Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Daljinsko upravljanje protokolom NETLOGON (koja se naziva i MS-NRPC) jest RPC sučelje koje koristi isključivo uređaji spojeni na domenu. MS-NRPC sadrži način provjere autentičnosti i način uspostavljanja sigurnog kanala za mrežnu prijavu. Ta ažuriranja određuju određeno ponašanje klijenta za značajku servisa NETLOGON radi korištenja sigurnog RPC-a uz sigurnosni kanal za mrežnu vezu između računala članica i kontrolnika domena servisa Active Directory (AD).

To Sigurnosno ažuriranje omogućuje rješavanje ranjivosti iskorištavanjem sigurnog RPC-a prilikom korištenja sigurnog kanala NETLOGON u isteku izdanja objašnjenog u trenutku obnove servisa za adresu u kojoj se odnosi CVE-2020-1472 . Da bi vam se osigurala zaštita, sve DCs-ove moraju se ažurirati jer će provesti siguran program RPC-a na servisu za mrežnu zaštitu. To obuhvaća kontrolere domena samo za čitanje (RODC).

Dodatne informacije o ranjivosti potražite u članku CVE-2020-1472.

Poduzmi akciju

Da biste zaštitili okruženje i spriječili ispadi, morate učiniti sljedeće:

Napomene 1. korak od instaliranja ažuriranja objavljenom 11. kolovoza 2020 ili novije prikazat će se sigurnosni problem u CVE-2020-1472 za domene i zaklade servisa Active Directory, kao i uređaje sa sustavom Windows. Da biste u potpunosti ublažavaju sigurnosni problem za uređaje drugih proizvođača, morat ćete dovršiti sve korake.

Upozorenje Od veljače 2021, način provedbe bit će omogućen za sve kontrolere domena sustava Windows te će blokirati ugrožene veze sa uređaja koji nisu usklađeni. U tom trenutku nećete moći onemogućiti način rada za provedbu.

  1. Ažurirajte kontrolere domena pomoću ažuriranja objavljenim 11. kolovoza 2020 ili novijim.

  2. Pronalaženje osjetljivih veza prilikom praćenja zapisnika događaja.

  3. Adrese koje nisu sukladne uređajima koji proizvode osjetljive veze.

  4. Omogućite način provedbe da bi se u okruženju adresirati cve-2020-1472 .


Napomene Ako koristite Windows Server 2008 R2 SP1, potreban vam je dodatni licencni sigurnosni ažurirati (ESU) da biste uspješno instalirali ažuriranje koje rješava taj problem. Dodatne informacije o programu ESU potražite u članku Najčešća pitanja o životnom ciklusu – proširena sigurnosna ažuriranja.

U ovom članku:

Timing ažuriranja za adresiranjem ranjivost servisa za mrežnu usklađenost CVE-2020-1472

Ažuriranja će biti objavljena u dvije faze: Početna faza za ažuriranja objavljena ili nakon 11. kolovoza 2020. i faze provedbe ažuriranja koja je objavljena na servisu ili nakon 9. veljače 2021.

11. kolovoza 2020. – početna faza uvođenja

Početna faza uvođenja počinje sa ažuriranjima objavljenim 11. kolovoza 2020, a nastavit će se s kasnijim ažuriranjima do faze provedbe. Ta i novija ažuriranja promjene protokola servisa NETLOGON za zaštitu uređaja sa sustavom Windows prema zadanim postavkama, zapisuju događaje za otkrivanje uređaja koji nisu usklađeni i dodaju mogućnost omogućivanja zaštite za sve uređaje povezane s domenom te eksplicitne iznimke. To izdanje:

  • Nameće sigurnu primjenu RPC-a za računala na uređajima sa sustavom Windows.

  • Nameće sigurnu primjenu RPC-a za poslovne subjekte pouzdanosti.

  • Nameće sigurnu primjenu RPC-a za sve uređaje sa sustavom Windows i Windows DB.

  • Uključuje novi pravilnik grupe koji dopušta nesukladne racune uređaja (onih koji koriste ranjivije veze za zaštićene kanale servisa NETLOGON). Čak i kada se DCs izvodi u načinu provedbe ili nakon pokretanja faze provedbe , dopušteni uređaji neće biti odbijena veza.

