Tanggal penerbitan asli: 13 Agustus 2025

ID KB: 5066014

Dalam artikel ini:

Rangkuman

CVE-2025-49716 membahas kerentanan Denial-of-Service di mana pengguna jarak jauh yang tidak terauthentikasi dapat membuat serangkaian Panggilan Prosedur Jarak Jauh (RPC) berbasis Netlogon yang akhirnya menggunakan semua memori pada Pengontrol Domain (DC). Untuk mengurangi kerentanan ini, perubahan kode dilakukan dalam Pembaruan Keamanan Windows Mei 2025 untuk Windows Server 2025, dan juli 2025 Keamanan Windows Updates untuk semua platform Server lainnya dari Windows Server 2008SP2 ke Windows Server 2022, inklusif.  Pembaruan ini menyertakan perubahan keamanan yang mengeras ke protokol Microsoft RPC Netlogon. Perubahan ini meningkatkan keamanan dengan memperketat pemeriksaan akses untuk sekumpulan permintaan panggilan prosedur jarak jauh (RPC). Setelah pembaruan ini diinstal, pengontrol domain Direktori Aktif tidak akan lagi mengizinkan klien anonim untuk memanggil beberapa permintaan RPC melalui server RPC Netlogon. Permintaan ini biasanya terkait dengan lokasi pengontrol domain.

Setelah perubahan ini, beberapa file & perangkat lunak layanan cetak dapat terpengaruh, termasuk Samba. Samba telah merilis pembaruan untuk mengakomodasi perubahan ini. Lihat Samba 4.22.3 - Catatan Rilis untuk informasi selengkapnya.

Untuk mengakomodasi skenario yang memengaruhi perangkat lunak pihak ketiga yang tidak dapat diperbarui, kami merilis kapabilitas konfigurasi tambahan dalam Pembaruan Keamanan Windows Agustus 2025. Perubahan ini menerapkan tombol pengalih berbasis registri antara Mode Penerapan default, Mode Audit yang akan mencatat perubahan tetapi tidak akan memblokir panggilan RPC Netlogon yang tidak diautentikasi, dan Mode Nonaktif (tidak disarankan.)

Ambil tindakan

Untuk melindungi lingkungan Anda dan menghindari pemadaman, terlebih dahulu perbarui semua perangkat yang menghosting pengontrol domain Direktori Aktif atau peran Server LDS dengan menginstal pembaruan Windows terbaru. DC yang memiliki Keamanan Windows Updates 8 Juli 2025 atau yang lebih baru (atau DC Windows Server 2025 dengan pembaruan Mei) bersifat aman secara default dan tidak menerima panggilan RPC berbasis Netlogon yang tidak diautentikasi secara default. DC yang memiliki Keamanan Windows Updates Agustus 12, 2025 atau yang lebih baru tidak menerima panggilan RPC berbasis Netlogon tanpa aauthenticated secara default, tetapi dapat dikonfigurasi untuk melakukannya sementara.

  1. Pantau lingkungan Anda untuk masalah akses. Jika ditemui, konfirmasi jika netlogon RPC hardening changes are the root cause.

    1. Jika hanya pembaruan Juli yang diinstal, aktifkan pembuatan log Netlogon verbose menggunakan perintah "Nltest.exe /dbflag:0x2080ffff" lalu pantau log yang dihasilkan untuk entri yang menyerupai baris berikut ini. Bidang OpNum dan Metode dapat bervariasi, dan mewakili operasi dan metode RPC yang diblokir:

      06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: menolak panggilan RPC tidak sah dari [IPAddr] OpNum:34 Method:DsrGetDcNameEx2

    2. Jika pembaruan Windows Agustus atau yang lebih baru diinstal, cari Security-Netlogon Event 9015 di DC Anda untuk menentukan panggilan RPC apa yang sedang ditolak. Jika panggilan ini sangat penting, Anda bisa meletakkan DC dalam Mode Audit atau Mode Nonaktif sementara waktu saat Anda memecahkan masalah.

    3. Buat perubahan sehingga aplikasi menggunakan panggilan RPC Netlogon yang diautentikasi atau hubungi vendor perangkat lunak Anda untuk informasi lebih lanjut.

  2. Jika Anda meletakkan DC dalam Mode Audit, pantau Security-Netlogon Kejadian 9016 untuk menentukan panggilan RPC apa yang akan ditolak jika Anda mengaktifkan Mode Penegakan. Lalu buat perubahan sehingga aplikasi menggunakan panggilan RPC Netlogon yang diautentikasi atau hubungi vendor perangkat lunak Anda untuk informasi lebih lanjut.

Catatan: Di server Windows 2008 SP2 dan Windows 2008 R2, kejadian ini akan dilihat dalam log kejadian sistem sebagai Kejadian Netlogon 5844 dan 5845, masing-masing, untuk Mode Penegakan dan Mode Audit.

Pengaturan waktu pembaruan Windows

Pembaruan Windows ini dirilis dalam beberapa fase:

  1. Perubahan Awal pada Windows Server 2025 (13 Mei 2025) – Pembaruan asli yang mengeras terhadap panggilan RPC berbasis Netlogon yang tidak diautentikasi disertakan dalam Pembaruan Keamanan Windows Mei 2025 untuk Windows Server 2025.

  2. Perubahan Awal pada Platform Server lainnya (8 Juli 2025) – Pembaruan yang mengeras terhadap panggilan RPC berbasis Netlogon yang tidak diautentikasi untuk platform Server lainnya disertakan dalam Keamanan Windows Updates Juli 2025.

  3. Penambahan Mode Audit dan Mode Nonaktif (12 Agustus 2025) – Penerapan secara default dengan opsi untuk mode Audit atau Nonaktif disertakan dalam Keamanan Windows Updates Agustus 2025.

  4. Penghapusan Mode Audit dan Mode Nonaktif (TBD) – Di kemudian hari, mode Audit dan Nonaktif dapat dihapus dari OS. Artikel ini akan diperbarui ketika detail lebih lanjut dikonfirmasi.

Panduan penyebaran

Jika Anda menyebarkan Keamanan Windows Updates Agustus dan ingin mengonfigurasi DC Anda ke mode Audit atau Nonaktif, gunakan kunci registri di bawah ini dengan nilai yang sesuai. Tidak diperlukan mulai ulang.

Jalan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Nilai registri

DCLocatorRPCSecurityPolicy

Tipe nilai

REG_DWORD

Data nilai

0 - Mode Nonaktif1 - Mode Audit2 - Mode Penerapan (default)

Catatan: Permintaan yang tidak diaudit akan diperbolehkan dalam mode Audit dan Nonaktif.

Acara yang baru ditambahkan

Keamanan Windows Updates 12 Agustus 2025 juga akan menambahkan log kejadian baru di Windows Server 2012 melalui Windows Server pengontrol domain 2022:

Log Kejadian

Microsoft-Windows-Security-Netlogon/Operational

Tipe Kejadian

Informasi

ID Kejadian

9015

Teks Acara

Netlogon menolak panggilan RPC. Kebijakan berada dalam mode penerapan.

Informasi Klien: Nama Metode: %method% Metode opnum: %opnum% Alamat klien:> alamat IP < Identitas klien: <> SID Penelepon

Untuk informasi selengkapnya, lihat https://aka.ms/dclocatorrpcpolicy.

Log Kejadian

Microsoft-Windows-Security-Netlogon/Operational

Tipe Kejadian

Informasi

ID Kejadian

9016

Teks Acara

Netlogon mengizinkan panggilan RPC yang biasanya ditolak. Kebijakan ini berada dalam mode audit.

Informasi Klien: Nama Metode: %method% Metode opnum: %opnum% Alamat klien:> alamat IP < Identitas klien: <> SID Penelepon

Untuk informasi selengkapnya, lihat https://aka.ms/dclocatorrpcpolicy.

Catatan: Di server Windows 2008 SP2 dan Windows 2008 R2, kejadian ini akan dilihat dalam log kejadian sistem sebagai Kejadian Netlogon 5844 dan 5845, masing-masing, untuk mode Penegakan dan Audit.

Tanya jawab umum (FAQ)

DC yang tidak diperbarui dengan Keamanan Windows Updates 8 Juli 2025, atau yang lebih baru, masih akan memungkinkan panggilan RPC berbasis Netlogon yang tidak diautentikasi & tidak akan mencatat kejadian yang terkait dengan kerentanan ini.

DC yang diperbarui dengan Keamanan Windows Updates 8 Juli 2025 tidak akan mengizinkan panggilan RPC berbasis Netlogon yang tidak diautentikasi, tetapi tidak akan mencatat kejadian ketika panggilan tersebut diblokir.

Secara default, DC yang diperbarui dengan Keamanan Windows Updates 12 Agustus 2025, atau yang lebih baru, tidak akan mengizinkan panggilan RPC berbasis Netlogon yang tidak diautentikasi, dan akan mencatat kejadian ketika panggilan tersebut diblokir.

Tidak.

Facebook LinkedIn Email

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas