סיכום
פרוטוקול מרוחק Netlogon (הנקרא גם MS-NRPC) הוא ממשק RPC שנמצא בשימוש באופן בלעדי על-ידי התקנים המצורפים לתחום. MS-NRPC כולל שיטת אימות ושיטה ליצור ערוץ מאובטח של Netlogon. עדכונים אלה אוכפים את אופן הפעולה המצוין של לקוח Netlogon כדי להשתמש ב-RPC מאובטח באמצעות ערוץ מאובטח של Netlogon בין מחשבי חבר לבין בקרי תחום של Active Directory (DC).
עדכון אבטחה זה מטפל בפגיעות על-ידי אכיפה מאובטחת של RPC בעת שימוש בערוץ המאובטח של Netlogon בהפצה בשלבים המוסברים בתזמון העדכונים כדי לטפל בפגיעות של netlogon על-ידי מקטע CVE-2020-1472 . כדי לספק הגנה מפני יערות, יש לעדכן את כל DCs, מכיוון שהוא יאכוף RPC מאובטח באמצעות ערוץ מאובטח של Netlogon. הדבר כולל בקרי תחום לקריאה בלבד (RODC).
כדי לקבל מידע נוסף על הפגיעות, ראה CVE-2020-1472.
בצע פעולה
כדי להגן על הסביבה שלך ולמנוע הפסקות, עליך לבצע את הפעולות הבאות:
שים לב שלב 1 של התקנת עדכונים שהופצו ב-11 באוגוסט 2020 ואילך יגרום לבעיות אבטחה ב -CVE-2020-1472 עבור תחומים ויחסי אמון של Active Directory וכן מכשירי Windows. כדי לצמצם באופן מלא את בעיית האבטחה עבור מכשירים חיצוניים, יהיה עליך להשלים את כל השלבים.
אזהרה החל מפברואר 2021, מצב אכיפה יהיה זמין בכל בקרי התחום של Windows, ויחסום חיבורים פגיעים ממכשירים שאינם תואמים. בשלב זה, לא תוכל לבטל את מצב האכיפה.
שים לב אם אתה משתמש ב- Windows Server 2008 R2 SP1, דרוש לך רשיון עדכון אבטחה מורחב (לא זמין) כדי להתקין בהצלחה את כל העדכונים העוסקים בבעיה זו. לקבלת מידע נוסף על התוכנית של ה -, ראה שאלות נפוצות בנושא מחזור חיי – עדכוני אבטחה מורחבים.
במאמר זה:
-
"בקר תחום: אפשר התקשרויות של ' מדיניות קבוצתית ' של "Netlogon"
-
מכשירי צד שלישי בהטמעה [MS-NRPC]: פרוטוקולים מרוחקים של Netlogon
תזמון עדכונים לטיפול בפגיעות Netlogon CVE-2020-1472
העדכונים יופצו בשני שלבים: השלב ההתחלתי לעדכונים שהופצו ב-11 באוגוסט, 2020 ובשלב האכיפה עבור עדכונים שפורסמו ב-9 בפברואר 2021.
11 באוגוסט 2020-שלב הפריסה ההתחלתי
שלב הפריסה ההתחלתי מתחיל בעדכונים שהופצו ב-11 באוגוסט 2020 וממשיך עם עדכונים מאוחרים יותר עד לשלב האכיפה. עדכונים אלה ואילך מבצע שינויים בפרוטוקול Netlogon כדי להגן על מכשירים של Windows כברירת מחדל, מבצע רישום אירועים לגילוי מכשירים שאינם תואמים ומוסיף את היכולת לאפשר הגנה עבור כל המכשירים המצורפים לתחום עם חריגים מפורשים. מהדורה זו:
-
אכיפת שימוש מאובטח באמצעות RPC עבור חשבונות מחשבים במכשירים המבוססים על Windows.
-
אכיפה של שימוש מאובטח של RPC עבור חשבונות אמון.
-
אכיפה של שימוש בפרוטוקול RPC מאובטח עבור כל Windows ו-DCs שאינם של Windows.
-
כולל מדיניות קבוצתית חדשה כדי לאפשר חשבונות מכשיר שאינם תואמים (אלה המשתמשים בחיבורי ערוצים מאובטחים של Netlogon). גם כאשר DCs פועלים במצב אכיפה או לאחר ששלב האכיפה מופעל, מכשירים מותרים לא יידחו את החיבור.
-
מפתח הרישום של FullSecureChannelProtection כדי להפוך את מצב האכיפה של dc לזמין עבור כל חשבונות מחשבים (שלב האכיפה יעדכן את בקרי בקרי האכיפהשל dc).
-
כולל אירועים חדשים כאשר חשבונות מכחישים או נשללים במצב האכיפה של DC (והוא ימשיך לשלב האכיפה). מזהה האירוע הספציפי מוסבר בהמשך מאמר זה.
ההקלה מורכבת מהתקנת העדכון בכל DCs ו-RODCs, ניטור עבור אירועים חדשים ומיעון מכשירים שאינם תואמיים שמשתמשים בחיבורי ערוצים מאובטחים באמצעות Netlogon. ניתן לאפשר לחשבונות מחשב במכשירים שאינם תואמים להשתמש בחיבורי ערוצים מאובטחים של Netlogon. עם זאת, יש לעדכן אותן כדי לתמוך ב-RPC מאובטח עבור Netlogon, והחשבון נאכף בהקדם האפשרי כדי להסיר את הסיכון להתקפה.
9 בפברואר 2021-שלב האכיפה
הפצה ב-9 בפברואר 2021 מסמנת את המעבר לשלב האכיפה. בקרי התחום יהיו כעת במצב אכיפה , ללא קשר למפתח הרישום מצב אכיפה. פעולה זו דורשת שכל המכשירים של Windows ושאינם של Windows ישתמשו ב-RPC secure באמצעות ערוץ מאובטח של Netlogon או יאפשרו באופן מפורש את החשבון על-ידי הוספת חריג עבור המכשיר שאינו תואם. מהדורה זו:
-
אכיפה מאובטחת של שימוש ב-RPC עבור חשבונות מחשבים במכשירים שאינם מבוססי Windows, אלא אם מותרים על-ידי "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
-
רישום מזהה אירוע 5829 יוסר. מכיוון שכל החיבורים הפגיעים נדחו, כעת תראה רק מזהי אירועים 5827 ו-5828 ביומן האירועים של המערכת.
קווים מנחים לפריסה-פריסת עדכונים ואכיפת תאימות
שלב הפריסה הראשונית יכלול את השלבים הבאים:
-
פריסת העדכונים של 11 באוגוסטלכל DCs ביער.
-
(א) צג עבור אירועי אזהרהו (ב) פועל בכל אירוע.
-
(א) כאשר כל אירועי האזהרה טופלו, ניתן להפעיל את ההגנה המלאה על-ידי פריסת מצב אכיפתDC. (ב) על כל האזהרות להיפתר לפני עדכון שלב האכיפה ב-9 בפברואר 2021.
שלב 1: עדכון
פריסה 11 באוגוסט, 2020 עדכונים
פרוס את העדכונים של 11 באוגוסט לכל בקרי התחום החלים (DCs) ביער, כולל בקרי תחום לקריאה בלבד (RODCs). לאחר פריסת העדכון, DCs אלה יתוקנו:
-
התחל לאכוף שימוש מאובטח של RPC עבור כל חשבונות המכשירים המבוססים על Windows, חשבונות אמון והכל בקרי התחום.
-
רשום את מזהי האירוע 5827 ו-5828 ביומן האירועים של המערכת, אם החיבורים נדחו.
-
Log מזהי אירועים 5830 ו-5831 ביומן האירועים של המערכת, אם חיבורים מותרים על-ידי "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
-
Log מזהה אירוע 5829 ביומן האירועים של המערכת בכל פעם שניתן להשתמש בחיבור לערוץ מאובטח של Netlogon. יש לטפל באירועים אלה לפני קביעת התצורה של מצב אכיפת DC או לפני תחילת שלב האכיפה ב-9 בפברואר 2021.
שלב 2a: מצא את
זיהוי מכשירים שאינם תואמים באמצעות מזהה האירוע 5829
לאחר ה-11 באוגוסט, 2020 הוחלו על DCs, ניתן לאסוף אירועים ביומני אירועי DC כדי לקבוע אילו מכשירים בסביבה שלך משתמשים בחיבורי ערוצים מאובטחים של Netlogon (המכונים ' מכשירים לא תואמים ' במאמר זה). הצג שתוקנו בקרי בקרה עבור מזהה אירוע 5829 אירועים. האירועים יכללו מידע רלוונטי לזיהוי המכשירים שאינם תואמים.
כדי לפקח על אירועים, השתמש בתוכנת ניטור האירועים הזמינה או באמצעות קובץ script כדי לפקח על DCs. עבור script לדוגמה שניתן להתאים לסביבה שלך, ראה קובץ script שיעזור לך לעקוב אחר מזהי אירועים הקשורים לעדכונים של Netlogon עבור CVE-2020-1472
שלב 2b: כתובת
מיעון מזהי אירועים 5827 ו-5828
כברירת מחדל, לא ניתן להשתמש בגירסאות הנתמכות של Windows שעודכנו באופן מלא כדי להשתמש בחיבורי ערוצים מאובטחים של Netlogon. אם אחד מהאירועים הללו נרשם ביומן האירועים של המערכת עבור מכשיר Windows:
-
ודא שההתקן מפעיל גירסאות נתמכות של Windows.
