Comment gérer les modifications apportées aux connexions de canaux sécurisés Netlogon associées à CVE-2020-1472

Résumé

Le protocole distant Netlogon (également appelé MS-NRPC) est une interface RPC utilisée exclusivement par des appareils joints à des domaines. MS-NRPC inclut une méthode d’authentification et une méthode pour établir un canal sécurisé Netlogon. Ces mises à jour appliquent le comportement de client Netlogon spécifié afin d’utiliser un RPC sécurisé avec un canal sécurisé Netlogon entre les ordinateurs membres et les contrôleurs de domaine Active Directory (AD).

Cette mise à jour de sécurité corrige la vulnérabilité en appliquant des appels RPC sécurisés lors de l’utilisation du canal sécurisé Netlogon dans le cas d’une publication progressive expliquée dans la section synchronisation des mises à jour de l’adresse Netlogon-2020-1472 . Pour assurer la protection des forêts AD, tous les contrôleurs de domaine doivent être mis à jour, car ils appliquent la sécurité RPC sécurisée avec un canal sécurisé Netlogon. Cela inclut les contrôleurs de domaine en lecture seule (RODC).

Pour en savoir plus sur la vulnérabilité, voir CVE-2020-1472.

Effectuer une action

Pour protéger votre environnement et prévenir les pannes, procédez comme suit :

Remarque Étape 1 : installer les mises à jour publiées le 11 août 2020 ou version ultérieure résoudre le problème de sécurité dans CVE-2020-1472 pour les domaines et approbations Active Directory, ainsi que sur les appareils Windows. Pour atténuer complètement le problème de sécurité pour les appareils tiers, vous devez effectuer les étapes ci-dessous.

Avertissement À compter du 2021 février, le mode de mise en œuvre est activé sur tous les contrôleurs de domaine Windows et bloque les connexions vulnérables des appareils non conformes. À ce stade, vous ne pouvez pas désactiver le mode de mise en œuvre.

  1. Mettez à jour vos contrôleurs de domaine avec une mise à jour publiée le 11 août 2020 ou une version ultérieure.

  2. Recherchez les appareils qui rendent des connexions vulnérables en surveillant les journaux d’événements.

  3. Adressez les périphériques non conformes qui constituent des connexions vulnérables.

  4. Activez le mode d’application pour résoudre la 2020-1472 de votre environnement.


Remarque Si vous utilisez Windows Server 2008 R2 SP1, vous avez besoin d’une licence de mise à jour de sécurité prolongée (UDE) pour installer correctement les mises à jour pour résoudre ce problème. Pour plus d’informations sur le programme UDE, consultez le Forum aux questions sur le cycle de vie des mises à jour de sécurité.

Dans cet article :

Vulnérabilité de synchronisation des mises à jour apportées à l’adresse Netlogon-2020-1472

Les mises à jour sont publiées en deux phases : phase initiale des mises à jour publiées le 11 août 2020 et la phase d’application des mises à jour publiées le 9 février 2021.

11 août 2020-phase de déploiement initiale

La phase de déploiement initiale commence par les mises à jour publiées le 11 août 2020 et poursuit les mises à jour ultérieures jusqu’à la phase d’exécution. Ces mises à jour et versions ultérieures modifient le protocole Netlogon pour protéger les appareils Windows par défaut, consigne les événements pour la découverte d’appareils non conformes et ajoutent la possibilité d’activer la protection pour tous les appareils joints à un domaine avec des exceptions explicites. Cette version :

  • Applique l’utilisation d’appels RPC sécurisés pour les comptes d’ordinateur sur les appareils Windows.

  • Applique l’utilisation d’appels RPC sécurisés pour les comptes d’approbation.

  • Applique l’utilisation d’appels RPC sécurisés pour tous les contrôleurs de service Windows et non Windows.

  • Inclut une nouvelle stratégie de groupe pour autoriser les comptes d’appareils non conformes (ceux qui utilisent des connexions de canaux sécurisées Netlogon vulnérables). Même lorsque les contrôleurs de service fonctionnent en mode d’application ou après le démarrage de la phase d’exécution , les appareils autorisés ne sont pas connectés au connexion.

  • Clé de Registre FullSecureChannelProtection pour activer le mode d’application DC pour tous les comptes d’ordinateur (la phase d’application mettra à jour DCS en mode d' applicationDC).

  • Inclut les nouveaux événements lorsque les comptes sont refusés ou ne sont pas autorisés dans le mode d’application du contrôleur de compte (et se poursuivent dans la phase d’application). Les ID d’événement spécifiques sont expliqués plus loin dans cet article.

L’atténuation consiste à installer la mise à jour sur tous les DC et RODC, à surveiller les nouveaux événements et à traiter les appareils non conformes qui utilisent des connexions de canaux sécurisées Netlogon vulnérables. Les comptes d’ordinateur sur les appareils non conformes peuvent être autorisés à utiliser les connexions de canaux sécurisés Netlogon vulnérables ; Toutefois, ils doivent être mis à jour de façon à prendre en charge les appels RPC sécurisés pour Netlogon et le compte appliqué dès que possible pour éliminer les risques d’attaques.

9 février, 2021-phase d’application

La publication 2021 9 février marque la transition dans la phase d’application. Les contrôleurs de code sont désormais en mode d’application quelle que soit la clé de Registre mode d’application. Pour cela, tous les appareils Windows et non-Windows doivent utiliser le protocole RPC sécurisé avec un canal sécurisé Netlogon ou autoriser explicitement le compte en ajoutant une exception pour l’appareil non conforme. Cette version :

  • Applique l’utilisation d’appels RPC sécurisés pour les comptes d’ordinateur sur les appareils autres que Windows, sauf autorisation de «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

  • La journalisation de l’ID d’événement 5829 est supprimée. Étant donné que toutes les connexions vulnérables sont refusées, vous ne voyez désormais que les ID d’événement 5827 et 5828 dans le journal des événements système.

Instructions de déploiement-déploiement des mises à jour et application de la conformité

La phase de déploiement initiale comprend les étapes suivantes :

  1. Déploiement des mises à jour du 11 aoûtsur tous les DC de la forêt.

  2. (a) pour les événements d’avertissementet (b) agir sur chaque événement.

  3. (a) une fois que tous les événements d’avertissement ont été traités, une protection complète peut être activée en déployant le mode d’exécutiondu contrôleur de contrôle. (b) tous les avertissements doivent être résolus avant la mise à jour de la phase d’application du 9 février 2021.

étape 1 : MISE à jour

Déploiement des mises à jour du 11 août 2020

Déployer les mises à jour du 11 août sur tous les contrôleurs de domaine (DCs) applicables dans la forêt, y compris les contrôleurs de domaine en lecture seule (RODC). Après le déploiement de cette mise à jour, les contrôleurs de contrôle peuvent :

  • Commencez à appliquer l’utilisation d’appels RPC sécurisés pour tous les comptes d’appareils Windows, les comptes d’approbation et tous les contrôleurs de documents.

  • Consignez les ID d’événement 5827 et 5828 dans le journal des événements système, si les connexions sont refusées.

  • Enregistrer les ID d’événement 5830 et 5831 dans le journal des événements système, si les connexions sont autorisées par contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

  • Enregistrez l’ID d’événement 5829 dans le journal des événements système lorsqu’une connexion à un canal sécurisé Netlogon vulnérable est autorisée. Ces événements doivent être traités avant que le mode d’application des DC soit configuré ou avant la phase d’exécution du 9 février 2021.

 

étape 2a : Rechercher

Détection de périphériques non conformes à l’aide de l’ID d’événement 5829

Après le 11 août, 2020 mises à jour ont été appliquées aux DC. les événements peuvent être collectés dans des journaux d’événements DC pour identifier les appareils de votre environnement utilisant des connexions de canaux sécurisées Netlogon (appelées périphériques non conformes dans cet article). Surveiller les DC corrigés pour les événements ID d’événement 5829. Les événements incluent les informations pertinentes pour identifier les appareils non conformes.