  • Ključ registra FullSecureChannelProtection da biste omogućili način provedbe DC-a za sve racune stroja (faze provedbe ažurirat će se DCS u način provedbeDC-a).

  • Uključuje nove događaje kada se poslovne subjekte uskraćuje ili će biti uskraćeni u načinu provedbe DC-a (i nastavit će se u fazi provedbe). Specifični ID događaja objašnjeni su u nastavku ovog članka.

Ublažavanje sustava sastoji se od instalacije ažuriranja za sve DCs i RODCs, praćenje novih događaja i rješavanje neusklađenih uređaja koji koriste osjetljive veze na servisu. Na uređajima koji nisu u skladu s njima možete omogućiti korištenje ranjivih mreža sigurnih kanala. No treba ih ažurirati da bi podržavali Secure RPC za mrežnu aplikaciju i račun koji se primjenjuje što je prije moguće, što je prije moguce, da bi se uklonili rizici od napada.

9. veljače 2021. – provedba faze

9. veljače 2021. izdanje označava prijelaz u fazu provedbe. DCs sada će biti u načinu provedbe bez obzira na ključ registra za provedbu način rada. Za to je potreban sav uređaj sa sustavom Windows i uređajima sa sustavom Windows za korištenje sigurnog RPC-a uz sigurnosni kanal servisa NETLOGON ili eksplicitno dopuštanje računa dodavanjem iznimke koji nisu usklađeni. To izdanje:

Smjernice za implementaciju – implementacija ažuriranja i provedbu suglasnosti

Početna faza uvođenja sastojati će se od sljedećih koraka:

  1. Implementacija ažuriranja 11. kolovozasvim DCS-ima u šumi.

  2. (a) nadzor za događaje upozorenjai (b) djelovati na svakoj manifestaciji.

  3. (a) kada se upuste svi događaji upozorenja, možete omogućiti potpunu zaštitu implementacijom režima provedbeDC-a. (b) sva se upozorenja moraju riješiti prije ponovnog primjene faze od 9. veljače 2021.

1. korak: Ažuriranje

Implementacija ažuriranja 11. kolovoza 2020

Implementacija ažurirana 11. kolovoza na sve mjerodavne kontrolere domena (DCs) u šumi, uključujući kontrolere domena samo za čitanje (RODCs). Nakon uvođenja tog ažuriranja skrpan DCs htijenje:

  • Početak provedbe sigurnog korištenja RPC-a za sve racune za uređaje sa sustavom Windows, pouzdani poslovni subjekti i svi DCs.

  • Evidentirajte ID događaja 5827 i 5828 u zapisnike događaja sustava, ako su veze uskraćene.

  • Zapisivanje ID-a događaja 5830 i 5831 u zapisniku događaja sustava, ako su veze dopuštene "kontroler domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

  • Zapisivanje ID-a događaja 5829 u zapisnike događaja sustava prilikom svaki put kada je dopušten osjetljiv priključak za sigurnu mrežnu vezu. Te se događaje moraju riješiti prije konfiguriranja režima provedbe DC-a ili prije isteka faze provedbe od 9. veljače 2021.

 

Step 2a: Pronalaženje

Otkrivanje uređaja koji nisu usklađeni pomoću ID-a događaja 5829

Nakon 11. kolovoza 2020 ažuriranja primijenjena su na DCs, događaji se mogu prikupljati u zapisnicima događaja u DC-u da bi se utvrdilo koji uređaj u vašem okruženju koristi osjetljive veze na servisu. Praćenje skrpan DCs za Event ID 5829 događaji. Događaji će sadržavati bitne informacije za identificiranje uređaja koji nisu usklađeni.

Da biste pratili događaje, upotrijebite raspoloživi softver za praćenje događaja ili pomoću skripte za praćenje DCs-a.  Ogledna skripta koja omogućuje prilagođavanje okruženju potražite u članku skripta koja će vam pomoći da pratite ID-ove događaja koji se odnosi na ažuriranja servisa NETLOGON za CVE-2020-1472

Step 2b: Adresa

Obraćanje IDs-a 5827 i 5828

Prema zadanim postavkama podržane verzije sustava Windows koje su u potpunosti ažurirale ne bi trebale koristiti osjetljive veze na servisu. Ako je neki od tih događaja prijavljeni u zapisnike događaja sustava za uređaj sa sustavom Windows, učinite sljedeće:

  1. Potvrdite da uređaj koristi podržane verzije sustava Windows.

  2. Provjerite je li uređaj u potpunosti ažuriran.

  3. Provjerite je li član domene: Digitalno šifriranje ili potpisivanje sigurnog kanala (uvijek) postavljeno na omogućeno.

Da bi se na uređajima koji nisu prozori djelovali kao DC, ti se događaji zapisuju u zapisnike događaja sustava prilikom korištenja ranjivih mreža sigurnih kanala. Ako je neki od tih događaja evidentirani:

  • Preporučeni Surađujte s proizvođačem uređaja (OEM-om) ili dobavljačem softvera da biste dobili podršku za Secure RPC pomoću sigurnog kanala za mrežnu vezu

    1. Ako DC ne podržava Secure RPC pomoću servisa servisa NETLOGON Secure, omogućite Secure RPC u DC-u.

    2. Ako non-compliant DC trenutno ne podržava Secure RPC, rad s proizvođačem uređaja (OEM-om) ili dobavljačem softvera da biste dobili ažuriranje koje podržava Secure RPC pomoću sigurnog kanala za mrežnu vezu.

    3. Povlačenje ne sukladnih DC-a.

  • Ranjiva Ako DC nije sukladan sustavu Secure RPC-a u sigurnoj službi za mrežnu vezu prije no što se DCs nalaze u načinu provedbe, dodajte DC pomoću "controller domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe opisani u nastavku.

Upozorenje Omogućavajući DCs-u da koristi osjetljive veze pomoću pravilnika grupe, šuma će učiniti ranjivom na napad. Krajnji cilj trebao bi biti da se riješi i ukloni sve poslovne subjekte iz tog pravilnika grupe.

 

Obraćanje događaj 5829

ID događaja 5829 generira se kada se tijekom početne faze uvođenja pojave osjetljive veze. Te će se veze uskraćuju kada se DCs nalaze u načinu provedbe. U tim se događajima usredotočite na naziv stroja, domene i verzije OS-a identificirane da bi se utvrdili koji nisu usklađeni uređaji i kako ih se mora rješavati.

Načini rješavanja uređaja koji nisu usklađeni:

  • Preporučeni Surađujte s proizvođačem uređaja (OEM-om) ili dobavljačem softvera da biste dobili podršku za siguran RPC pomoću servisa servisa NETLOGON Secure Channel:

    1. Ako uređaj koji nije kompatibilan podržava Secure RPC pomoću servisa servis Netlogon Secure, omogućite Secure RPC na uređaju.

    2. Ako uređaj koji nije kompatibilan trenutno ne podržava Secure RPC pomoću servisa servis Netlogon Secure, Surađujte s proizvođačem uređaja ili dobavljačem softvera da biste dobili ažuriranje koje omogućuje pristup sigurnoj RPC-u i zaštićenom kanalu za mrežnu vezu.

    3. Povlačenje uređaja koji nisu usklađeni.

  • Ranjiva Ako uređaj koji nije kompatibilan ne može podržavati Secure RPC pomoću servisa servis Netlogon Secure prije no što se DCs nalaze u načinu provedbe, dodajte uređaj pomoću "controller domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe opisani u nastavku.

Upozorenje Pomoću pravilnika grupe omogućuje korištenje ranjivih veza s pravilnikom skupine te ćete poslovne oglase ugroziti. Krajnji cilj trebao bi biti da se riješi i ukloni sve poslovne subjekte iz tog pravilnika grupe.

 

Dopuštanje ranjivih veza s uređaja trećih strana

Koristite "controller domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON " pravila grupe da biste dodali poslovne subjekte koji nisu usklađeni. To bi se trebalo smatrati kratkoročnim lijekom dok se ne obrate uređajima koji nisu usklađeni kao što je opisano u nastavku. Napomene Onemogućivanje ranjivih veza na uređajima koji nisu sukladne mogu imati nepoznati sigurnosni uticaj i trebalo bi ga paziti.

  1. Stvorili ste bezbednosne grupe za poslovne subjekte koje će biti dopuštene da koriste ranjivi kanal sigurnog servisa NETLOGON.

