Phase commençant par les mises à jour du 11 août 2020 et se poursuit avec les mises à jour ultérieures jusqu’à la phase d’application. |
| compte d’ordinateur | Également appelé ordinateur Active Directory ou objet ordinateur. Consultez le glossaire MS-NPRC pour obtenir une définition complète. |
| MS-NRPC | Microsoft Netlogon Remote ProtoCol |
| Appareil non conforme | Un appareil non conforme est un appareil qui utilise une connexion de canal sécurisé Netlogon vulnérable. |
| RODC | Contrôleurs de domaine en lecture seule |
| Connexion vulnérable | Une connexion vulnérable est une connexion de canal sécurisé Netlogon qui n’utilise pas rpc sécurisé. |