Összefoglalás
A Netlogon Remote Protocol (más néven MS-NRPC) egy olyan RPC-kezelőfelület, amelyet kizárólag tartományhoz csatlakoztatott eszközök használnak. Az MS-NRPC a hitelesítési módszert és a Netlogon biztonságos csatorna létrehozásának módszerét is támogatja. Ezek a frissítések a Netlogon-ügyfél biztonságos RPC szolgáltatását használják a tagkiszolgálók és az Active Directory (AD) tartományvezérlőinek között.
A biztonsági frissítés a biztonsági RPC biztonságos, a Netlogon biztonságos csatornájának használatakor a Netlogon biztonsága miatti biztonsági RÉST (CVE-2020-1472) érintő frissítések időzítése című témakörben leírtak szerint kezeli. A Active Directory-erdő védelmének biztosítása érdekében az összes tartományvezérlőt frissíteni kell, mivel ezek a biztonságos RPC-t a Netlogon Secure Channel szolgáltatással fogják érvényesíteni. Ez az írásvédett tartományvezérlőkön is megtalálható.
A biztonsági résről a CVE-2020-1472című témakörben olvashat bővebben.
Teendők
A környezet megóvása és a kimaradások megakadályozása érdekében az alábbiakat kell elvégeznie:
Megjegyzés A frissítések telepítésének 1. és 2020. augusztus 11-i kiadásában az Active Directory-tartományok és-bizalmak, valamint a Windows-eszközök biztonsági problémái jelennek meg a CVE-2020-1472 -ban. A külső gyártótól származó eszközök biztonsági problémáinak teljes körű enyhítése érdekében minden lépést meg kell tennie.
Figyelmeztetés A februári 2021-es verzióban a felügyeleti mód minden Windows-tartományvezérlőkön engedélyezve lesz, és a nem kompatibilis eszközökről letiltja a veszélyeztetett kapcsolatokat. Ebben az időpontban nem fogja tudni letiltani a kényszerítési módot.
-
Frissítse a tartományvezérlőket egy 2020-es vagy újabb kiadású frissítéssel.
-
Megtudhatja , hogy mely eszközök veszélyeztetett kapcsolatokat biztosítanak az eseménynaplók figyelésével.
-
A cím nem kompatibilis eszközök, amelyek sérülékeny kapcsolatokat tesznek lehetővé.
-
A kényszerítési mód engedélyezése a-ban a CVE-2020-1472- es cím megadására a környezetben.
Megjegyzés Ha Windows Server 2008 R2 SP1rendszert használ, szüksége van egy bővített biztonsági frissítés (EUME) licencre a probléma megoldására. A EUME programról további információt a Gyakori kérdések – bővített biztonsági frissítésekcímű témakörben találhat.
A cikk tartalma:
A Netlogon-2020-1472 biztonsági résének (CVE-$) miatti frissítések időzítése
A frissítések két fázisban jelennek meg: a kezdeti fázis a 2020. augusztus 11-én vagy azt követően kiadott frissítések esetében, illetve a végrehajtási fázisban a 2021 február 9-én kiadott frissítésekért.
2020. augusztus 11. – kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis az 2020. augusztus 11-én megjelent frissítésekkel kezdődik, és a végrehajtási fázisigfolytatódik a későbbi frissítésekkel. Ezek a és későbbi frissítések a Netlogon protokollt alapértelmezés szerint a Windows-eszközök védelmére változtatják, és a nem kompatibilis eszközök felderítési eseményeit rögzítik, és lehetővé teszik, hogy az összes tartományhoz csatlakoztatott eszközön explicit kivételekkel legyen védve. Ez a kiadás:
-
A biztonsági RPC használatát a Windows-alapú eszközökön futó számítógép-fiókokkal érvényesíti.
-
A biztonságos RPC-használatot érvényesíti a megbízható fiókok számára.
-
Minden Windows és nem Windows rendszerű DCs biztonságos RPC-használatát alkalmazza.
-
Az egy új csoportházirendet tartalmaz, mely lehetővé teszi a nem kompatibilis eszközök használatát (a biztonságos hálózati csatornát használó kapcsolatokat). Akkor is, ha a DCs érvényesítési módban fut, vagy ha a kényszerítési fázis elindul, az engedélyezett eszközöket a rendszer nem utasítja el.
-
A FullSecureChannelProtection beállításkulcs a TARTOMÁNYVEZÉRLŐk érvényesítési módjának engedélyezéséhez az összes számítógép-fiókhoz (a kényszerítési fázis a DCS-t egyenáramú kényszerítési módbafogja frissíteni).
-
Új eseményeket is felvesz, ha a fiókok megtagadása vagy a TARTOMÁNYVEZÉRLŐi kényszerítési módban való megtagadása (és a végrehajtási fázisbantovábbra is érvényben marad). Az adott eseményazonosító leírását a jelen cikk későbbi részében találja.
A csökkentés a frissítés telepítése az összes tartományvezérlőn és írásvédett számítógépen, az új eseményekre való figyelés és a veszélyeztetett Netlogon biztonságos csatornákat használó, nem kompatibilis eszközök kezelése. A nem kompatibilis eszközökön lévő számítógépfiókok a biztonságos hozzáférésű Netlogon Secure Channel-csatlakozásokat is használhatják; frissíteniük kell azonban a Netlogon biztonságos RPC szolgáltatását, és a lehető legrövidebb időn belül meg kell szüntetniük a támadás veszélyét.
2021. február 9. – érvényesítési fázis
A február 9-i 2021 kiadás jelzi az átmenetet a végrehajtási fázisba. A DCs-ket a felügyeleti mód rendszerleíró kulcstól függetlenül végrehajtó módban végezheti el. Ehhez az összes Windows és nem Windows rendszerű eszköz esetén biztonságos RPC-t kell használnia a Netlogon Secure Channel szolgáltatással, vagy explicit módon engedélyeznie kell a fiókot, ha kivételt vesz fel a nem kompatibilis eszközön. Ez a kiadás:
-
A nem Windows rendszerű eszközökön történő biztonságos RPC-használatot érvényesíti, kivéve ha "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
-
A 5829-es eseményazonosító naplózását a rendszer eltávolítja. Mivel az összes veszélyeztetett kapcsolatot megtagadták, a rendszer eseménynaplóban csak a 5827 és a 5828 azonosítójú eseményazonosító jelennek meg.
Telepítési útmutatók – frissítések telepítése és megfelelőségük érvényesítése
A kezdeti üzembe helyezési fázis az alábbi lépéseket foglalja magában:
-
Az augusztusi tizenegyedik frissítések telepítéseaz erdő összes tartományvezérlője számára.
-
a figyelmeztető eseményekre vonatkozó monitorés (b) az egyes eseményekre vonatkozó cselekmény.
-
(a) amikor minden figyelmeztető eseményt címeztek, a felügyeleti módbevezetésével a teljes védelmet engedélyezni lehet. (b) az összes figyelmeztetést meg kell oldani a 2021. február 9-i végrehajtási fázis frissítését megelőzően.
1. lépés : frissítése
Telepítés, 2020. augusztus 11. frissítések
Az augusztusi tizenegyedik frissítések telepítése az erdő összes vonatkozó tartományvezérlőjén (az írásvédett tartományvezérlőkön is). A frissítés telepítése után a javított DCs:
-
Megkezdheti a biztonságos RPC-használat érvényesítését az összes Windows-alapú eszköz-fiók, a vagyonkezelői fiókok és az összes DCs számára.
-
A rendszer eseménynaplójában naplózza a 5827 és a 5828-es eseménynaplót, ha a kapcsolat megtagadva.
-
A rendszer eseménynaplójában naplózza a 5830 és a 5831-es eseménynaplót, ha "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
-
A 5829-es eseményazonosító a rendszer eseménynaplójába, amikor a biztonságos hozzáférésű Netlogon Secure Channel-kapcsolat engedélyezve van. Ezek az események a TARTOMÁNYVEZÉRLŐi kényszerítési mód konfigurálása előtt vagy az érvényesítési fázis 2021. február 9-én kezdődnek.
2a. lépés: keresése
Nem kompatibilis eszközök észlelése a 5829-as AZONOSÍTÓJÚ eseményazonosító használatával
A DCs-re vonatkozó 2020 frissítések alkalmazása után az eseményeket a TARTOMÁNYVEZÉRLŐi eseménynaplóban lehet begyűjteni, így megállapíthatja, hogy a környezetben mely eszközök veszélyeztetettek a Netlogon biztonságos csatornákkal (az ebben a cikkben említett nem kompatibilis eszközökön). Az eseményazonosító 5829 eseményekhez tartozó javított DCs-vezérlőket figyeli. Az események tartalmaznak a hozzájuk kapcsolódó információkat, amelyek alapján azonosíthatók a nem kompatibilis eszközök.
Az események figyeléséhez használja az elérhető esemény-figyelő szoftvereket, vagy használjon parancsfájlokat a DCs monitorhoz. A környezethez alkalmazkodni képes parancsfájlokról a következő témakörben tájékozódhat: a Netlogon-frissítésekkel kapcsolatos eseménynaplók figyelése a CVE-2020-1472- ról
2b. lépés: Cím
5827 és 5828-es esemény-azonosítók kezelése
Alapértelmezés szerint a teljesen frissített Windows támogatott verziói nem használják a biztonságos Netlogon Secure Channel-kapcsolatokat. Ha a következő események valamelyike be van jelentkezve a rendszer eseménynaplójába a Windows-eszközön:
-
Ellenőrizze, hogy az eszköz a Windows támogatott verzióitfuttatja-e.
-
Győződjön meg róla, hogy az eszköz teljesen frissült.
-
Győződjön meg róla, hogy tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) engedélyezve értékre van állítva.
A TARTOMÁNYVEZÉRLŐként működő nem Windows rendszerű eszközökön ezek az események a biztonságos Netlogon-csatlakozáskor a rendszeresemény-naplóban jelennek meg. Ha az alábbi események valamelyike be van jelentkezve:
-
Ajánlott Az eszköz gyártójával (OEM) és a szoftvergyártóval is segítséget kaphat a biztonságos RPC szolgáltatásnak a Netlogon Secure Channel szolgáltatással való együttműködéshez.
-
Ha a nem kompatibilis tartományvezérlő támogatja a biztonságos RPC-t a Netlogon Secure Channel szolgáltatással, akkor engedélyezze a biztonságos RPC használatát a TARTOMÁNYVEZÉRLŐn.
-
Ha a nem kompatibilis tartományvezérlő jelenleg nem támogatja a biztonságos RPC használatát, az eszköz gyártójával (OEM) és a szoftvergyártóval is megszerezheti a biztonságos RPC használatát a Netlogon Secure Channel szolgáltatással.
-
A nem kompatibilis TARTOMÁNYVEZÉRLŐt visszavonulhatja.
-
-
Veszélyeztetett Ha egy nem kompatibilis tartományvezérlő nem támogatja a biztonságos RPC használatát a Netlogon biztonságos csatornán, mielőtt a DCs-t felügyeleti módbanhasználja, vegye fel a tartományvezérlőt a "tartományvezérlővel: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése az alább ismertetett csoportházirend-.
Figyelmeztetés Ha engedélyezi a tartományvezérlők számára a veszélyeztetett kapcsolatokat a csoportházirend használatával, az erdő sebezhetővé teszi a támadást. A cél az, hogy ennek a Csoportházirendnek az összes fiókját meg kell adni, és el kell távolítania.
Címzési esemény 5829
A 5829-es AZONOSÍTÓJÚ esemény akkor jön létre, amikor a kezdeti telepítési fázisban a veszélyeztetett kapcsolat engedélyezve van. Ezek a kapcsolatok a felügyeleti módbanjelennek meg, amikor a DCS-ban van. Ezekben az eseményekben a számítógépnévre, a tartományra és az operációs rendszerre koncentráló verzióra kell összpontosítania, hogy meghatározhassa a nem kompatibilis eszközöket és azok kezelését.
A nem kompatibilis eszközök kezelésére szolgáló módszerek:
-
Ajánlott Az eszköz gyártójával (OEM) és a szoftvergyártóval is segítséget kaphat a biztonságos RPC szolgáltatásnak a Netlogon Secure-csatornával való együttműködéshez:
-
Ha a nem kompatibilis eszköz támogatja a biztonságos RPC-t a Netlogon Secure Channel szolgáltatással, akkor engedélyezze a biztonságos RPC-t az eszközön.
-
Ha a nem kompatibilis eszköz jelenleg nem támogatja a biztonságos RPC-t a Netlogon Secure Channel szolgáltatással, akkor az eszköz gyártójával vagy a szoftvergyártóval egy olyan frissítést kap, amely lehetővé teszi a biztonságos RPC használatát a Netlogon biztonságos csatornán keresztül.
-
A nem kompatibilis eszköz kivonulása.
-
-
Veszélyeztetett Ha egy nem kompatibilis eszköz nem támogatja a biztonságos RPC-t a Netlogon biztonságos csatornán, mielőtt a DCs-t felügyeleti módbanhasználja, vegye fel az eszközt a "tartományvezérlővel: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése az alább ismertetett csoportházirend-.
Figyelmeztetés Az-fiókok veszélyeztetett kapcsolatainak engedélyezése az adatfiókok esetén veszélyezteti ezeket az AD-fiókokat. A cél az, hogy ennek a Csoportházirendnek az összes fiókját meg kell adni, és el kell távolítania.
A külső felektől származó eszközök sérülékeny kapcsolatainak engedélyezése
Használja a "tartományvezérlőt: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend- a nem kompatibilis fiókok hozzáadására. Ezt csak rövid távon orvosolni kell, amíg a nem kompatibilis eszközöket a fent leírtak szerint kezelik. Megjegyzés Lehetséges, hogy a nem kompatibilis eszközökön a veszélyeztetett kapcsolatok engedélyezése ismeretlen biztonsági hatással jár, és óvatosnak kell lennie.
-
A biztonsági csoportok (oka) t egy olyan fiókhoz hozták létre, amely a veszélyeztetett Netlogon Secure Channel használatát lehetővé teszi.
-
A csoportházirendben nyissa meg a számítógép konfigurációja > a Windows beállításai > a biztonsági beállítások > a helyi házirendek > a biztonsági beállítások lehetőséget.
-
Ha a rendszergazda csoport, vagy ha minden olyan csoport, amelyet nem hozott létre kifejezetten erre a Csoportházirendre, távolítsa el.
-
Vegyen fel egy olyan biztonsági csoportot, amely a biztonsági leíróhoz az engedélyezés engedéllyel rendelkezik, és ezt a csoportházirendet is használhatja. Megjegyzés A "megtagadás" engedély ugyanúgy viselkedik, mintha a fiók nem lett hozzáadva, vagyis a fiókok nem engedik biztonságossá a biztonságos Netlogon-csatornát.
-
A biztonsági csoport (ok) hozzáadása után a Csoportházirendnek replikálnia kell az összes TARTOMÁNYVEZÉRLŐt.
-
Periodikusan a 5827, a 5828 és a 5829 események nyomon követésével meghatározhatja, hogy mely fiókok biztonságosak a biztonságos csatornákon keresztül.
-
Szükség esetén vegye fel ezeket a számítógépfiókokat a biztonsági csoport (ok) ba. Ajánlott eljárások A csoportházirendben biztonsági csoportokat használhat, és fiókokat vehet fel a csoportba, hogy a tagság a szokásos AD-replikáción keresztül replikálódjon. Így elkerülhetők a gyakori csoportházirend-frissítések és a replikálási késések.
Ha minden nem kompatibilis eszközt nem sikerült kezelni, áthelyezheti a DCs-et kényszerítési módba (lásd a következő szakaszt).
Figyelmeztetés Ha lehetővé teszi, hogy a tartományvezérlők a megbízható kapcsolatokat használják a bizalmikapcsolat-fiókokhoz, a csoportházirend veszélyezteti az erdő sebezhetőségét a támadásokkal szemben. A bizalmikapcsolat-fiókokat rendszerint a megbízható tartomány neve, például: Az a tartományban az a tartományvezérlő megbízható, és a-b tartományban van egy tartományvezérlő. A belső tartományában az a tartományban lévő tartományvezérlő egy "domain-b $" nevű megbízhatósági fiók, amely a tartomány megbízhatósági objektumát jelképezi. Ha a tartományvezérlő a tartományban – a-ban azt szeretné, hogy az erdő kihasználhassa a támadás veszélyét azzal, hogy a biztonságos Netlogon Secure Channel-kapcsolatot engedélyez a (b) tartományon kívüli meghatalmazási fiókból, a rendszergazda használhatja a adgroupmember – Identity "biztonsági csoport neve"-tagok "domain-b $" értéket a biztonsági csoportba való felvételéhez.
3a. lépés: engedélyezése
Áttérés az érvényesítési módba a februári 2021 végrehajtási fázis előtt
Miután minden nem kompatibilis eszközt címeztek, vagy ha engedélyezte a biztonságos RPC-t, vagy ha engedélyezi a veszélyeztetett kapcsolatokat a "tartományvezérlővel: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend, a FullSecureChannelProtection beállításkulcs beállítása 1 értékre.
Megjegyzés Ha a "tartományvezérlőt használja: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend-, győződjön meg arról, hogy a csoportházirendet a rendszer replikálta, és az összes DCs-re alkalmazza a FullSecureChannelProtection beállításkulcs beállításának megkezdése előtt.
A FullSecureChannelProtection beállításkulcs telepítésekor a DCs felügyeleti módbanfog megjelenni. Ennek a tulajdonságnak a használatához a Netlogon biztonságos csatornát kell használnia:
-
Használjon biztonságos RPC-t.
Figyelmeztetés Azokat a külső ügyfeleket, akik nem támogatják a biztonságos RPC-t a Netlogon biztonságos csatornákkal, a rendszer nem fogja tudni, ha a TARTOMÁNYVEZÉRLŐi kényszerítési módú beállításkulcsot bevezetik, amely a termelési szolgáltatásokat is zavarja.
3b. lépés: Végrehajtási fázis
Telepítés február 9, 2021 frissítések
A 2021 vagy újabb verzióban megjelent frissítések telepítésével be kell kapcsolni a TARTOMÁNYVEZÉRLŐi kényszerítési módot. A TARTOMÁNYVEZÉRLŐk kényszerítési módja az, amikor az összes Netlogon-kapcsolatnak vagy a biztonságos RPC-nek kell lennie, vagy a fióknak hozzá kell adnia a "tartományvezérlőhöz: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend. Jelenleg a FullSecureChannelProtection beállításkulcs már nem szükséges, és a továbbiakban nem lesz támogatott.
"Tartományvezérlő: Veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend
A legjobb megoldás, ha a biztonsági csoportokat a csoportházirendben használja, hogy a tagság a szokásos AD-replikáción keresztül történjen. Így elkerülhetők a gyakori csoportházirend-frissítések és a replikálási késések.
|
Házirend elérési útvonala és beállítás neve |
Leírás |
|
Házirend elérési útja: Számítógépes konfiguráció > a Windows beállításai > biztonsági beállítások > a helyi házirendek > a biztonsági beállítások A név megadása: tartományvezérlő: Az adatbiztonságot lehetővé tevő biztonságos csatornák kapcsolatainak engedélyezése Újraindítás szükséges? Nem |
Ez a biztonsági beállítás azt határozza meg, hogy a tartományvezérlő megkerüli-e a biztonságos RPC-t a Netlogon biztonságos csatornás kapcsolataihoz a megadott számítógépfiókok esetén. Ezt a házirendet az erdő összes tartományvezérlőjén alkalmazni kell, ha engedélyezi a házirendet a tartományvezérlők szervezeti egységében. A veszélyeztetett kapcsolatok listájának létrehozása (engedélyezett lista) beállításakor:
Figyelmeztetés Ennek a házirendnek az engedélyezése lehetővé teszi, hogy a tartományhoz csatlakoztatott eszközöket és az Active Directory-erdőt is felhasználja, ami veszélybe sodorhatja őket. Ezt a házirendet a frissítések telepítése során a külső gyártók eszközeinek átmeneti mérőszámként kell használni. Amikor egy harmadik féltől származó eszközt frissítenek a biztonságos RPC szolgáltatással a Netlogon biztonságos csatornákon keresztül, a fiókot el kell távolítani a veszélyeztetett kapcsolatok létrehozása listában. A fiókok megbízható biztonságos csatornákkal való kapcsolatainak engedélyezését lehetővé tevő-fiók beállításának jobb megismeréséhez kérjük, látogasson el a https://go.microsoft.com/fwlink/?linkid=2133485. Alapértelmezett Ez a házirend nincs konfigurálva. Nincs gép vagy vagyonkezelői fiók a biztonságos RPC szolgáltatástól a biztonságos csatornákkal való csatlakozással. Ezt a házirendet Windows Server 2008 R2 SP1 vagy újabb rendszer támogatja. |
Az CVE-2020-1472-hoz kapcsolódó Windows Eseménynapló-hibák
Az események három kategóriába sorolhatók:
1. A kapcsolat megtagadásakor bejelentkezett események, mert veszélyeztetett Netlogon biztonságos csatorna-kapcsolat történt:
-
5827 (számítógépfiókok) hiba
-
5828 (vagyonkezelői fiókok) hiba
2. A kapcsolat engedélyezésekor naplózott események, mivel a fiók felkerült a "tartományvezérlőre: Veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend:
-
5830 (számítógépfiókok) figyelmeztetés
-
5831 (vagyonkezelői fiókok) figyelmeztetés
3. Az olyan események, amelyeket a rendszer akkor naplóz, ha az első kiadásban engedélyezve van egy kapcsolat, amely a TARTOMÁNYVEZÉRLŐi kényszerítési módbanmeg fog tagadni:
-
5829 (számítógépfiókok) figyelmeztetés
5827-es AZONOSÍTÓJÚ esemény
A 5827-es eseményazonosító akkor fog bejelentkezni, ha egy számítógépfiók biztonságos csatornán keresztüli csatlakozása megtagadva.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
NETLOGON |
|
Eseményazonosító |
5827 |
|
Szint |
Hiba |
|
Az esemény üzenetének szövege |
A Netlogon szolgáltatás letiltotta a biztonságos hozzáférésű Netlogon-csatornát egy számítógép-fiókból. Gép SamAccountName: Tartomány: Fióktípus: Gép operációs rendszer: Gép operációs rendszerének építése: Gép operációs rendszer Service Pack: További információt arról, hogy miért tagadták meg ezt a https://go.microsoft.com/fwlink/?LinkId=2133485. |
5828-es AZONOSÍTÓJÚ esemény
A 5828-es eseményazonosító akkor fog bejelentkezni, amikor a megbízható Netlogon biztonságos csatornán keresztüli kapcsolat megtagadva.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
NETLOGON |
|
Eseményazonosító |
5828 |
|
Szint |
Hiba |
|
Az esemény üzenetének szövege |
A Netlogon szolgáltatás megbízhatósági fiókkal letiltotta a veszélyeztetett Netlogon biztonságos csatornát. Fióktípus: Meghatalmazás neve: Megbízhatósági cél: Ügyfél IP-címe: További információt arról, hogy miért tagadták meg ezt a https://go.microsoft.com/fwlink/?LinkId=2133485. |
5829-es AZONOSÍTÓJÚ esemény
A 5829-es eseményazonosító csak a kezdeti üzembe helyezési fázissorán lesz naplózva, amikor a biztonságos Netlogon-csatornán keresztüli kapcsolat engedélyezve van a számítógépfiók számára.
A felügyeleti mód üzembe helyezése vagy a végrehajtási fázis bevezetését követően a 2021-as frissítések telepítése után ezek a kapcsolatok megtagadva lesznek, és a 5827-es azonosítójú esemény naplózva lesz. Ezért fontos nyomon követni az esemény 5829 az első telepítési fázis során, és a végrehajtás előtt cselekedjen, hogy elkerülje a leesést.
|
Eseménynapló |
Rendszer |
|
Eseményforrás |
NETLOGON |
|
Eseményazonosító |
5829 |
|
Szintű |
Figyelmeztetés |
|
Az esemény üzenetének szövege |
A Netlogon szolgáltatás biztonságos hálózati csatornát engedélyezett. Figyelmeztetés: Ezt a kapcsolatot a rendszer az érvényesítési fázis kiadásakor megtagadja. A végrehajtási fázis jobb megértéséhez kérjük, látogasson el a https://go.microsoft.com/fwlink/?LinkId=2133485. Gép SamAccountName: Tartomány: Fiók típusa: Gép operációs rendszer: Gép operációs rendszerének építése: Gép operációs rendszer Service Pack: |
5830-es AZONOSÍTÓJÚ esemény
A 5830-es AZONOSÍTÓJÚ esemény akkor fog bejelentkezni, ha az "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
NETLOGON |
|
Eseményazonosító |
5830 |
|
Szint |
Figyelmeztetés |
|
Az esemény üzenetének szövege |
A Netlogon szolgáltatás engedélyezett egy biztonságos hálózati csatornát, mert a számítógépfiók engedélyezve van a "Domain Controller: A Netlogon biztonságos csatornákon keresztüli kapcsolatainak engedélyezése "csoportházirend. Figyelmeztetés: A veszélyeztetett Netlogon biztonságos csatornák használatakor a rendszer a tartományhoz csatlakoztatott eszközöket a támadáshoz teszi. Ha meg szeretné védeni az eszközt a támadástól, távolítson el egy számítógépfiókot a "Domain Controller: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend a külső Netlogon ügyfélalkalmazás frissítését követően. A számítógép-fiókok megbízható Netlogon biztonságos csatornákkal való kapcsolatainak beállításához, kérjük, látogasson el a https://go.microsoft.com/fwlink/?LinkId=2133485. Gép SamAccountName: Tartomány: Fióktípus: Gép operációs rendszer: Gép operációs rendszerének építése: Gép operációs rendszer Service Pack: |
5831-es AZONOSÍTÓJÚ esemény
A 5831-es AZONOSÍTÓJÚ esemény akkor fog bejelentkezni, amikor a biztonságos Netlogon Secure Channel Trust-fiókkal létesített kapcsolatot "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
|
Eseménynapló |
Rendszer |
|
Esemény forrása |
NETLOGON |
|
Eseményazonosító |
5831 |
|
Szint |
Figyelmeztetés |
|
Az esemény üzenetének szövege |
A Netlogon szolgáltatás engedélyezett egy biztonságos hálózati csatornához való csatlakozást, mert a meghatalmazási fiók engedélyezve van a "Domain Controller: A Netlogon biztonságos csatornákon keresztüli kapcsolatainak engedélyezése "csoportházirend. Figyelmeztetés: A veszélyeztetett Netlogon biztonságos csatornákkal a támadáshoz az Active Directory-erdőket is felhasználhatja. Az Active Directory-erdőknek a támadások ellen történő védelméhez az összes megbízhatósági kapcsolatot a biztonságos RPC szolgáltatásnak kell használnia a Netlogon biztonságos csatornán keresztül. Meghatalmazási fiók eltávolítása a "tartományvezérlőről: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend a tartományvezérlőkön a külső Netlogon-ügyfélalkalmazás frissítése után. A megbízható Netlogon biztonságos csatornákon keresztüli csatlakozások használatának kockázatát a https://go.microsoft.com/fwlink/?LinkId=2133485című témakörben olvashatja el. Fióktípus: Meghatalmazás neve: Megbízhatósági cél: Ügyfél IP-címe: |
A beállításjegyzék értéke a kényszerítési módhoz
figyelmezteti a problémát, ha a Rendszerleíróadatbázis-szerkesztővel vagy egy másik módszerrel hibásan módosítja a rendszerleíró adatbázist. Ezek a problémák szükségessé tehetik az operációs rendszer újratelepítését. A Microsoft nem garantálja, hogy ezek a problémák meg tudják oldani. Módosítsa a beállításjegyzéket saját kockázatára.
Az augusztusi 2020-frissítések az alábbi rendszerleíróadatbázis-beállításokat vezetik be a kényszerítési üzemmód korán történő engedélyezéséhez. Ez a beállítás attól függetlenül megtörténik, hogy a végrehajtási fázis beállításjegyzék-beállításai a 2021. február 9-én kezdődnek:
|
Rendszerleíró alkulcs |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Érték |
FullSecureChannelProtection |
|
Adattípus |
REG_DWORD |
|
Adatok |
1 – Ez a kényszerítési módot teszi lehetővé. A DCs a biztonságos hálózati csatornákon keresztüli kapcsolatokat fogja letiltani, kivéve ha a fiók nem engedélyezett a "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend. 0 – a DCs biztosítja a biztonságos hálózati csatornán keresztüli kapcsolatokat a nem Windows rendszerű eszközökről. Ez a beállítás a kényszerítési fázis kiadásában elavult. |
|
Újraindítás szükséges? |
Nem |
Külső gyártótól származó eszközök [MS-NRPC]: Netlogon távoli protokoll
Minden harmadik féltől származó ügyfélnek vagy kiszolgálónak biztonságos RPC protokollt kell használnia a Netlogon biztonságos csatornával. Kérjük, hogy az eszköz gyártójától (OEM) vagy szoftvergyártótól kérdezze meg, hogy a szoftver kompatibilis-e a legújabb Netlogon távoli protokollal.
A protokoll frissítései a Windows Protocol dokumentációs webhelyéntalálhatók.
Gyakran ismételt kérdések (GYIK)
-
Windows & külső tartományhoz csatlakoztatott eszközök, amelyek számítógépfiókok az Active Directoryban (AD)
-
Windows Server & külső tartományvezérlőkön a megbízható & megbízhatósági fiókkal rendelkező tartományai az Active Directory-ban
A külső gyártótól származó eszközök lehetnek nem kompatibilisek. Ha a külső gyártótól származó megoldás gép-fiókot tart fenn az AD-ban, forduljon a forgalmazóhoz, és állapítsa meg, hogy hatással van-e rá.
Az AD és a SYSVOL replikációs szolgáltatásában mutatkozó késések, illetve a hitelesítő TARTOMÁNYVEZÉRLŐn a csoportházirend-alkalmazások hibáinak meghibásodása miatt előfordulhat, hogy a csoportházirend "tartományvezérlő: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "a csoportházirend, és a fiók letiltásának oka.
A következő lépések segíthetnek a probléma megoldásában:
-
Ha úgy állította be a házirendet, hogy egy csoportba foglalt, és csoporttagság-módosítást hajt végre a fiók hozzáadásakor, ellenőrizze, hogy a csatlakozást megtagadó tartományvezérlő replikálta-e a csoporttagság módosítását helyben. Megjegyzés A fiókok közvetlen hozzáadása nem ajánlott a csoportházirendhez.
-
Ha módosította a házirendet, és felvett egy új fiókot, vagy egy új csoportot, ellenőrizze, hogy a házirend-módosítás replikálása és alkalmazása: A gpupdate/force és a gpresult/h parancsok futtatása
-
A csoportházirend-alkalmazások és a függőben lévő kapcsolódó összetevők hibaelhárításáról bővebben az alábbi témakörökben olvashat:
Alapértelmezés szerint a teljesen frissített Windows támogatott verziói nem használják a biztonságos Netlogon Secure Channel-kapcsolatokat. Ha egy 5827-es eseményazonosító van naplózva a rendszer eseménynaplójába a Windows-eszközön:
-
Ellenőrizze, hogy az eszköz a Windows támogatott verzióitfuttatja-e.
-
Gondoskodjon arról, hogy az eszköz a Windows Update szolgáltatáson keresztül teljesen naprakész legyen.
-
Győződjön meg róla, hogy tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) be van állítva, hogy engedélyezve legyen a szervezeti egységhez kapcsolódó GPO-ban (például az alapértelmezett tartományvezérlők GPO-ban).
Igen, frissíteniük kell, de nem sebezhetők az CVE-2020-1472-ra.
Nem, a DCs az egyetlen olyan szerepkör, amelyet az CVE-2020-1472 befolyásol, és függetlenül frissíthető a nem egyenáramú Windows Server-kiszolgálóktól és más Windows-eszközöktől.
A Windows Server 2008 SP2 nem sebezhető az adott CVE-val, mivel az nem használ AES-t biztonságos RPC-szolgáltatáshoz.
Igen, szükség lesz a bővített biztonsági frissítésre (EUME) a Windows Server 2008 R2 SP1 rendszerhez készült CVE-2020-1472- es verzió frissítéseinek telepítésére.
Az augusztusi 11., 2020-es vagy újabb verziós frissítések telepítése az összes tartományvezérlőjén a környezetben.
Gondoskodjon arról, hogy a "tartományvezérlő: A veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend rendelkezik a nagyvállalati rendszergazdai vagy a tartomány-rendszergazdai jogosultságokkal, például a SCCM vagy a Microsoft Exchange szolgáltatással. Megjegyzés A megengedve listában lévő bármilyen eszközön felhasználhatja a veszélyeztetett kapcsolatokat, és a környezetben is felteheti a támadást.
A frissítések telepítése a Windows-alapú számítógép-fiókokat, a vagyonkezelői fiókokat és a tartományvezérlői fiókokat is megvédi a tartományvezérlőkön. augusztus 11., 2020 vagy újabb kiadásban
A tartományhoz csatlakoztatott külső eszközökhöz tartozó Active Directory-számítógépfiók nem védett, amíg a felügyeleti módot nem telepítették. A számítógépfiókok szintén nincsenek védve, ha a "tartományvezérlőn: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
Gondoskodjon arról, hogy az összes tartományvezérlő a környezetben telepítve legyen az augusztusi 11., 2020-es vagy újabb verziós frissítésekkel.
A "tartományvezérlőbe felvett összes eszköz identitása: Veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend- a támadás veszélybe kerül.
Gondoskodjon arról, hogy az összes tartományvezérlő a környezetben telepítve legyen az augusztusi 11., 2020-es vagy újabb verziós frissítésekkel.
A kényszerítési mód engedélyezésével megtagadhatja a veszélyeztetett kapcsolatokat a nem kompatibilis külső eszköz identitásai ellen.Megjegyzés A kényszerítési móddal engedélyezve van a külső gyártótól származó eszközök identitásai, amelyeket a "tartományvezérlő: Veszélyeztetett Netlogon biztonságos csatornák kapcsolatainak engedélyezése "a csoportházirend- továbbra is sebezhetők maradnak, és lehetővé teheti a támadóknak, hogy illetéktelenül hozzáférjenek a hálózatához vagy eszközeihez.
A kényszerítési mód közli a tartományvezérlőkkel, hogy nem engedélyezik a Netlogon-kapcsolatokat a biztonságos RPC protokollt nem használó eszközökről, kivéve, ha az adott eszközt felvette a "tartományvezérlőre: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend.
További információt a rendszerleíró adatbázisban a kényszerítési üzemmód című szakaszban talál.
Csak a biztonságos RPC szolgáltatásnak a Netlogon biztonságos csatornán való engedélyezését lehetővé tevő eszközöket kell hozzáadni a csoportházirendhez. Javasoljuk, hogy ezeket az eszközöket kompatibilisen végezze, illetve cserélje le az eszközöket a környezet védelmére.
A támadó átveheti a csoportházirendbe felvett bármilyen számítógép-fiók Active Directory gép-identitását, és ezt követően felhasználhatja a számítógép identitásának minden engedélyét.
Ha olyan külső gyártótól származó eszközt használ, amely nem támogatja a biztonságos RPC protokollt a biztonságos-csatornához, és engedélyezni szeretné a kényszerítési módot, akkor az adott eszközhöz tartozó számítógépfiókot a Csoportházirendhez kell hozzáadnia. Ez nem ajánlott, és a tartományt egy potenciálisan veszélyeztetett állapotba hagyhatja. Javasoljuk, hogy használja ezt a csoportházirendet, amely lehetővé teszi, hogy a harmadik féltől származó eszközök frissítését vagy cseréjét az-kompatibilis állapotok alapján végezze el.
A kényszerítési módot a lehető legrövidebb időn belül engedélyeznie kell. A külső gyártótól származó eszközökről az alábbiakat kell megadnia, hogy azok kompatibilisek-e, vagy ha felveszi őket a "tartományvezérlő: A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend. Megjegyzés A megengedve listában lévő bármilyen eszközön felhasználhatja a veszélyeztetett kapcsolatokat, és a környezetben is felteheti a támadást.
Szószedet
|
Kifejezést |
Definition |
|
AD |
Active Directory |
|
DC |
Tartományvezérlő |
|
A rendszerleíró kulcs, amely lehetővé teszi, hogy a kényszerítési üzemmódot az 2021. február 9. előtt engedélyezze. |
|
|
Az a fázis, amelyben a rendszer a beállításjegyzék beállításától függetlenül az összes Windows-tartományvezérlőn engedélyezi a felügyeleti üzemmódot , a 2021. február 9-i frissítésekkel. A DCs nem kompatibilis eszközökről fogja megtagadni a veszélyeztetett kapcsolatokat, kivéve, ha a "tartományvezérlőre kerül. A megbízható Netlogon biztonságos csatornák kapcsolatainak engedélyezése "csoportházirend. |
|
|
Az a fázis, amelyben az augusztusi 2020-frissítések kezdődnek, és a végrehajtási fázisig folytatódnak a későbbi frissítések. |
|
|
számítógépfiók |
Active Directory-vagy számítógép-objektumnak is nevezik. Kérjük, olvassa el az MS-NPRC szószedetet a teljes meghatározáshoz. |
|
Microsoft Netlogon távoli protokoll |
|
|
Nem kompatibilis eszköz |
A nem kompatibilis eszközök olyanok, amelyek veszélyeztetett Netlogon Secure Channel-kapcsolatot használnak. |
|
ÍRÁSVÉDETT |
írásvédett tartományvezérlők |
|
Veszélyeztetett kapcsolat |
A veszélyeztetett kapcsolat a biztonságos RPC szolgáltatással nem rendelkező Netlogon Secure Channel-kapcsolat. |