  2. U pravilniku grupe prijeđite na konfiguriranje računala > Postavke sustava Windows > sigurnosnih postavki > lokalne politike > Mogućnosti sigurnosti

  3. Traženje "kontroler domene: Dopuštanje ranjivih priključaka za mrežnu zaštitu servisa ".

  4. Ako je navedena grupa administratora ili ako je bilo koja grupa koja nije specifično stvorena za korištenje s ovim Pravilnikom grupe, uklonite je.

  5. Dodavanje bezbednosne grupe specifično stvorene za korištenje s ovim Pravilnikom grupe na bezbednosni Opis pomoću dozvole "Dopusti". Napomene Dozvola "uskraćivanje" ponaša se na isti način kao da račun nije dodan, tj. računu neće biti dopušten ugroženo mrežnu zaštitu servisa.

  6. Kada se doda sigurnosna grupa, pravilnik grupe mora se replicirati na svaki DC.

  7. Povremeno pratite događaje 5827, 5828 i 5829 da biste odredili koji će se poslovni subjekti koristiti za osjetljive veze sa sigurnim kanalom.

  8. Po potrebi dodajte te racune u bezbednosne grupe (e). Najbolje vježbanje Upotrijebite sigurnosne grupe u pravilniku grupe i dodajte poslovne subjekte u grupu da bi se članstvo repliciralo pomoću uobičajenog replikacije oglasa. Time se izbjegavaju česte obnove pravilnika grupe i kašnjenja replikacija.

Kada su svi uređaji koji nisu usklađeni, možete premjestiti DCs u način rada za provedbu (pogledajte sljedeći odjeljak).

Upozorenje Omogućujući DCs-u korištenje ranjivih veza za poslovne subjekte pomoću pravilnika grupe, šuma će učiniti ranjivom na napad. Pouzdani su poslovni subjekti obično imenovani po pouzdanim domenama, npr.: DC u domeni-a ima pouzdanje sa DC-om u domeni-b. Interno, DC u domeni – a ima račun za pouzdanje pod nazivom "Domain-b $" koji predstavlja objekt pouzdanje za domenu-b. Ako je DC u domeni-a želi izlagati šumu riziku od napada dopuštajući ugroženim vezama servisa Secure Connections sa sustavom Domain-b, administrator može koristiti značajku Dodaj-adgroupmember – identitet "naziv sigurnosti grupe" – članovi "domena-b $" da biste dodali račun za povjerenje u grupu sigurnosti.

 

3.koraci: Omogući

Prijelaz na način provedbe unaprijed u fazi provedbe 2021 u veljači

Nakon što su svi uređaji koji nisu u skladu s njima bili adresirani, omogućivanjem sigurnog RPC-a ili omogućivanja ranjivih veza s "regulatorom domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON "pravilnik grupe, postavite ključ registra FullSecureChannelProtection na 1.

Napomene Ako koristite "controller domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON "pravilnik grupe, provjerite je li pravilnik grupe replicirao i primijenjen na sve DCs prije postavljanja ključa registra FullSecureChannelProtection.

Kada se implementira ključ registra FullSecureChannelProtection, DCs će biti u načinu provedbe. Ta postavka zahteva da svi uređaji pomoću servisa NETLOGON Secure kanal:

Upozorenje Klijentski korisnici trećih strana koji ne podržavaju Secure RPC pomoću servisa servisa servisa servisa servis za mrežnu vezu bit će odbijen kada se osigura ključ registra provedbe DC-a koji može poremetiti produkcijske servise.

 

3. Step: Razdoblje provedbe

Implementacija ažuriranja 9. veljače 2021.

Implementacija ažuriranja izdana u veljači 9, 2021 ili novija bit će uključena u način provedbeDC-a. Način provedbe DC-a je kada su za korištenje sigurnog RPC-a ili računa mora dodan u "controller domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe U ovom trenutku ključ registra FullSecureChannelProtection nije više potreban te više neće biti podržano.

"Kontroler domene: Dopuštanje ranjivih servisa servisa za mrežnu zaštitu servisa

Najbolje je koristiti sigurnosne grupe u pravilniku grupe da bi se članstvo repliciralo pomoću uobičajenog replikacije oglasa. Time se izbjegavaju česte obnove pravilnika grupe i kašnjenja replikacija.

Put pravilnika i naziv postavke

Opis

Put pravilnika: Konfiguracija računala > postavke sustava Windows > sigurnosnih postavki > lokalne politike > sigurnosne mogućnosti

Naziv postavke: regulator domene : Omogućivanje ranjivih servisa servisa za mrežnu zaštitu kanala

Potrebno je ponovno pokretanje? Ne

Ta sigurnosna postavka određuje može li regulator domene zaobići sigurnu aplikaciju RPC-a za mrežnu vezu sigurne kanale za određene racune računala.

Taj se pravilnik mora primjenjivati na sve kontrolere domena u šumi tako da se na kontrolare domena u sustavu Omogući pravilnik.

Kada je konfiguriran popis stvaranja ranjivih veza (popis dopuštenih povezivanja):

  • Dopustiti Kontrolor domene omogućit će određenoj grupi/poslovnim subjektima korištenje sigurnog kanala servisa NETLOGON bez sigurnog RPC-a.

  • Odbiti Ta je postavka isto kao i zadano ponašanje. Upravljački program za domenu Zahtijevaj da određena grupa/poslovni subjekti koriste servis servisa NETLOGON Secure.

Upozorenje Omogućivanjem tog pravilnika prikazat će se vaš uređaj koji se pridružuje domeni i šuma servisa Active Directory, što će ih ugroziti. Ovaj pravilnik treba koristiti kao privremenu mjeru za uređaje trećih strana pri implementaciji ažuriranja. Kada se uređaj treće strane ažurira radi podrške pomoću sigurnog RPC-a pomoću sigurnih kanala za mrežnu upotrebu, račun treba ukloniti s popisa stvaranje ranjivih veza. Da biste bolje razumjeli rizik od konfiguriranja raиuna da biste mogli koristiti ugrožene kanale za sigurnu mrežnu vezu, posjetite https://go.microsoft.com/fwlink/?linkid=2133485.

Zadani Ta pravila nisu konfigurirana. Nijedna mašina ni poslovni kontakti eksplicitno se ne izuzimaju s servisa Secure RPC pomoću servisa

To je načelo podržano u sustavu Windows Server 2008 R2 SP1 i novijim verzijama.

Pogreške evidentirani događaj sustava Windows povezane s CVE-2020-1472

Postoje tri kategorije događaja:

1. Događaji prijavljeni kada se veza odbije jer je pokušano ugroženo povezivanje sigurnog servisa za mrežnu vezu:

  • Poruka o pogrešci 5827 (Machine Accounts)

  • Greška 5828 (pouzdani poslovni subjekti)

2. Događaji prijavljeni kada je veza dopuštena jer je račun dodan u "kontroler domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON "pravilnik grupe:

  • Upozorenje za 5830 (strojnim računom)

  • Upozorenje 5831 (pouzdani poslovni subjekti)

3. Događaji prijavljeni kada je veza dopuštena u početnom izdanju koja će biti odbijena u načinu provedbeDC-a:

  • Upozorenje za 5829 (strojnim računom)

ID događaja 5827

ID događaja 5827 bit će evidentirani kada se odbije osjetljiv priključak za sigurnu mrežnu vezu s računa uređaja.

Dnevnik događaja

Sustav

Izvor događaja

SERVIS Netlogon

ID događaja

5827

Razina

Pogreška

Tekst poruke o događajima

Servis Netlogon odbio je ranjivu mrežnu vezu s računalom na servisu.

Naziv stroja SamAccountName:

Domena:

Vrsta računa:

Operacijski sustav Machine:

Izgradnja operacijskog sustava Machine:

Servisni paket za operacijski sustav Machine:

Da biste saznali više o tome zašto je odbijen, posjetite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID događaja 5828

ID događaja 5828 bit će evidentirani kada ugroženo zaštićeno povezivanje s računom servisa

Dnevnik događaja

Sustav

Izvor događaja

SERVIS Netlogon

ID događaja

5828

Razina

Pogreška

Tekst poruke o događajima

Servis Netlogon odbio je ranjiviju vezu sa servisom za mrežnu zaštitu pomoću računa pouzdanosti.

Vrsta računa:

Naziv pouzdanosti:

Meta povjerenja:

IP adresa klijenta:

Da biste saznali više o tome zašto je odbijen, posjetite https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID događaja 5829

ID događaja 5829 bit će evidentirani samo tijekom početne faze uvođenjakada je dopušten osjetljiv priključak za sigurnu mrežnu vezu s računom stroja.

Kada je razmješten način provedbe DC-5827 a ili kada se faza provedbe pokrene pomoću ažuriranja 2021 od 9. veljače Zato je važno nadgledati događaj 5829 tijekom početne faze uvođenja i djelovati prije faze provedbe da bi se izbjeglo ispadanje.

Dnevnik događaja

Sustav

Izvorišni događaj

SERVIS Netlogon

ID događaja

5829

Razine

Upozorenje

Tekst poruke o događajima

Servis Netlogon omogućio je ranjiviju sigurnu vezu servisa NETLOGON.  

Upozorenje: Ta će se veza odbiti nakon objavljivanja faze provedbe. Da biste bolje razumjeli fazu provedbe, posjetite https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Naziv stroja SamAccountName:  

Domena:  

Vrsta računa:  

Operacijski sustav Machine:  

Izgradnja operacijskog sustava Machine:  

Servisni paket za operacijski sustav Machine:  

ID događaja 5830

ID događaja 5830 bit će evidentirani kada ugroženo povezivanje računa servisa za mrežnu zaštitu servisa servisa Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

Dnevnik događaja

Sustav

Izvor događaja

SERVIS Netlogon

ID događaja

5830

Razina

Upozorenje

Tekst poruke o događajima

Servis Netlogon omogućio je ranjivu mrežnu vezu servisa, jer je račun za računalo dopušten u "kontroleru domene: Dopuštanje ranjivih veza servisa za mrežnu zaštitu servisa

Upozorenje: Pomoću ranjivih alata za mrežnu zaštitu servisa prikazat će se uređaji povezani s domenom. Da biste zaštitili uređaj od napada, uklonite račun stroja iz servisa "controller domene: Dopuštanje ranjivih veza servisa servisa za mrežnu vezu "pravilnik grupe kada je klijent servisa NETLOGON ažuriran. Da biste bolje razumjeli rizik od konfiguriranja raиuna stroja koji omogućuju korištenje ranjivih veza za sigurnu mrežnu vezu, posjetite https://go.Microsoft.com/fwlink/?LinkId=2133485.

Naziv stroja SamAccountName:

Domena:

Vrsta računa:

Operacijski sustav Machine:

Izgradnja operacijskog sustava Machine:

Servisni paket za operacijski sustav Machine:

 

ID događaja 5831

ID događaja 5831 bit će evidentirani kada ugroženi priključak za sigurnu vezu servisa NETLOGON mora biti dopušten pomoću Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

Dnevnik događaja

Sustav

Izvor događaja

SERVIS Netlogon

ID događaja

5831

Razina

Upozorenje

Tekst poruke o događajima

Servis Netlogon omogućio je ranjivu mrežnu vezu servisa, jer je račun za pouzdanost dopušten u "kontroleru domene: Dopuštanje ranjivih veza servisa za mrežnu zaštitu servisa

Upozorenje: Pomoću ranjivih značajki servisa na servisu NETLOGON prikazat će se šuma Active Directory da bi se napala. Da bi se na servisu Active Directory zaštitili šume od napada, sve zaklade moraju koristiti Secure RPC pomoću sigurnog kanala na servisu NETLOGON. Uklanjanje računa za pouzdanost iz servisa "controller domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON "pravilnik grupe kada je klijent servisa NETLOGON u kontrolnom sustavu servisa drugi ažuriran. Da biste bolje razumjeli rizik od konfiguriranja raиuna pouzdanosti da biste mogli koristiti osjetljive veze na servisu, posjetite https://go.Microsoft.com/fwlink/?LinkId=2133485.

Vrsta računa:

Naziv pouzdanosti:

Meta povjerenja:

IP adresa klijenta:

Registarska vrijednost za način provedbe

upozorenje o ozbiljnim poteškoćama može se dogoditi ako nepravilno izmijenite registar pomoću uređivača registra ili pomoću drugog načina. Te poteškoće možda zahtijevaju da ponovno instalirate operacijski sustav. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastiti rizik. 

Ažuriranja za 11. kolovoza 2020 uvedu sljedeći registar da biste ranije omogućili način provedbe primjene. To će biti omogućeno neovisno o postavci registra u fazi provedbe od 9. veljače 2021.: 

Potključ registra

HKEY_LOCAL_MACHINE \System\currentcontrolset\services\netlogon\parametar

Vrijednost

FullSecureChannelProtection

Vrsta podataka

REG_DWORD

Podaci

1 – to omogućuje način provedbe. DCs će poreći ranjiviju vezu za sigurnu mrežnu vezu, osim ako je račun dopušten pomoću popisa stvaranje ranjivih veza na "kontroler domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe  

0 – DCs omogućit će ranjivima servisa za sigurnu vezu za mrežnu zaštitu pomoću uređaja koji nisu prozori sa sustavom Windows. Ta će se mogućnost skratiti tijekom izdanja faze provedbe.

Potrebno je ponovno pokretanje?

Ne

 

Uređaji trećih strana koji implementiraju [MS-NRPC]: Daljinsko upravljanje protokolom NETLOGON

Svi klijenti ili poslužitelji trećih strana moraju koristiti Secure RPC sa sigurnim kanalom servisa NETLOGON. Obratite se proizvođaču uređaja (OEM-ovima) ili dobavljačem softvera da biste utvrdili je li njihov softver kompatibilan s najnovijim protokolom za daljinsko upravljanje pomoću servisa NETLOGON. 

Ažuriranja protokola mogu se pronaći na web-mjestu za dokumentaciju protokola sustava Windows

Često postavljana pitanja (FAQ)

  • & Uređaja drugih proizvođača koji imaju računalo u servisu Active Directory (AD).

  • Windows Server & kontrolori domena trećih strana u pouzdanim & pouzdanih domena koje posjeduju poslovne subjekte u aplikaciji AD

Uređaji drugog proizvođača možda nisu usklađeni. Ako rješenje drugog proizvođača održava račun za računalo u programu AD, obratite se dobavljaču da biste utvrdili je li vas utjecao.

Kašnjenja u replikaciji AD i Sysvol ili pravilnici aplikacija pravilnika grupe u DC-u za provjeru autentičnosti mogu uzrokovati promjene pravilnika grupe "kontroler domene: Dopuštanje ranjivih veza za zaštićene kanale servisa NETLOGON "pravilnik grupe odsustvu i rezultira uskraćivanje računa. 

U sljedećim se koracima mogu riješiti problemi:

Prema zadanim postavkama podržane verzije sustava Windows koje su u potpunosti ažurirale ne bi trebale koristiti osjetljive veze na servisu. Ako je u zapisnike događaja sustava Windows prijavljeni ID događaja 5827, učinite sljedeće:

  1. Potvrdite da uređaj koristi podržane verzije sustava Windows.

  2. Provjerite je li uređaj u potpunosti ažuriran putem servisa Windows Update.

  3. Provjerite je li član domene: Digitalno šifriranje ili potpisivanje sigurnog kanala (uvijek) je postavljeno na omogućeno u GPO povezanu s OU za sve DCs-ove, npr. zadane kontrolere domena GPO-a.

Da, treba ih ažurirati, ali nisu konkretno ranjivi na CVE-2020-1472.

Ne, DCs je jedina uloga koja je pogođena CVE-2020-1472 i može se ažurirati neovisno o poslužiteljima sustava Windows koji nisu u DC-u i drugim uređajima sa sustavom Windows.

Windows Server 2008 SP2 nije ranjiv na taj specifičan CVE jer ne koristi AES za siguran RPC.

Da, potrebna vam je proširena sigurnosna ažuriranja (ESU) da biste instalirali ažuriranja za adresu cve-2020-1472 za Windows Server 2008 R2 SP1.

Implementiranjem 11. kolovoza 2020 ili novijim ažuriranjima za sve kontrolere domena u vašem okruženju.

Osigurajte da nijedan uređaj nije dodan u "kontroler domene: Dopuštanje ranjivih veza servisa servisa za mrežnu vezu "pravilnik grupe imaju Enterprise-admin ili Domain-admin Privilege Services, kao što su SCCM ili Microsoft Exchange.  Napomene Bilo koji uređaj na popisu dopusti bit će dopušten pomoću ranjivih veza i može izlagati vaš ambijent napadu.

Instaliranje ažuriranja objavljenim 11. kolovoza 2020 ili novijim kontrolnim upravljačkim sustavima štiti računalo sa sustavom Windows, poslovne racune i regulatore domene. 

Poslovni programi za uređaje koji se spajaju u servisu Active Directory nisu zaštičeni dok nije razmješten način provedbe. I ako se dodaju na "controller domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

Osigurajte da svi kontroleri domena u okruženju instaliraju ažuriranja 11. kolovoza, 2020 ili novija.

Svi identiteti uređaja koji su dodani na "controller domene: Dopusti ugrožene servisa servisa za mrežnu zaštitu kanala "pravilnik grupe bit će ranjiv na napad.   

Osigurajte da svi kontroleri domena u okruženju instaliraju ažuriranja 11. kolovoza, 2020 ili novija. 

Omogućite način provedbe da biste onemogućili ranjivih veza s identitetima uređaja trećih strana koji nisu usklađeni.

Napomene Ako je omogućen način provedbe, svi identiteti uređaja trećih strana koji su dodani na "kontroler domene: Dopuštanje ranjivih mrežnih veza za sigurnu internetsku vezu "pravilnik grupe i dalje će biti ranjiv i mogu omogućiti napadaču neovlašteni pristup vašoj mreži ili uređajima.

Način provedbe omogućuje kontrolnom sustavu da ne dopušta povezivanje pomoću servisa za mrežnu vezu sa uređajima koje ne koristi Secure RPC osim ako je račun uređaja dodan u "kontroler domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

Dodatne informacije potražite u odjeljku vrijednost registra za način provedbe .

Na pravilnik grupe možete dodati samo računalo za uređaje koji se ne mogu osigurati tako da omogućuju sigurnu RPC-a na sigurnoj postaji servisa NETLOGON. Preporučuje se da ti uređaji budu usklađeni ili ih zamijene da bi zaštitili okruženje.

Napadači mogu preuzeti identitet sustava Active Directory na bilo kojem računu stroja koji je dodan u pravilnik grupe, a zatim iskoristiti dozvole koje koristi njegov identitet.

Ako imate uređaj drugog proizvođača koji ne podržava Secure RPC za kanal servisa NETLOGON Secure te želite omogućiti način provedbe, zatim na pravilnik grupe dodajte račun za uređaj. To se ne preporučuje i može napustiti vašu domenu u potencijalno ranjivom stanju.  Preporučuje se da pomoću ovog pravilnika grupe omogućite vrijeme za ažuriranje ili zamjenu uređaja trećih strana da bi bili usklađeni.

Način provedbe trebao bi se omogućiti što je prije moguće. Bilo koji uređaj drugog proizvođača mora se rješavati tako da bude usklađen ili tako da ih doda u "controller domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupeNapomene Bilo koji uređaj na popisu dopusti bit će dopušten pomoću ranjivih veza i može izlagati vaš ambijent napadu.

 

Rječnik

Pojam

Definicija

AD

Active Directory

DC

Kontroler domene

Način provedbe

Ključ registra koji omogućuje uključivanje u način provedbe unaprijed od 9. veljače 2021.

Faza provedbe

Faza koja započinje sa 9. veljače 2021 ažuriranjima na kojima je omogućeno provedbeno način rada za sve kontrolere domena sustava Windows, neovisno o postavci registra. DCs će zanijekati osjetljive veze na svim uređajima koji nisu usklađeni, osim ako se ne dodaju u "kontroler domene: Dopuštanje ranjivih veza servisa za mrežnu vezu "pravilnik grupe

Početna faza uvođenja

Faza od 11. kolovoza 2020 ažuriranja i dalje će se nastaviti s kasnijim ažuriranjima do faze provedbe.

račun stroja

Naziva se i računalni ili računalni objekt servisa Active Directory.  Pročitajte rječnik MS-NPRC za kompletnu definiciju.

MS-NRPC

Microsoft NETLOGON udaljeni protokol

Nekompatibilan uređaj

Uređaj koji nije kompatibilan koristi osjetljivu vezu s mrežom za mrežnu zaštitu.

RODC

kontrolere domena samo za čitanje

Osjetljivu vezu

Ranjiva je veza funkcija servisa NETLOGON Secure Channel koja ne koristi Secure RPC.
Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×