-
ודא שההתקן מתעדכן באופן מלא.
-
ודא שחבר תחום זה: הצפן או חתום באופן דיגיטלי נתוני ערוץ מאובטח (תמיד) מוגדר ל זמין.
עבור מכשירים שאינם של Windows הפועלים כתחום DC, אירועים אלה ייכנסו ליומן האירועים של המערכת כאשר ישתמשו בחיבורי ערוצים מאובטחים של Netlogon. אם אחד מהאירועים הללו נרשם לרישום:
-
מומלץ עבוד עם יצרן המכשיר (OEM) או ספק התוכנה כדי לקבל תמיכה עבור RPC מאובטח באמצעות ערוץ מאובטח של Netlogon
-
אם ה-DC הלא תואם תומך ב-RPC secure עם ערוץ מאובטח של Netlogon, הפוך את RPC secure לזמין ב-DC.
-
אם ה-DC הלא תואם אינו תומך כעת ב-RPC המאובטח, עבוד עם יצרן המכשיר (OEM) או באמצעות התוכנה יצרן כדי לקבל עדכון התומך ב-RPC מאובטח באמצעות ערוץ מאובטח של Netlogon.
-
להוציא משימוש את DC שאינו תואם.
-
-
פגיע אם לא ניתן להשתמש ב-DC מאובטח באמצעות הערוץ המאובטח של Netlogon לפני שבקרי התחום נמצאים במצב אכיפה, הוסף את ה-DC באמצעות ה"בקר התחום: אפשר התקשרויות של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' ב מתאפשרת
אזהרה מתן אפשרות לבקרי בקרי השימוש בחיבורים פגיעים על-ידי המדיניות הקבוצתית יגרום ליער להיות פגיע להתקפה. מטרת הסיום צריכה להיות כתובת ולהסיר את כל החשבונות ממדיניות קבוצתית זו.
מיעון אירוע 5829
מזהה אירוע 5829 נוצר כאשר חיבור פגיע מותר במהלך שלב הפריסה ההתחלתי. התקשרויות אלה יידחו כאשר DCs נמצאים במצב אכיפה. באירועים אלה, התמקד ב שם המחשב, בגירסאות התחום ובמערכת ההפעלה שזוהו כדי לקבוע את המכשירים שאינם תואמים וכיצד הם צריכים להיות מטופלים.
הדרכים למיעון מכשירים לא תואמים:
-
מומלץ עבוד עם יצרן המכשיר (OEM) או ספק התוכנה כדי לקבל תמיכה עבור RPC מאובטח באמצעות ערוץ מאובטח של Netlogon:
-
אם המכשיר הלא תואם תומך ב-RPC secure באמצעות ערוץ מאובטח של Netlogon, הפוך את RPC secure לזמין במכשיר.
-
אם המכשיר הלא תואם אינו תומך כעת ב-RPC מאובטח באמצעות ערוץ מאובטח של Netlogon, עבוד עם יצרן המכשיר או יצרן התוכנה כדי לקבל עדכון המאפשר להפעיל את RPC מאובטח באמצעות ערוץ מאובטח של Netlogon.
-
פרישת המכשיר שאינו תואם.
-
-
פגיע אם מכשיר לא תואם אינו יכול לתמוך ב-RPC מאובטח באמצעות ערוץ מאובטח של Netlogon לפני שבקרי DCs נמצאים במצב אכיפה, הוסף את המכשיר באמצעות ה"בקר התחום: אפשר התקשרויות של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' ב מתאפשרת
אזהרה מתן אפשרות לחשבונות מכשיר להשתמש בחיבורים פגיעים על-ידי המדיניות הקבוצתית מציב חשבונות פרסום אלה בסיכון. מטרת הסיום צריכה להיות כתובת ולהסיר את כל החשבונות ממדיניות קבוצתית זו.
מאפשר חיבורים פגיעים ממכשירי צד שלישי
שימוש בבקר התחום ": אפשר למשתמשים פגיעים בחיבורי ערוצים מאובטחים של Netlogon " מדיניות קבוצתית ' כדי להוסיף חשבונות שאינם תואמים. הדבר אמור להיחשב רק לרמדי לטווח קצר עד למיעון מכשירים שאינם תואמים, כמתואר לעיל. שים לב ייתכן שחיבורים פגיעים ממכשירים לא תואמים עלולים להשפיע על השפעת אבטחה לא ידועה, ויש לאפשר זאת בזהירות.
-
יצירת קבוצות אבטחה עבור חשבונות שיורשו להשתמש בערוץ מאובטח של Netlogon.
-
ב מדיניות קבוצתית, עבור אל תצורת מחשב > הגדרות Windows > הגדרות האבטחה > פריטי מדיניות מקומיים > אפשרויות אבטחה
-
חפש "בקר תחום: אפשר התקשרויות של '' פגיעת Netlogon עבור Netlogon.
-
אם הקבוצה ' מנהל מערכת ' או אם קבוצה כלשהי שאינה יוצרת באופן ספציפי לשימוש עם מדיניות קבוצתית זו קיימת, הסר אותה.
-
הוספת קבוצת אבטחה שבוצעה במיוחד לשימוש עם מדיניות קבוצתית זו למתאר האבטחה באמצעות הרשאת "Allow". שים לב ההרשאה "מנע" פועלת באופן זהה לאופן שבו החשבון לא נוסף, כלומר. לחשבונות לא תהיה אפשרות להפוך את הערוצים המאובטחים של Netlogon ללא חדיר.
-
לאחר הוספת קבוצות האבטחה, על המדיניות הקבוצתית להשכפל לכל DC.
-
מדי פעם, נטר אירועים 5827, 5828 ו-5829 כדי לקבוע אילו חשבונות משתמשים בחיבורי ערוצים מאובטחים פגיעים.
-
הוסף חשבונות מחשב אלה לקבוצות האבטחה לפי הצורך. שיטת עבודה מומלצת השתמש בקבוצות אבטחה במדיניות הקבוצתית והוסף חשבונות לקבוצה כדי שהחברות תשכפל באמצעות שכפול מודעות רגיל. פעולה זו מונעת עדכונים נפוצים של מדיניות קבוצתית ועיכובי שכפול.
לאחר שטופלו כל המכשירים שאינם תואמים, באפשרותך להעביר את בקרי התחום שלך למצב אכיפה (עיין בסעיף הבא).
אזהרה מתן אפשרות לבקרי בקרי השימוש בחיבורים פגיעים עבור חשבונות אמון על-ידי המדיניות הקבוצתית יגרום ליער להיות פגיע להתקפה. חשבונות אמון נקראים בדרך כלל על-ידי התחום המהימן, לדוגמה: ב-DC בתחום-a יש אמון ב-DC בתחום-b. פנימי, DC in domain-a כוללים חשבון אמון בשם "domain-b $" אשר מייצג את האובייקט ' אמון ' עבור domain-b. אם DC in domain-a מעוניין לחשוף את היער כדי להסתכן בהתקפות על-ידי מתן אפשרות לפגיעה בחיבורי ערוצים מאובטחים באמצעות התחום-b, מנהל מערכת יכול להשתמש ב-add-adgroupmember – identity "Name of security group"-החברים "domain-b $" כדי להוסיף את חשבון האמון לקבוצת ה
שלב 3: הפיכת לזמין
מעבר למצב אכיפה מראש לשלב האכיפה של פברואר 2021
לאחר שכל המכשירים שאינם תואמים טופלו, על-ידי הפיכת RPC למאובטח או על-ידי מתן התקשרויות פגיעות ל"בקר התחום: אפשר התקשרויותשל ' מדיניות קבוצתית ' באמצעות ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' ב-FullSecureChannelProtection.
שים לב אם אתה משתמש בבקר התחום ": אפשר ' מדיניות קבוצתית של חיבורי ' באמצעות ' מדיניות קבוצתית ' באמצעות ' מדיניות קבוצתית ' במדיניות קבוצתית.
כאשר מפתח הרישום של FullSecureChannelProtection נפרס, DCs יופיעו במצב אכיפה. הגדרה זו דורשת שכל המכשירים ישתמשו בערוץ מאובטח של Netlogon:
-
שימוש ב-RPC secure.
-
מותרים ב"בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
אזהרה לקוחות של ספקים חיצוניים שאינם תומכים ב-RPC מאובטח באמצעות חיבורי ערוצים מאובטחים של Netlogon יידחו כאשר מפתח הרישום של מצב ' אכיפה ב-DC ' נפרס, ועלול להפריע לשירותי ההפקה.
שלב 3: שלב האכיפה
פריסה ב-9 בפברואר 2021
פריסת עדכונים שהופצו ב-9 בפברואר 2021 או גירסה מתקדמת יותר תפעיל את מצב האכיפהשל DC. מצב אכיפה של DC הוא כאשר כל חיבורי Netlogon נדרשים כדי להשתמש ב-RPC מאובטח או להוסיף את החשבון ל"בקר התחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon בשלב זה, מפתח הרישום של FullSecureChannelProtection אינו נחוץ עוד ולא יהיה נתמך עוד.