Pour surveiller les événements, utilisez le logiciel de surveillance des événements disponible ou un script pour analyser vos DC.  Pour consulter un exemple de script que vous pouvez adapter à votre environnement, voir script pour l’analyse des ID d’événement relatifs aux mises à jour de Netlogon pour CVE-2020-1472

étape 2b : ADRESSE

Adressage des ID d’événement 5827 et 5828

Par défaut, les versions de Windows prises en charge qui ont été entièrement mises à jour ne doivent pas utiliser les connexions de canaux sécurisés Netlogon vulnérables. Si l’un de ces événements est consigné dans le journal des événements système pour un appareil Windows :

  1. Vérifiez que l’appareil exécute une version prise en charge de Windows.

  2. Assurez-vous que l’appareil est complètement mis à jour.

  3. Assurez-vous que membre de domaine : Chiffrer ou signer numériquement les données des canaux sécurisés (toujours) est activée.

Pour les appareils autres que Windows qui agissent comme des DC, ces événements sont enregistrés dans le journal des événements système lors de l’utilisation de connexions de canaux sécurisées Netlogon vulnérables. Si l’un de ces événements est consigné :

  • Recommandé Utiliser le fabricant d’appareils (OEM) ou le fournisseur de logiciels pour obtenir une assistance pour le service RPC sécurisé avec canal sécurisé Netlogon

    1. Si le contrôleur de contexte non conforme prend en charge les appels RPC sécurisés avec un canal sécurisé Netlogon, activez RPC sécurisé sur le contrôleur de réseau.

    2. Si le contrôleur de contexte non compatible ne prend pas en charge les RPC sécurisés pour le moment, collaborez avec le fabricant d’appareils (OEM) ou le revendeur de logiciels pour obtenir une mise à jour qui prend en charge les appels RPC sécurisés avec un canal sécurisé Netlogon.

    3. Retirer le contrôleur de contexte non conforme.

  • Exposés Si un contrôleur de domaine non compatible ne prend pas en charge les appels RPC sécurisés avec un canal sécurisé Netlogon avant que les DC ne soient en mode d’application, ajoutez le contrôleur de domaine à l’aide du «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités» décrites ci-dessous.

Avertissement Autoriser les contrôleurs de service à utiliser des connexions vulnérables par la stratégie de groupe rend la forêt vulnérable aux attaques. L’objectif de fin doit être d’adresser et de supprimer tous les comptes de cette stratégie de groupe.

 

Événement d’adressage 5829

L’ID d’événement 5829 est généré lorsqu’une connexion vulnérable est autorisée pendant la phase de déploiement initiale. Ces connexions seront refusées lorsque les contrôleurs de contrôle sont en mode d’application. Dans ces événements, concentrez-vous sur le nom de l’ordinateur, le domaine et les versions de système d’exploitation identifiés pour identifier les appareils non conformes et la manière dont ils doivent être traités.

Méthodes pour gérer les appareils non conformes :

  • Recommandé Utiliser le fabricant d’appareils (OEM) ou le fournisseur de logiciels pour obtenir une assistance pour le service RPC sécurisé avec canal sécurisé Netlogon :

    1. Si l’appareil non conforme prend en charge les appels RPC sécurisés avec un canal sécurisé Netlogon, activez RPC sécurisé sur l’appareil.

    2. Si l’appareil non conforme ne prend actuellement pas en charge les appels RPC sécurisés avec un canal sécurisé Netlogon, travaillez avec le fabricant de l’appareil ou le fournisseur du logiciel pour obtenir une mise à jour permettant d’activer RPC sécurisé avec canal sécurisé Netlogon.

    3. Retirer l’appareil non conforme.

  • Exposés Si un appareil non conforme ne peut pas prendre en charge les RPC sécurisés avec un canal sécurisé Netlogon avant que les contrôleurs de domaine soient en mode d’application, ajoutez l’appareil à l’aide du «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités» décrites ci-dessous.

Avertissement Autoriser les comptes d’appareils à utiliser des connexions vulnérables par la stratégie de groupe permet de mettre en péril les comptes AD. L’objectif de fin doit être d’adresser et de supprimer tous les comptes de cette stratégie de groupe.

 

Autoriser les connexions vulnérables provenant d’appareils tiers

Utilisez le contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités» de stratégie de groupe pour ajouter des comptes non conformes. Cette opération ne doit être envisagée qu’en cas de réparation à court terme, jusqu’à ce que les appareils non conformes soient traités comme décrit ci-dessus. Remarque L’autorisation des connexions vulnérables à partir d’appareils non conformes peut avoir un impact sur la sécurité et doit être autorisée avec précaution.

