Eredeti közzététel dátuma: 2025. augusztus 13.
TUDÁSBÁZIS-azonosító: 5066014
Ebben a cikkben:
Összefoglalás
A CVE-2025-49716 egy szolgáltatásmegtagadási biztonsági rést old meg, amely miatt a távoli hitelesítés nélküli felhasználók Netlogon-alapú távoli eljáráshívások (RPC) sorozatát hozhatják létre, amelyek végül egy tartományvezérlő (DC) összes memóriáját felhasználják. A biztonsági rés csökkentése érdekében kódmódosítás történt a 2025. májusi Windows biztonság-frissítésben a 2025. Windows Server- és a 2025. júliusi Windows biztonság Frissítések minden más kiszolgálóplatformon a 2008SP2 Windows Server Windows Server 2022-ben, beleértve a 2022-es éveket is. Ez a frissítés a Microsoft RPC Netlogon protokoll biztonsági korlátozását tartalmazza. Ez a változás a távoli eljáráshívási (RPC-) kérelmek hozzáférési ellenőrzésének szigorításával javítja a biztonságot. A frissítés telepítése után az Active Directory-tartományvezérlők nem engedélyezik, hogy a névtelen ügyfelek néhány RPC-kérést a Netlogon RPC-kiszolgálón keresztül hívjanak meg. Ezek a kérések általában a tartományvezérlő helyéhez kapcsolódnak.
A módosítást követően néhány fájl & nyomtatószolgáltatás szoftvere is érintett lehet, beleértve a Samba-t is. A Samba kiadott egy frissítést, hogy megfeleljen ennek a változásnak. További információért lásd: Samba 4.22.3 – Kibocsátási megjegyzések .
Azoknak a forgatókönyveknek a megoldásához, amelyekben az érintett külső szoftver nem frissíthető, a 2025. augusztusi Windows biztonság Update-ben további konfigurációs képességeket adtunk ki. Ez a módosítás egy beállításkulcs-alapú kapcsolót implementál az alapértelmezett kényszerítési mód, egy naplózási mód között, amely naplózza a módosításokat, de nem blokkolja a nem hitelesített Netlogon RPC-hívásokat, és letiltott módot (nem ajánlott).
Művelet végrehajtása
A környezet védelme és a kimaradások elkerülése érdekében először frissítse az Active Directory-tartományvezérlő vagy LDS-kiszolgáló szerepkört futtató összes eszközt a legújabb Windows-frissítések telepítésével. Azok a 2025. július 8-i vagy újabb Windows biztonság Frissítések (vagy Windows Server 2025 májusi frissítésekkel rendelkező 2025-ös számítógépek) alapértelmezés szerint biztonságosak, és alapértelmezés szerint nem fogadnak hitelesítés nélküli Netlogon-alapú RPC-hívásokat. A 2025. augusztus 12-i vagy újabb Windows biztonság Frissítések rendelkező nic-k alapértelmezés szerint nem fogadnak hitelesítés nélküli Netlogon-alapú RPC-hívásokat, de átmenetileg konfigurálhatók erre.
-
A környezet figyelése hozzáférési problémák esetén. Ha ilyen hibába ütközik, ellenőrizze, hogy a Netlogon RPC-megerősítési módosítások okozzák-e a problémát.
-
Ha csak júliusi frissítések vannak telepítve, engedélyezze a részletes Netlogon-naplózást a "Nltest.exe /dbflag:0x2080ffff" paranccsal, majd figyelje az eredményül kapott naplókat az alábbi sorhoz hasonló bejegyzések esetén. Az OpNum és a Method mező eltérő lehet, és a letiltott műveletet és RPC-metódust jelöli:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: az [IPAddr] OpNum:34 Metódus:DsrGetDcNameEx2 jogosulatlan RPC-hívásának elutasítása
-
Ha augusztusi vagy újabb Windows-frissítések vannak telepítve, keresse meg a 9015-ös Security-Netlogon eseményt a számítógépen annak megállapításához, hogy mely RPC-hívásokat utasítja el a rendszer. Ha ezek a hívások kritikusak, a hibaelhárítás során ideiglenesen naplózási vagy letiltott módban helyezheti el a tartományvezérlőt.
-
Végezze el a módosításokat úgy, hogy az alkalmazás hitelesített Netlogon RPC-hívásokat használjon, vagy további információért forduljon a szoftver gyártójához.
-
-
Ha naplómódban helyezi el a nic-eket, a 9016-os Security-Netlogon esemény figyelése alapján állapítsa meg, hogy milyen RPC-hívásokat utasítana el a rendszer, ha bekapcsolja a kényszerítési módot. Ezután végezze el a módosításokat úgy, hogy az alkalmazás hitelesített Netlogon RPC-hívásokat használjon, vagy további információért forduljon a szoftver gyártójához.
Megjegyzés: Windows 2008 SP2 és Windows 2008 R2 rendszerű kiszolgálókon ezek az események a Rendszer eseménynaplóiban 5844-es, illetve 5845-ös Netlogon-eseményként jelennek meg a kényszerítési mód és a naplózási mód esetében.
A Windows-frissítések időzítése
Ezek a Windows-frissítések több fázisban jelentek meg:
-
Kezdeti módosítás a 2025-ös Windows Server (2025. május 13.) – A 2025. májusi Windows biztonság 2025. májusi Windows Server frissítés tartalmazza a nem hitelesített Netlogon-alapú RPC-hívások elleni eredeti frissítést.
-
Kezdeti változások más kiszolgálóplatformokon (2025. július 8.) – A 2025. júliusi Windows biztonság Frissítések tartalmazták azokat a frissítéseket, amelyeket a más kiszolgálóplatformokra vonatkozó, nem hitelesített Netlogon-alapú RPC-hívások ellen rögzítettek.
-
A naplózási mód és a letiltott mód hozzáadása (2025. augusztus 12.) – A 2025. augusztusi Windows biztonság Frissítések alapértelmezés szerint a naplózási vagy letiltott módokkal való kényszerítés szerepelt.
-
A naplózási mód és a letiltott mód (TBD) eltávolítása – Egy későbbi időpontban a naplózási és letiltott üzemmódok eltávolíthatók az operációs rendszerből. Ez a cikk a további részletek megerősítésekor frissül.
Üzembe helyezési útmutató
Ha az augusztusi Windows biztonság Frissítések üzembe helyezi, és auditálási vagy letiltott módban szeretné konfigurálni a nic-eket, telepítse az alábbi beállításkulcsot a megfelelő értékkel. Nincs szükség újraindításra.
|
Ösvény |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Beállításazonosító |
DCLocatorRPCSecurityPolicy |
|
Érték típusa |
REG_DWORD |
|
Értékadatok |
0 – Letiltott mód1 –Naplózási mód 2 – Kényszerítési mód (alapértelmezett) |
Megjegyzés: A nem hitelesített kérések naplózási és letiltott módban is engedélyezettek lesznek.
Újonnan hozzáadott események
A 2025. augusztus 12-i Windows biztonság Frissítések új eseménynaplókat is hozzáad Windows Server 2012 Windows Server 2022-ben:
|
Eseménynapló |
Microsoft-Windows-Security-Netlogon/Operational |
|
Esemény típusa |
Információ |
|
Eseményazonosító |
9015 |
|
Esemény szövege |
A Netlogon megtagadott egy RPC-hívást. A szabályzat kényszerítés módban van. Ügyféladatok: Metódus neve: %method% Metódus opnumja: %opnum% Ügyfél címe: <IP-cím> Ügyfélidentitás: <hívó SID-> További információ: https://aka.ms/dclocatorrpcpolicy. |
|
Eseménynapló |
Microsoft-Windows-Security-Netlogon/Operational |
|
Esemény típusa |
Információ |
|
Eseményazonosító |
9016 |
|
Esemény szövege |
A Netlogon olyan RPC-hívást engedélyezett, amely általában megtagadva lett volna. A szabályzat naplózási módban van. Ügyféladatok: Metódus neve: %method% Metódus opnumja: %opnum% Ügyfél címe: <IP-cím> Ügyfélidentitás: <hívó SID-> További információ: https://aka.ms/dclocatorrpcpolicy. |
Megjegyzés: Windows 2008 SP2- és Windows 2008 R2-kiszolgálókon ezek az események a Rendszer eseménynaplóiban 5844-es, illetve 5845-ös Netlogon-eseményként jelennek meg a kényszerítési és naplózási módokhoz.
Gyakori kérdések (GYIK)
A 2025. július 8-i Windows biztonság Frissítések vagy újabb verzióval nem frissített kodekek továbbra is engedélyezik a nem hitelesített Netlogon-alapú RPC-hívásokat, & nem naplóznak a biztonsági réshez kapcsolódó eseményeket.
A 2025. július 8-i Windows biztonság Frissítések frissítéssel frissített kodekek nem engedélyezik a nem hitelesített Netlogon-alapú RPC-hívásokat, de nem naplóznak eseményt, ha egy ilyen hívás le van tiltva.
Alapértelmezés szerint a 2025. augusztus 12-i Windows biztonság Frissítések vagy újabb verzióval frissített DK-k nem engedélyezik a nem hitelesített Netlogon-alapú RPC-hívásokat, és naplóznak egy eseményt, ha egy ilyen hívás le van tiltva.
Nem.