"Domain קונטרולר: אפשר התקשרויות של ' מדיניות קבוצתית של Netlogon לפגיעות '
שיטת העבודה הטובה ביותר היא שימוש בקבוצות אבטחה במדיניות הקבוצתית כדי שהחברות תשכפל דרך שכפול מודעות רגיל. פעולה זו מונעת עדכונים נפוצים של מדיניות קבוצתית ועיכובי שכפול.
|
נתיב והגדרה של מדיניות |
תיאור |
|
נתיב מדיניות: תצורת מחשב > הגדרות Windows > הגדרות אבטחה > מדיניות מקומית > אפשרויות אבטחה נדרש אתחול מחדש? לא |
הגדרת אבטחה זו קובעת אם בקר התחום עוקף RPC secure עבור חיבורי ערוצים מאובטחים של Netlogon עבור חשבונות מחשב מוגדרים. יש להחיל מדיניות זו על כל בקרי התחום ביער על-ידי הפעלת המדיניות בבקרי התחום OU. בעת קביעת התצורה של הרשימה יצירת חיבורים פגיעים (רשימת ההיתרים):
אזהרה הפיכת מדיניות זו לזמינה תחשוף את המכשירים המצורפים לתחום ואת יער Active Directory שלך, שעלולים להעביר אותם לסיכון. מדיניות זו אמורה לשמש כמדידה זמנית עבור מכשירי צד שלישי בעת פריסת עדכונים. לאחר עדכון של מכשיר צד שלישי לתמיכה באמצעות RPC מאובטח עם ערוצים מאובטחים של Netlogon, יש להסיר את החשבון מהרשימה צור חיבורים פגיעים. כדי להבין טוב יותר את הסיכון לקבוע את התצורה של חשבונות כך שיוכלו להשתמש בחיבורי ערוצים מאובטחים באמצעות Netlogon, בקר ב-https://go.microsoft.com/fwlink/?linkid=2133485. ברירת חדל תצורת מדיניות זו אינה מוגדרת. לא מחשבים או חשבונות אמון אינם פטורים באופן מפורש מפרוטוקול RPC מאובטח באמצעות התקשרויות ערוץ מאובטח של Netlogon. מדיניות זו נתמכת ב-Windows Server 2008 R2 SP1 ואילך. |
שגיאות ביומן האירועים של Windows הקשורות ל-CVE-2020-1472
קיימות שלוש קטגוריות של אירועים:
1. אירועים שנרשמו כאשר החיבור נדחה, מכיוון שנעשה ניסיון להעביר את החיבור לערוץ המאובטח של Netlogon:
-
שגיאת 5827 (חשבונות מחשב)
-
שגיאת 5828 (חשבונות אמון)
2. אירועים הנרשמים כאשר חיבור מותר מאחר שהחשבון נוסף ל"בקר תחום: אפשר התקשרויות של ' מדיניות קבוצתית ' של ' מדיניות קבוצתיתשל Netlogon '
-
אזהרה 5830 (חשבונות מחשב)
-
אזהרה 5831 (חשבונות אמון)
3. אירועים הנרשמים כאשר חיבור מותר להיכנס להפצה הראשונית, אשר תידחה למצב אכיפתDC:
-
אזהרה 5829 (חשבונות מחשב)
מזהה אירוע 5827
מזהה אירוע 5827 תירשם כאשר מתבצעת התכחשות לחיבור מאובטח של ' אפיק Netlogon ' מחשבון מחשב.
|
יומן אירועים |
מערכת |
|
מקור האירוע |
NETLOGON |
|
מזהה האירוע |
5827 |
|
רמה |
שגיאה |
|
טקסט הודעת אירוע |
שירות Netlogon הכחיש התקשרות מאובטחת לגבי Netlogon באמצעות חשבון מחשב. מחשב SamAccountName: תחום: סוג חשבון: מערכת ההפעלה של המחשב: גירסת Build של מערכת ההפעלה של המחשב: ערכת שירות של מערכת ההפעלה של המחשב: לקבלת מידע נוסף על הסיבה לכך ש-נדחתה, בקר ב- https://go.microsoft.com/fwlink/?linkid=2133485. |
מזהה אירוע 5828
מזהה אירוע 5828 תירשם כאשר תתבצע הכחשה של התקשרות פגיעה מאובטחת בערוץ Netlogon מחשבון אמון.
|
יומן אירועים |
מערכת |
|
מקור האירוע |
NETLOGON |
|
מזהה האירוע |
5828 |
|
רמה |
שגיאה |
|
טקסט הודעת אירוע |
שירות Netlogon הכחיש חיבור מאובטח לאפיק של Netlogon באמצעות חשבון אמון. סוג חשבון: שם אמון: יעד אמון: כתובת IP של לקוח: לקבלת מידע נוסף על הסיבה לכך ש-נדחתה, בקר ב- https://go.microsoft.com/fwlink/?linkid=2133485. |
מזהה אירוע 5829
מזהה אירוע 5829 תירשם רק בשלב הפריסה הראשונית, כאשר מותר להיכנס למערכת באמצעות התקשרות מאובטחת לגבי Netlogon.
כאשר מתבצעת פריסה של מצב אכיפה של DC או לאחר ששלב האכיפה מתחיל בפריסה של העדכונים ב-9 בפברואר 2021, התקשרויות אלה יידחו ומזהה האירוע 5827 יירשם. זוהי הסיבה לכך שחשוב לנטר אירוע 5829 במהלך שלב הפריסה הראשונית, ולפעול לפני שלב האכיפה כדי להימנע מהפסקות.
|
יומן אירועים |
מערכת |
|
מקור אירוע |
NETLOGON |
|
מזהה אירוע |
5829 |
|
רמת |
אזהרה |
|
טקסט הודעת אירוע |
שירות Netlogon התיר חיבור מאובטח לערוץ של Netlogon. אזהרה: התקשרות זו תידחה לאחר הפצת שלב האכיפה. כדי להבין טוב יותר את שלב האכיפה, בקר ב- https://go.microsoft.com/fwlink/?linkid=2133485. מחשב SamAccountName: תחום: סוג חשבון: מערכת ההפעלה של המחשב: גירסת Build של מערכת ההפעלה של המחשב: ערכת שירות של מערכת ההפעלה של המחשב: |
מזהה אירוע 5830
מזהה אירוע 5830 תירשם כאשר החיבור המאובטח לחשבון Netlogon של Netlogon מורשה על-ידי "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
|
יומן אירועים |
מערכת |
|
מקור האירוע |
NETLOGON |
|
מזהה האירוע |
5830 |
|
רמה |
אזהרה |
|
טקסט הודעת אירוע |
שירות Netlogon התיר חיבור מאובטח לאפיק של Netlogon, מכיוון שחשבון המחשב מורשה להיכנס לחשבון התחום. אפשר המדיניות הקבוצתית ' המדיניות הקבוצתית ' של ' מדיניות קבוצתית של Netlogon ' אזהרה: באמצעות ערוצים מאובטחים של Netlogon, חשיפת המכשירים המצורפים לתחום תצטרך לתקוף. כדי להגן על המכשיר מפני התקפה, הסר חשבון מחשב מתוך "בקר תחום: אפשר לאנשים בעלי מדיניות קבוצתית של מדיניות קבוצתית של Netlogon להתעדכן. כדי להבין טוב יותר את הסיכון לקביעת התצורה של חשבונות מחשבים כדי לאפשר למשתמשים להשתמש בחיבורי ערוצים מאובטחים באמצעות Netlogon, בקר ב- https://go.microsoft.com/fwlink/?linkid=2133485. מחשב SamAccountName: תחום: סוג חשבון: מערכת ההפעלה של המחשב: גירסת Build של מערכת ההפעלה של המחשב: ערכת שירות של מערכת ההפעלה של המחשב: |
מזהה אירוע 5831
מזהה אירוע 5831 תירשם כאשר החיבור המאובטח של חשבון Netlogon לחשבון של Netlogon מורשה על-ידי "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
|
יומן אירועים |
מערכת |
|
מקור האירוע |
NETLOGON |
|
מזהה האירוע |
5831 |
|
רמה |
אזהרה |
|
טקסט הודעת אירוע |
שירות Netlogon התיר חיבור מאובטח לאפיק של Netlogon, מכיוון שחשבון יחסי האמון מותר בסרגל התחום: אפשר המדיניות הקבוצתית ' המדיניות הקבוצתית ' של ' מדיניות קבוצתית של Netlogon ' אזהרה: כדי להתקיף, באמצעות הערוצים המאובטחים של Netlogon, תחשוף את יערות Active Directory. כדי להגן על יערות Active Directory שלך מפני התקפה, על כל האמונות להשתמש ב-RPC secure באמצעות ערוץ מאובטח של Netlogon. הסרת חשבון אמון מתוך "בקר תחום: אפשר מדיניות קבוצתית של חיבורי ' מדיניות ' של ' מדיניות קבוצתית ' לפגיעות ב-Netlogon לאחר שלקוח Netlogon של ספק חיצוני עודכן. כדי להבין טוב יותר את הסיכון לקבוע את התצורה של חשבונות יחסי אמון כדי להשתמש בחיבורי ערוצים מאובטחים באמצעות Netlogon, בקר ב- https://go.microsoft.com/fwlink/?linkid=2133485. סוג חשבון: שם אמון: יעד אמון: כתובת IP של לקוח: |
ערך רישום עבור מצב אכיפה
אזהרה בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. בעיות אלה עשויות לדרוש התקנה מחדש של מערכת ההפעלה. ל-Microsoft אין אפשרות להבטיח שניתן לפתור בעיות אלה. שנה את הרישום באחריותך בלבד.
העדכונים ל-11 באוגוסט 2020 מציגים את הגדרת הרישום הבאה כדי להפעיל מוקדם את מצב אכיפה. פעולה זו תופעל ללא קשר להגדרת הרישום בשלב האכיפה החל מ-9 בפברואר 2021:
|
מפתח משנה של הרישום |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
ערך |
FullSecureChannelProtection |
|
סוג נתונים |
REG_DWORD |
|
נתונים |
1 – אפשרות זו מאפשרת מצב אכיפה. ' DCs ' ימנע את התקשרויות הערוץ המאובטחות של Netlogon, אלא אם כן החשבון מותר על-ידי הרשימה ' צור חיבור פגיע ' בבקר התחום ". אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon 0 – DCs מאפשרים התקשרויות מאובטחות של Netlogon עבור Netlogon ממכשירים שאינם של Windows. אפשרות זו לא תהיה שימושית במהדורת פאזה לאכיפה. |
|
נדרש אתחול מחדש? |
לא |
מכשירי צד שלישי בהטמעה [MS-NRPC]: פרוטוקול מרוחק של Netlogon
כל הלקוחות או השרתים של צד שלישי חייבים להשתמש ב-RPC secure באמצעות ערוץ secure Netlogon. פנה אל יצרן המכשיר (OEM) או אל ספקי התוכנה כדי לקבוע אם התוכנה שלו תואמת לפרוטוקול המרוחק העדכני ביותר של Netlogon.
ניתן למצוא את עדכוני הפרוטוקול באתר התיעוד של פרוטוקול Windows.
שאלות נפוצות (FAQ)
-
Windows & מכשירים המצורפים לתחום של צד שלישי המכילים חשבונות מחשבים ב-Active Directory (AD)
-
Windows Server & בקרי תחום של צד שלישי ב-מהימן & מהימן בתחומים המכילים חשבונות אמון ב-AD
מכשירי צד שלישי עלולים להיות לא תואמים. אם פתרון צד שלישי שומר על חשבון מחשב ב-AD, פנה לספק כדי לקבוע אם אתה מושפע.
עיכובים ב-AD ו-Sysvol כשלונות ביישום המדיניות הקבוצתית ב-DC המאמת עלולים לגרום לשינויים במדיניות הקבוצתית "בקר תחום: אפשר התקשרויות של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' ליצירת ' מדיניות קבוצתית ' להיעדר ולגרום לדחיית החשבון.
השלבים הבאים עשויים לעזור לך לפתור את הבעיה:
-
אם הגדרת את המדיניות להכיל קבוצה וביצעת שינויים בחברות בקבוצה כדי להוסיף את החשבון, ודא ש-DC שדחה את החיבור שכפל את השינויים בחברות הקבוצה באופן מקומי. שים לב לא מומלץ להוסיף את החשבונות ישירות למדיניות הקבוצתית.
-
אם ביצעת שינוי במדיניות והוספת חשבון חדש או קבוצה חדשה בדוק ששינוי המדיניות משוכפל ומוחל: הפעל את הפקודות gpupdate/force ו- gpresult/h
-
לקבלת מידע נוסף על פתרון בעיות ביישום מדיניות קבוצתית ורכיבים קשורים ניזונים, עיין במאמר הבא:
כברירת מחדל, לא ניתן להשתמש בגירסאות הנתמכות של Windows שעודכנו באופן מלא כדי להשתמש בחיבורי ערוצים מאובטחים של Netlogon. אם מזהה אירוע 5827 נרשם ביומן האירועים של המערכת עבור מכשיר Windows:
-
ודא שההתקן מפעיל גירסאות נתמכות של Windows.
-
ודא שהמכשיר מעודכן באופן מלא מ-Windows Update.
-
ודא שחבר תחום זה: הצפן או חתום נתוני ערוץ מאובטח (תמיד) מוגדר לזמין ב-GPO המקושר ל-OU עבור כל יחידות התחום שלך, כגון GPO של בקרי תחום המוגדרים כברירת מחדל.
כן, הם אמורים להיות מעודכנים, אך הם לא פגיעים במיוחד לCVE-2020-1472.
לא, DCs הם התפקיד היחיד המושפע מהפגיעות CVE-2020-1472 , וניתן לעדכן אותו באופן עצמאי משרתים שאינם DC windows ובמכשירי windows אחרים.
Windows Server 2008 SP2 אינו פגיע לגירסת CVE ספציפית זו מכיוון שהיא אינה משתמשת ב-AES עבור RPC מאובטח.
כן, תצטרך עדכון אבטחה מורחב ( לא זמין) כדי להתקין את העדכונים לכתובת CVE-2020-1472 עבור WINDOWS Server 2008 R2 SP1.
על-ידי פריסת העדכונים ב-11 באוגוסט 2020 ואילך לכל בקרי התחום בסביבה שלך.
ודא שאף אחד מההתקנים אינו מתווסף ל "בקר תחום: אפשר התקשרויות של ' מדיניות קבוצתית ' באמצעות ' מדיניות קבוצתית ' באמצעות ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' כוללות מנהל מערכת של מנהלי מערכת שים לב כל מכשיר ברשימת ההיתרים רשאי להשתמש בחיבורים פגיעים ועלול לחשוף את הסביבה להתקפה.
התקנת עדכונים שהופצו ב-11 באוגוסט 2020 ואילך בבקרי התחום מגינה על חשבונות מחשבי Windows המבוססים על Windows, על חשבונות יחסי האמון ועל חשבונות בקרי התחום.
חשבונות מחשבים של Active Directory עבור תחומים שמחוברים אליהם מכשירים חיצוניים אינם מוגנים עד לפריסה של מצב אכיפה. חשבונות מחשב גם אינם מוגנים אם הם נוספים לבקר התחום ". אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
ודא שכל בקרי התחום בסביבה שלך מתקינים את העדכונים ב-11 באוגוסט 2020 ואילך.
כל הזהויות במכשירים שנוספו לבקר התחום ". אפשר התקשרויות של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית פגיעה '.
ודא שכל בקרי התחום בסביבה שלך מתקינים את העדכונים ב-11 באוגוסט 2020 ואילך.
אפשר מצב אכיפה למנוע חיבורים פגיעים מזהויות של מכשירים חיצוניים שאינם תואמים.
שים לב במצב אכיפה מאופשר, כל הזהויות של מכשיר צד שלישי שנוספו לבקר התחום של ה : אפשר התקשרויות של ' מדיניות קבוצתית ' באמצעות ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ' של ' מדיניות קבוצתית ', והוא עלול לאפשר לתוקף גישה בלתי מורשית
מצב אכיפה מורה לבקרי התחום לא לאפשר חיבורי Netlogon ממכשירים שאינם משתמשים ב-RPC secure, אלא אם חשבון מכשיר זה נוסף ל "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon
לקבלת מידע נוסף, עיין בסעיף ' ערך רישום ' עבור ' מצב אכיפה '.
רק חשבונות מחשב עבור מכשירים שלא ניתן לבצע באופן מאובטח על-ידי הפיכת RPC Secure לזמין בערוץ המאובטח של Netlogon להתווסף למדיניות הקבוצתית. מומלץ להפוך מכשירים אלה לתואמים או להחליף מכשירים אלה כדי להגן על הסביבה שלך.
תוקף יכול להעביר את הזהות של מחשב Active Directory של כל חשבון מחשב שנוסף למדיניות הקבוצתית ולאחר מכן למנף את ההרשאות שזהות המכונה מכילה.
אם יש לך מכשיר צד שלישי שאינו תומך ב-RPC מאובטח עבור הערוץ המאובטח של Netlogon, וברצונך להפעיל את מצב אכיפה, עליך להוסיף את חשבון המחשב עבור מכשיר זה למדיניות הקבוצתית. לא מומלץ לעשות זאת ולהשאיר את התחום שלך במצב פגיע. מומלץ להשתמש במדיניות קבוצתית זו כדי לאפשר לזמן לעדכן או להחליף מכשירי צד שלישי כדי להפוך אותם לתואמים.
ניתן להפעיל את מצב אכיפה בהקדם האפשרי. תצטרך לטפל בכל מכשיר צד שלישי על-ידי הפיכתם לתואמים או על-ידי הוספתם ל "בקר תחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon שים לב כל מכשיר ברשימת ההיתרים רשאי להשתמש בחיבורים פגיעים ועלול לחשוף את הסביבה להתקפה.
-מונחים
|
ונח |
גדרת |
|
AD |
Active Directory |
|
DC |
בקר תחום |
|
מפתח הרישום המאפשר לך לאפשר מצב אכיפה מראש ב-9 בפברואר 2021. |
|
|
פאזה החל מ-9 בפברואר 2021 עדכונים שבהם מצב אכיפה יהיה זמין בכל בקרי התחום של Windows, ללא קשר להגדרת הרישום. ' DCs ' ימנע חיבורים פגיעים מכל המכשירים שאינם תואמים, אלא אם הם נוספים ל"בקר התחום: אפשר לתקשרויות של ' מדיניות קבוצתית 'של ' מדיניות קבוצתית ' עבור Netlogon |
|
|
שלב החל מ-11 באוגוסט, 2020 עדכונים וממשיך עם עדכונים מאוחרים יותר עד לשלב האכיפה. |
|
|
חשבון מחשב |
מכונה גם מחשב Active Directory או אובייקט מחשב. ראה מילון המונחים של MS-NPRC עבור הגדרה מלאה. |
|
פרוטוקול מרוחק של Microsoft Netlogon |
|
|
מכשיר לא תואם |
מכשיר שאינו תואם הוא אחד המשתמש בחיבור מאובטח לערוץ Netlogon. |
|
RODC |
בקרי תחום לקריאה בלבד |
|
חיבור פגיע |
חיבור פגיע הוא חיבור ערוץ מאובטח של Netlogon שאינו משתמש ב-RPC secure. |