  1. Créé un ou plusieurs groupes de sécurité pour les comptes qui sont autorisés à utiliser un canal sécurisé Netlogon vulnérable.

  2. Dans stratégie de groupe, accédez à configuration de l’ordinateur > paramètres de Windows > paramètres de sécurité > stratégies locales > Options de sécurité

  3. Recherchez «contrôleur de domaine : Autoriser les connexions de canaux sécurisées Netlogon ".

  4. Si le groupe administrateur ou un groupe non spécifiquement créé pour être utilisé avec cette stratégie de groupe est présent, supprimez-le.

  5. Ajoutez un groupe de sécurité spécifiquement conçu pour une utilisation avec cette stratégie de groupe pour le descripteur de sécurité avec l’autorisation « autoriser ». Remarque L’autorisation « refuser » se comporte de la même façon que si le compte n’a pas été ajouté (par exemple,). les comptes ne sont pas autorisés à rendre les canaux sécurisés Netlogon vulnérables.

  6. Une fois que le ou les groupes de sécurité ont été ajoutés, la stratégie de groupe doit être répliquée sur tous les DC.

  7. Suivez régulièrement les événements 5827, 5828 et 5829 pour identifier les comptes utilisant des connexions de canaux sécurisés vulnérables.

  8. Ajoutez ces comptes d’ordinateur au (x) groupe de sécurité, le cas échéant. Meilleure pratique Utilisez les groupes de sécurité dans la stratégie de groupe et ajoutez des comptes au groupe afin que les membres soient répliqués via une réplication classique. Cela évite les mises à jour fréquentes de la stratégie de groupe et les retards de réplication.

Une fois que tous les appareils non conformes ont été traités, vous pouvez déplacer vos DC vers le mode d’application (voir la section suivante).

Avertissement Le fait d’autoriser les contrôleurs de service à utiliser des connexions vulnérables pour les comptes d’approbation par la stratégie de groupe rend la forêt vulnérable aux attaques. Les comptes d’approbation sont généralement nommés après le domaine approuvé, par exemple : Le contrôleur de domaine dans Domain-a a une approbation avec un contrôleur de domaine dans domaine-b. En interne, le contrôleur de domaine dans domaine a possède un compte d’approbation nommé « domaine-b $ » qui représente l’objet d’approbation pour le domaine-b. Si le contrôleur de domaine de domaine-a souhaite exposer la forêt au risque d’une attaque en autorisant les connexions par canal sécurisé Netlogon vulnérables à partir du compte de confiance domaine-b, un administrateur peut utiliser Add-adgroupmember-Identity "nom du groupe de sécurité"-membres "domaine-b $" pour ajouter le compte d’approbation au groupe de sécurité.

 

étape 3a : ACTIVER

Passer au mode d’application avant la phase d’application du 2021 février

Une fois que tous les appareils non conformes ont été traités, soit en activant RPC sécurisé, soit en autorisant les connexions vulnérables avec le contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités»stratégie de groupe, attribuez la valeur 1 à la clé de Registre FullSecureChannelProtection.

Remarque Si vous utilisez le «contrôleur de domaine : Autoriser les connexions de canaux sécurisées Netlogon de vulnérabilités»de stratégie de groupe, assurez-vous que la stratégie de groupe a été répliquée et appliquée à tous les DC avant de définir la clé de Registre FullSecureChannelProtection.

Lorsque la clé de Registre FullSecureChannelProtection est déployée, DCs est en mode d’application. Ce paramètre exige que tous les appareils utilisant un canal sécurisé Netlogon :

Avertissement Les clients tiers qui ne prennent pas en charge les appels RPC sécurisés avec des connexions de canaux sécurisés Netlogon sont refusés lorsque la clé de Registre du mode d’application DC est déployée et peut perturber les services de production.

 

étape 3b : Phase d’application

Déploiement des mises à jour du 9 février 2021

Déploiement des mises à jour publiées le 9 février 2021 ou version ultérieure active le mode d’applicationDC. Le mode d’application DC est activé lorsque toutes les connexions Netlogon sont requises pour utiliser les RPC sécurisés ou que le compte doit avoir été ajouté au contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe. Pour l’instant, la clé de Registre FullSecureChannelProtection n’est plus nécessaire et ne sera plus prise en charge.

«Contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables» stratégie de groupe

Il est recommandé d’utiliser les groupes de sécurité dans la stratégie de groupe afin que l’appartenance soit répliquée via une réplication classique. Cela évite les mises à jour fréquentes de la stratégie de groupe et les retards de réplication.

Chemin de stratégie et nom du paramètre

Description

Chemin d’accès de stratégie : Configuration ordinateur > paramètres de Windows > paramètres de sécurité > stratégies locales > options de sécurité

Nom du paramètre : contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables

Redémarrage nécessaire ? Non

Ce paramètre de sécurité détermine si le contrôleur de domaine ignore les connexions RPC sécurisées pour les connexions de canaux sécurisés Netlogon pour les comptes d’ordinateur spécifiés.

Cette stratégie doit être appliquée à tous les contrôleurs de domaine d’une forêt en activant la stratégie sur l’unité d’organisation Domain Controllers.

Lorsque la liste créer des connexions vulnérables (liste verte) est configurée :

  • Autorisés Le contrôleur de domaine autorise le groupe ou les comptes spécifiés à utiliser un canal sécurisé Netlogon sans RPC sécurisé.

  • Exclusion Ce paramètre est identique au comportement par défaut. Le contrôleur de domaine nécessite que le groupe ou les comptes spécifiés utilisent un canal sécurisé Netlogon avec RPC sécurisé.

Avertissement L’activation de cette stratégie permet d’exposer vos appareils joints au domaine et votre forêt Active Directory, ce qui peut les mettre en péril. Cette stratégie doit être utilisée comme mesure temporaire pour les appareils tiers pendant le déploiement des mises à jour. Une fois qu’un appareil tiers a été mis à jour pour prendre en charge l’utilisation de RPC sécurisé avec des canaux sécurisés Netlogon, le compte doit être supprimé de la liste créer des connexions vulnérables. Pour mieux comprendre le risque de configurer les comptes afin de pouvoir utiliser des connexions de canaux sécurisés Netlogon vulnérables, visitez https://go.microsoft.com/fwlink/ ?linkid=2133485.

Défini Cette stratégie n’est pas configurée. Aucun compte d’ordinateur ou de confiance ne sont explicitement exemptés des appels RPC sécurisés avec l’application de connexions au canal sécurisé Netlogon.

Cette stratégie est prise en charge sur Windows Server 2008 R2 SP1 et versions ultérieures.

Erreurs du journal des événements Windows en relation avec CVE-2020-1472

Il existe trois catégories d’événements :

1. Événements consignés lorsqu’une connexion est refusée, car une connexion à un canal sécurisé Netlogon vulnérable a été tentée :

  • Erreur 5827 (comptes d’ordinateur)

  • Erreur 5828 (comptes d’approbation)

2. Événements consignés lorsqu’une connexion est autorisée parce que le compte a été ajouté au «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe :

  • AVERTISSEMENT 5830 (comptes d’ordinateur)

  • AVERTISSEMENT 5831 (comptes de confiance)

3. Événements consignés lorsqu’une connexion est autorisée dans le cadre de la publication initiale, laquelle est refusée dans le mode d’applicationDC :

  • AVERTISSEMENT 5829 (comptes d’ordinateur)

ID d’événement 5827

L’ID d’événement 5827 est consigné lorsque la connexion à un canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur est refusée.

Journal des événements

Système

Source d’événement

NETLOGon

ID d’événement

5827

Niveau

Erreur

Texte du message d’événement

Le service Netlogon a refusé une connexion à un canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur.

SamAccountName de l’ordinateur :

Domaine :

Type de compte :

Système d’exploitation de l’ordinateur :

Version du système d’exploitation de l’ordinateur :

Service Pack du système d’exploitation de l’ordinateur :

Pour plus d’informations sur la raison pour laquelle cela a été refusé, visitez https://go.Microsoft.com/fwlink/ ?LinkId=2133485.

 

ID d’événement 5828

L’ID d’événement 5828 est consigné lorsque la connexion à un canal sécurisé Netlogon vulnérable à partir d’un compte d’approbation est refusée.

Journal des événements

Système

Source d’événement

NETLOGon

ID d’événement

5828

Niveau

Erreur

Texte du message d’événement

Le service Netlogon a refusé une connexion à un canal sécurisé Netlogon vulnérable à l’aide d’un compte d’approbation.

Type de compte :

Nom d’approbation :

Cible de confiance :

Adresse IP du client :

Pour plus d’informations sur la raison pour laquelle cela a été refusé, visitez https://go.Microsoft.com/fwlink/ ?LinkId=2133485.

 

ID d’événement 5829

L’ID d’événement 5829 est uniquement consigné pendant la phase de déploiement initiale, lorsqu’une connexion à un canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur est autorisée.

Lorsque le mode d’application DC est déployé ou une fois la phase d’exécution commencée avec le déploiement des mises à jour du 9 février 2021, ces connexions sont refusées et l’ID d’événement 5827 est enregistré. C’est pourquoi il est important de surveiller l’événement 5829 pendant la phase de déploiement initiale et d’agir avant la phase d’exécution afin d’éviter toute panne.

Journal des événements

Système

Source d’événement

NETLOGon

ID d’événement

5829

Degré

Message

Texte du message d’événement

Le service Netlogon a autorisé une connexion à un canal sécurisé Netlogon vulnérable.  

Avertissement : Cette connexion est refusée une fois la phase d’application publiée. Pour mieux comprendre la phase d’implémentation, visitez https://go.Microsoft.com/fwlink/ ?LinkId=2133485.  

SamAccountName de l’ordinateur :  

Domaine :  

Type de compte :  

Système d’exploitation de l’ordinateur :  

Version du système d’exploitation de l’ordinateur :  

Service Pack du système d’exploitation de l’ordinateur :  

ID d’événement 5830

L’ID d’événement 5830 est consigné lorsque la connexion d’un compte réseau sécurisé Netlogon vulnérable est autorisée par «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

Journal des événements

Système

Source d’événement

NETLOGon

ID d’événement

5830

Niveau

Avertissement

Texte du message d’événement

Le service Netlogon a autorisé une connexion à un canal sécurisé Netlogon vulnérable, car le compte d’ordinateur est autorisé dans le «contrôleur de domaine : Autoriser les connexions de canaux sécurisées Netlogon, stratégie de groupe.

Avertissement : L’utilisation de canaux sécurisés Netlogon vulnérables permet d’exposer les appareils joints au domaine à des attaques. Pour protéger votre appareil contre les attaques, supprimez un compte d’ordinateur de «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables» après la mise à jour du client Netlogon tiers. Pour mieux comprendre le risque de configurer les comptes d’ordinateur afin de pouvoir utiliser les connexions de canaux sécurisés Netlogon vulnérables, visitez https://go.Microsoft.com/fwlink/ ?LinkId=2133485.

SamAccountName de l’ordinateur :

Domaine :

Type de compte :

Système d’exploitation de l’ordinateur :

Version du système d’exploitation de l’ordinateur :

Service Pack du système d’exploitation de l’ordinateur :

 

ID d’événement 5831

L’ID d’événement 5831 est consigné lorsqu’une connexion de compte d’approbation de canal sécurisée Netlogon vulnérable est autorisée par contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

Journal des événements

Système

Source d’événement

NETLOGon

ID d’événement

5831

Niveau

Avertissement

Texte du message d’événement

Le service Netlogon a autorisé une connexion réseau sécurisée Netlogon vulnérable, car le compte d’approbation est autorisé dans le «contrôleur de domaine : Autoriser les connexions de canaux sécurisées Netlogon, stratégie de groupe.

Avertissement : L’utilisation de canaux sécurisés Netlogon vulnérables permet d’exposer les forêts Active Directory à des attaques. Pour protéger vos forêts Active Directory contre les attaques, toutes les approbations doivent utiliser un RPC sécurisé avec un canal sécurisé Netlogon. Supprimer un compte d’approbation de «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables» une fois le client Netlogon tiers sur les contrôleurs de domaine mis à jour. Pour mieux comprendre le risque de configurer les comptes d’approbation afin de pouvoir utiliser les connexions de canaux sécurisés Netlogon vulnérables, visitez https://go.Microsoft.com/fwlink/ ?LinkId=2133485.

Type de compte :

Nom d’approbation :

Cible de confiance :

Adresse IP du client :

Valeur de Registre pour le mode d’application

avertissement des problèmes sérieux peuvent survenir si vous modifiez le registre de façon incorrecte à l’aide de l’éditeur du registre ou d’une autre méthode. Ces problèmes peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir la résolution de ces problèmes. Vous modifiez le registre à vos risques et périls. 

Les mises à jour du 11 août 2020 présentent le paramètre de Registre suivant pour activer le mode d’exécution au plus tôt. Celle-ci sera activée, quel que soit le paramètre du Registre dans la phase d’application, à partir du 9 février 2021 : 

Sous-clé de Registre

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valeur

FullSecureChannelProtection

Type de données

REG_DWORD

Données

1 – active le mode de mise en œuvre. DCs refuse les connexions de canaux sécurisés Netlogon vulnérables, sauf si le compte est autorisé par la liste créer une connexion vulnérable dans le contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.  

0 – les contrôleurs de périphériques autorisent des connexions de canaux sécurisés Netlogon vulnérables provenant de périphériques non-Windows. Cette option sera déconseillée dans la phase de mise en œuvre.

Redémarrage nécessaire ?

Non

 

Les appareils tiers implémentant [MS-NRPC] : Protocole distant Netlogon

Tous les clients ou serveurs tiers doivent utiliser un RPC sécurisé avec le canal sécurisé Netlogon. Veuillez contacter le fabricant d’appareils (OEM) ou les fournisseurs de logiciels pour déterminer si leur logiciel est compatible avec la dernière version du protocole distant Netlogon. 

Les mises à jour de protocole sont disponibles sur le site de documentation des protocoles Windows

Forum aux questions (FAQ)

  • Windows & appareils tiers joints au domaine qui ont des comptes d’ordinateur dans Active Directory (AD)

  • Les contrôleurs de domaine Windows Server & tierces dans les domaines approuvés & approuvés disposant de comptes d’approbation dans AD

Les appareils tiers ne sont peut-être pas conformes. Si votre solution tierce gère un compte d’ordinateur dans AD, contactez le fournisseur pour déterminer si vous avez subi une collision.

Les retards dans la réplication AD et SYSVOL ou les échecs d’application de stratégie de groupe sur le contrôleur de domaine d’authentification peuvent entraîner les modifications apportées à la stratégie de groupe «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités» la stratégie de groupe est absente et entraîne le refus du compte. 

Les étapes suivantes peuvent vous aider à résoudre le problème :

Par défaut, les versions de Windows prises en charge qui ont été entièrement mises à jour ne doivent pas utiliser les connexions de canaux sécurisés Netlogon vulnérables. Si un ID d’événement 5827 est consigné dans le journal des événements système pour un appareil Windows :

  1. Vérifiez que l’appareil exécute une version prise en charge de Windows.

  2. Assurez-vous que l’appareil est complètement mis à jour à partir de Windows Update.

  3. Assurez-vous que membre de domaine : Chiffrer ou signer numériquement les données des canaux sécurisés (toujours) est défini sur activé dans un objet de stratégie de groupe lié à l’unité d’organisation pour tous vos DC, tels que l’objet de stratégie de groupe contrôleurs de domaine par défaut.

Oui, ils doivent être mis à jour, mais ne sont pas spécifiquement vulnérables à CVE-2020-1472.

Non, DCs est le seul rôle affecté par CVE-2020-1472 et peut être mis à jour séparément pour les serveurs Windows non-DC et les autres appareils Windows.

Windows Server 2008 SP2 n’est pas exposé à ce CVE spécifique, car il n’utilise pas AES pour les appels RPC sécurisés.

Oui, vous aurez besoin de la mise à jour de sécurité prolongée (UDE) pour installer les mises à jour pour l’adresse CVE-2020-1472 pour Windows Server 2008 R2 SP1.

En déployant les mises à jour du 11 août 2020 ou version ultérieure sur tous les contrôleurs de domaine de votre environnement.

Assurez-vous qu’aucun appareil n’est ajouté au contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon de vulnérabilités» les services d’administrateur d’entreprise ou de domaine administrateur de domaine, tels que SCCM ou Microsoft Exchange.  Remarque Les appareils de la liste verte sont autorisés à utiliser des connexions vulnérables et peuvent exposer votre environnement à l’attaque.

Installation des mises à jour publiées le 11 août 2020 ou version ultérieure sur les contrôleurs de domaine protège les comptes d’ordinateur Windows, les comptes d’approbation et les comptes de contrôleur de domaine. 

Les comptes d’ordinateur Active Directory pour les appareils tiers joints au domaine ne sont pas protégés tant que le mode d’application n’est pas déployé. Les comptes d’ordinateur ne sont pas non plus protégés s’ils sont ajoutés au «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

Assurez-vous que tous les contrôleurs de domaine de votre environnement ont installé les mises à jour du 11 août 2020 ou version ultérieure.

Toutes les identités d’appareil qui ont été ajoutées au contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables» de stratégie de groupe est vulnérable aux attaques.   

Assurez-vous que tous les contrôleurs de domaine de votre environnement ont installé les mises à jour du 11 août 2020 ou version ultérieure. 

Activez le mode d’application pour refuser les connexions vulnérables contre les identités d’appareils tierces non conformes.

Remarque Avec le mode d’application activé, toutes les identités d’appareils tierces ajoutées au «contrôleur de domaine : Autoriser les connexions de canaux sécurisées Netlogon «les de stratégie de groupe resteront vulnérables et pourrait autoriser l’accès non autorisé d’un agresseur à votre réseau ou à vos appareils.

Le mode d’application indique aux contrôleurs de domaine de ne pas autoriser les connexions Netlogon à partir d’appareils qui n’utilisent pas de RPC sécurisé, sauf si ces comptes d’appareils ont été ajoutés à «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

Pour plus d’informations, voir la section valeur de Registre pour le mode d’application .

Seuls les comptes d’ordinateur des appareils non sécurisés en activant RPC sécurisé sur le canal sécurisé Netlogon doivent être ajoutés à la stratégie de groupe. Nous vous conseillons d’assurer la conformité de ces appareils ou de les remplacer pour protéger votre environnement.

Un agresseur peut prendre l’identité d’un ordinateur Active Directory d’un compte d’ordinateur ajouté à la stratégie de groupe et tirer ensuite parti des autorisations de l’identité de l’ordinateur.

Si vous avez un appareil tiers qui ne prend pas en charge les RPC sécurisés pour le canal sécurisé Netlogon et que vous voulez activer le mode d’application, vous devez ajouter le compte d’ordinateur de cet appareil à la stratégie de groupe. Cela n’est pas recommandé et pourrait laisser votre domaine dans un État potentiellement vulnérable.  Nous vous conseillons d’utiliser cette stratégie de groupe pour autoriser la mise à jour ou le remplacement des appareils tiers afin de les rendre conformes.

Le mode d’exécution doit être activé dès que possible. Les appareils tiers devront être traités soit en les faisant respecter, soit en les ajoutant à «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe. Remarque Les appareils de la liste verte sont autorisés à utiliser des connexions vulnérables et peuvent exposer votre environnement à l’attaque.

 

Glossaire

Terme

XSD

PUBLICITE

Active Directory

DC

Contrôleur de domaine

Mode d’application

Clé de Registre qui vous permet d’activer le mode d’application avant le 9 février 2021.

Phase d’application

Phase à partir du 9 février, 2021 les mises à jour pour lesquelles le mode d’application est activé sur tous les contrôleurs de domaine Windows, quel que soit le paramètre du Registre. DCs refuse les connexions vulnérables de tous les appareils non compatibles, sauf si ceux-ci sont ajoutés au «contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables»de stratégie de groupe.

Phase de déploiement initiale

Phase commençant par les mises à jour du 11 août 2020 et poursuivant les mises à jour ultérieures jusqu’à la phase d’exécution.

compte d’ordinateur

Également appelé objet ordinateur ou ordinateur Active Directory.  Pour connaître la définition complète, consultez le Glossaire MS-NPRC .

MS-NRPC

Protocole distant Microsoft Netlogon

Appareil non conforme

Un appareil non conforme est un appareil qui utilise une connexion réseau sécurisée Netlogon vulnérable.

RODC

contrôleurs de domaine en lecture seule

Connexion vulnérable

Une connexion vulnérable est une connexion par canal sécurisé Netlogon qui n’utilise pas de RPC sécurisé.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×