Izvorni datum objave: 13. kolovoza 2025.

ID baze znanja: 5066014

U ovom članku:

Sažetak

CVE-2025-49716 rješava ranjivost Uskraćivanje servisa gdje udaljeni neautorizirani korisnici mogu napraviti niz poziva udaljenih procedura utemeljenih na Netlogu (RPC) koji naposljetku troše svu memoriju na kontroloru domene (DC). Da bi se ublažila ta ranjivost, promjena koda izvršena je u ažuriranju sustava Sigurnost u sustavu Windows za Windows Server 2025. svibnja 2025. i u srpnju 2025. Sigurnost u sustavu Windows Ažuriranja. za sve druge platforme poslužitelja iz sustava Windows Server 2008SP2 do Windows Server 2022, uključujući.  Ovo ažuriranje obuhvaća promjenu sigurnosnog otečavanja u protokolu Microsoft RPC Netlogon. Ta promjena poboljšava sigurnost pooštravanjem provjera pristupa za skup zahtjeva za poziv udaljene procedure (RPC). Nakon instalacije ovog ažuriranja domenski kontroleri servisa Active Directory više neće dopustiti anonimnim klijentima pozivanje nekih RPC zahtjeva putem Netlogon RPC poslužitelja. Ti su zahtjevi obično povezani s mjestom kontrolora domene.

Nakon te promjene može utjecati na & nekih datoteka i softvera servisa za ispis, uključujući Sambu. Samba je objavio ažuriranje za tu promjenu. Dodatne informacije potražite u članku Samba 4.22.3 – napomene uz izdanje.

Da bismo prilagodili scenarije u kojima zahvaćeni softver treće strane nije moguće ažurirati, objavili smo dodatne mogućnosti konfiguracije u ažuriranju za Sigurnost u sustavu Windows kolovoza 2025. Ta promjena implementira prebacivanje utemeljeno na ključu registra između zadanog načina provođenja, načina nadzora koji će evidentirati promjene, ali neće blokirati neautorizirani Netlogon RPC pozive i onemogućeni način rada (ne preporučuje se).)

Akcija

Da biste zaštitili svoje okruženje i izbjegli prekide rada, najprije ažurirajte sve uređaje na kojima se hostira domenski kontroler servisa Active Directory ili uloga LDS Server instaliranjem najnovijih ažuriranja za Windows. PC-jevi s ažuriranjima od 8. srpnja 2025. ili novije verzije Sigurnost u sustavu Windows Ažuriranja (ili Windows Server 2025. s ažuriranjima za svibanj) po zadanom su sigurni i ne primaju neautorizirani RPC pozive utemeljene na Netlogu. DCs koji imaju 12. kolovoza 2025. ili noviju verziju Sigurnost u sustavu Windows Ažuriranja ne primaju neautorizirane RPC pozive utemeljene na Netlogu po zadanom, ali ih je moguće konfigurirati tako da to privremeno učine.

  1. Pratite svoje okruženje da biste pristupili problemima. Ako se to dogodi, provjerite jesu li promjene otegnjavanja netlogon RPC uzrok.

    1. Ako su instalirana samo ažuriranja za srpanj, omogućite opširno Zapisivanje Netlogona pomoću naredbe "Nltest.exe /dbflag:0x2080ffff", a zatim pratite rezultirajuće zapisnike da biste vidjeli unose koji nalike sljedećem retku. Polja OpNumi Metoda mogu se razlikovati i predstavljati operaciju i RPC metodu koja je blokirana:

      06/23 10:50:39 [KRITIČNO] [5812] NlRpcSecurityCallback: odbijanje neovlaštenog RPC poziva iz [IPAddr] OpNum:34 Method:DsrGetDcNameEx2

    2. Ako su instalirana ažuriranja sustava Windows u kolovozu ili novijoj verziji, potražite Security-Netlogon event 9015 na svojim DC-jevima da biste utvrdili koji se RPC pozivi odbijaju. Ako su ti pozivi ključni, tijekom otklanjanja poteškoća možete privremeno postaviti DC u način rada za nadzor ili onemogućeni način rada.

    3. Unesite promjene tako da aplikacija koristi provjerene Netlogon RPC pozive ili se obratite dobavljaču softvera za dodatne informacije.

  2. Ako DCS postavite u nadzorni način rada, monitor Security-Netlogon događaja 9016 da biste utvrdili koji će se RPC pozivi odbaciti ako uključite način provođenja. Zatim unesite promjene tako da aplikacija koristi provjerene Netlogon RPC pozive ili se obratite dobavljaču softvera za dodatne informacije.

Napomena: Na poslužiteljima Windows 2008 SP2 i Windows 2008 R2 ti će se događaji vidjeti u zapisnicima događaja sustava kao Netlogon Događaji 5844 i 5845, odnosno za način provođenja i nadzorni način rada.

Tempiranje ažuriranja sustava Windows

Ova ažuriranja sustava Windows objavljena su u nekoliko faza:

  1. Početna promjena dana Windows Server 2025 (13. svibnja 2025.) – izvorno ažuriranje koje je oteglo protiv neautoriziranih RPC poziva utemeljenih na Netlogu uvršteno je u ažuriranje za Sigurnost u sustavu Windows za Windows Server 2025.

  2. Početne promjene na drugim platformama poslužitelja (8. srpnja 2025.) – ažuriranja koja su otežna protiv neautoriziranih RPC poziva utemeljenih na Netlogu za druge platforme poslužitelja uključena su u srpnju 2025. Sigurnost u sustavu Windows Ažuriranja.

  3. Dodavanje načina rada za nadzor i onemogućenog načina rada (12. kolovoza 2025.) – provedba prema zadanim postavkama uz mogućnost nadzora ili onemogućenih načina rada uključena je u kolovozu 2025. Sigurnost u sustavu Windows Ažuriranja.

  4. Uklanjanje načina rada nadzora i onemogućenog načina rada (TBD) – Kasnije se iz OS-a mogu ukloniti načini nadzora i onemogućenog rada. Ovaj će se članak ažurirati kada se potvrde dodatne pojedinosti.

Smjernice za implementaciju

Ako implementiđete Sigurnost u sustavu Windows Ažuriranja i želite konfigurirati SVOJE PC-jeve u način nadzora ili onemogućenog, unesite ključ registra u nastavku s odgovarajućom vrijednošću. Nije potrebno ponovno pokretanje.

Put

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Vrijednost registra

DCLocatorRPCSecurityPolicy

Vrsta vrijednosti

REG_DWORD

Podaci o vrijednosti

0 – Onemogućeni načinrada 1 – nadzorni način2 – način provođenja (zadano)

Napomena: Neautorizirani zahtjevi bit će dopušteni i u nadzornim i onemogućenim načinima rada.

Novododani događaji

12. kolovoza 2025. Sigurnost u sustavu Windows Ažuriranja dodat će i nove zapisnike događaja na Windows Server 2012. do Windows Server 2022. domenski kontroleri:

Zapisnik događaja

Microsoft-Windows-Security-Netlogon/Operational

Vrsta događaja

Informacije

ID događaja

9015

Tekst događaja

Netlogon je odbio RPC poziv. Pravilnik je u načinu nametnuti.

Informacije o klijentu: Naziv metode: %method% Način opnuma: %opnum% Adresa klijenta: <IP adresa> Identitet klijenta: <SID-a pozivatelja>

Dodatne informacije potražite u članku https://aka.ms/dclocatorrpcpolicy.

Zapisnik događaja

Microsoft-Windows-Security-Netlogon/Operational

Vrsta događaja

Informacije

ID događaja

9016

Tekst događaja

Netlogon je dopustio RPC poziv koji bi inače bio odbijen. Pravilnik je u načinu rada za nadzor.

Informacije o klijentu: Naziv metode: %method% Način opnuma: %opnum% Adresa klijenta: <IP adresa> Identitet klijenta: <SID-a pozivatelja>

Dodatne informacije potražite u članku https://aka.ms/dclocatorrpcpolicy.

Napomena: Na poslužiteljima Windows 2008 SP2 i Windows 2008 R2 ti će se događaji vidjeti u zapisnicima događaja sustava kao Netlogon Events 5844 odnosno 5845 za način rada za primjenu i nadzor.

Najčešća pitanja (najčešća pitanja)

DCs koji nisu ažurirani S 8 srpnja 2025 Sigurnost u sustavu Windows Ažuriranja, ili noviji, i dalje će dopustiti neautorizirani Netlogon poziva RPC & neće evidentirati događaje vezane uz ovu ranjivost.

DCs koji su ažurirani S 8 srpnja 2025 Sigurnost u sustavu Windows Ažuriranja neće dopustiti neautorizirani Netlogon-based RPC pozive, ali neće prijaviti događaj kada je takav poziv blokiran.

Prema zadanim postavkama PC-jevi koji su ažurirani RPC pozivima utemeljenima na Netlogu, prema zadanim postavkama, Sigurnost u sustavu Windows Ažuriranja 12. kolovoza 2025. ili novijim neće dopustiti neautorizirani RPC pozive utemeljene na Netlogu i bilježit će događaj kada je takav poziv blokiran.

Ne.

Facebook LinkedIn E-pošta

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost