Applies ToWindows Server 2019, all editions Windows Server 2016, all editions Windows Server, version 1909, all editions Windows Server, version 1903, all editions Windows Server, version 1809 (Datacenter, Standard) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Service Pack 1

Riepilogo

Il protocollo remoto Netlogon, detto anche MS-nrpc, è un'interfaccia RPC usata esclusivamente dai dispositivi associati a un dominio. MS-NRPC include un metodo di autenticazione e un metodo per creare un canale sicuro Netlogon. Questi aggiornamenti applicano il comportamento del client Netlogon specificato per usare la RPC sicura con il canale protetto Netlogon tra i computer membri e i domain controller di Active Directory (AD).

Questo aggiornamento della sicurezza affronta la vulnerabilità applicando una RPC sicura quando si usa il canale protetto Netlogon in una versione a fasi illustrata nella sezione relativa all' intervallo di aggiornamenti per la vulnerabilità di Netlogon-2020-1472 . Per garantire la protezione della foresta di Active Directory, tutti i controller di dominio devono essere aggiornati perché applicano la RPC sicura con il canale protetto Netlogon. Sono inclusi i controller di dominio di sola lettura.

Per altre informazioni sulla vulnerabilità, vedere CVE-2020-1472.

Intervenire

Per proteggere l'ambiente e evitare interruzioni, è necessario eseguire le operazioni seguenti:

Nota Il passaggio 1 dell'installazione degli aggiornamenti rilasciati il 11 agosto 2020 o versioni successive rilascerà il problema di sicurezza in CVE-2020-1472 per domini e trust di Active Directory, oltre a dispositivi Windows. Per ridurre completamente il problema di sicurezza per i dispositivi di terze parti, è necessario completare tutti i passaggi.

Avviso A partire da febbraio 2021, la modalità di applicazione sarà abilitata in tutti i controller di dominio di Windows e bloccherà connessioni vulnerabili da dispositivi non conformi. In quel momento, non è possibile disabilitare la modalità di applicazione.

  1. Aggiornare i domain controller con un aggiornamento rilasciato l'11 agosto 2020 o versione successiva.

  2. Individuare i dispositivi che rendono connessioni vulnerabili monitorando i log degli eventi.

  3. Rivolgersi a dispositivi non conformi che fanno connessioni vulnerabili.

  4. Attivare la modalità di applicazione per l'indirizzo CVE-2020-1472 nell'ambiente.

Nota Se si usa Windows Server 2008 R2 SP1, è necessario disporre di una licenza per l'aggiornamento della sicurezza estesa per installare correttamente qualsiasi aggiornamento che risolve il problema. Per altre informazioni sul programma Ude, vedere domande frequenti sul ciclo di vita-aggiornamenti per la sicurezza estesa.

In questo articolo:

Tempistica degli aggiornamenti per la vulnerabilità di accesso al Netlogon-2020-1472

Gli aggiornamenti verranno rilasciati in due fasi: la fase iniziale per gli aggiornamenti rilasciati il 1 ° agosto 2020 e la fase di applicazione degli aggiornamenti rilasciati il 9 febbraio 2021.

11 agosto 2020-fase di distribuzione iniziale

La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati il 11 agosto 2020 e continua con gli aggiornamenti successivi fino alla fase di applicazione. Questi aggiornamenti e successivi apportano modifiche al protocollo Netlogon per proteggere i dispositivi Windows per impostazione predefinita, registra gli eventi per l'individuazione di dispositivi non conformi e aggiunge la possibilità di abilitare la protezione per tutti i dispositivi associati a domini con eccezioni esplicite. Questo rilascio:

  • Impone l'utilizzo sicuro di RPC per gli account di computer nei dispositivi basati su Windows.

  • Impone l'utilizzo di RPC protette per gli account attendibili.

  • Impone l'utilizzo di RPC protette per tutti i controller di dominio Windows e non Windows.

  • Include un nuovo criterio di gruppo che consente agli account di dispositivi non conformi, ossia quelli che usano connessioni sicure di Netlogon per il canale. Anche se i controller di dominio sono in esecuzione in modalità di applicazione o dopo l'inizio della fase di applicazione , i dispositivi consentiti non vengono rifiutati.

  • Chiave del registro di sistema di FullSecureChannelProtection per abilitare la modalità di applicazione DC per tutti gli account macchina (l'applicazione di questa fase aggiornerà i controller di dominio in modalità di applicazioneDC).

  • Include i nuovi eventi in cui gli account vengono rifiutati o verrebbero rifiutati in modalità di applicazione DC e continueranno a essere applicati. Gli ID evento specifici sono illustrati più avanti in questo articolo.

La riduzione è costituita dall'installazione dell'aggiornamento in tutti i controller di dominio e RODC, il monitoraggio per i nuovi eventi e l'individuazione di dispositivi non conformi che usano connessioni protette del canale Netlogon vulnerabili. È possibile consentire agli account del computer su dispositivi non conformi di usare i vulnerabili collegamenti ai canali sicuri di Netlogon. Tuttavia, devono essere aggiornati per supportare la RPC sicura per il Netlogon e l'account applicato il più presto possibile per rimuovere il rischio di attacchi.

9 febbraio 2021-fase di applicazione

La versione del 9 febbraio 2021 segna il passaggio alla fase di applicazione. Il DCs sarà ora in modalità di applicazione , indipendentemente dalla chiave del registro di sistema in modalità di applicazione. È necessario che tutti i dispositivi Windows e non Windows usino la RPC sicura con canale protetto Netlogon o consentano esplicitamente l'account aggiungendo un'eccezione per il dispositivo non conforme. Questo rilascio:

  • Impone l'utilizzo sicuro di RPC per gli account di computer su dispositivi non basati su Windows, a meno che non sia consentito dalla "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

  • La registrazione dell'ID evento 5829 verrà rimossa. Poiché tutte le connessioni vulnerabili sono rifiutate, verranno visualizzati solo gli ID evento 5827 e 5828 nel registro eventi di sistema.

Linee guida per la distribuzione-distribuire gli aggiornamenti e applicare la conformità

La fase di distribuzione iniziale comprenderà la procedura seguente:

  1. Implementazione dell'undicesimo aggiornamento di agostoper tutti i controller di dominio nella foresta.

  2. (a) monitorare gli eventi di avvisoe (b) agire su ogni evento.

  3. (a) una volta risolti tutti gli eventi di avviso, la protezione completa può essere abilitata implementando la modalità di applicazioneDC. (b) tutti gli avvisi devono essere risolti prima dell'aggiornamento della fase di applicazione del 9 febbraio 2021.

passaggio 1: di aggiornamento

Distribuire l'11 agosto 2020 aggiornamenti

Distribuire gli aggiornamenti dell'undicesimo agosto a tutti i controller di dominio applicabili nella foresta, inclusi i controller di dominio di sola lettura (RODC). Dopo la distribuzione dell'aggiornamento, i controller di dominio verranno:

  • Iniziare a applicare l'utilizzo di RPC protette per tutti gli account di dispositivi basati su Windows, account attendibili e tutti i controller di dominio.

  • Registrare gli ID evento 5827 e 5828 nel registro eventi di sistema, se le connessioni vengono rifiutate.

  • Registrare gli ID evento 5830 e 5831 nel registro eventi di sistema, se le connessioni sono consentite da "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

  • Registrare l'ID evento 5829 nel registro eventi di sistema ogni volta che è consentita una connessione a un canale protetto Netlogon vulnerabile. Questi eventi devono essere affrontati prima di configurare la modalità di applicazione DC o prima che la fase di applicazione inizi il 9 febbraio 2021.

 

passaggio 2a: TROVA

Rilevamento di dispositivi non conformi con ID evento 5829

Dopo l'11 agosto 2020 sono stati applicati aggiornamenti ai controller di dominio, gli eventi possono essere raccolti nei log degli eventi di DC per determinare quali dispositivi nell'ambiente usano connessioni protette per il canale di accesso vulnerabile, definite come dispositivi non conformi in questo articolo. Monitorare i controller di dominio con patch per gli eventi di ID evento 5829. Tra gli eventi verranno incluse informazioni rilevanti per identificare i dispositivi non conformi.

Per monitorare gli eventi, usare il software di monitoraggio degli eventi disponibili o uno script per monitorare i controller di dominio.  Per uno script di esempio che può essere adattato all'ambiente di, vedere script che consente di monitorare gli ID evento relativi agli aggiornamenti Netlogon per CVE-2020-1472

passaggio 2b: indirizzo

Rispondere agli ID dell'evento 5827 e 5828

Per impostazione predefinita, la versione supportata di Windows che è stata completamente aggiornata non deve usare connessioni protette per il canale di accesso vulnerabile. Se uno di questi eventi viene registrato nel registro eventi di sistema per un dispositivo Windows:

  1. Verificare che nel dispositivo sia in esecuzione una versione supportata di Windows.

  2. Assicurarsi che il dispositivo sia completamente aggiornato.

  3. Verificare che membro di dominio: Crittografare o firmare digitalmente i dati del canale protetto (sempre) è impostato su abilitato.

Per i dispositivi non Windows che fungono da DC, questi eventi verranno registrati nel registro eventi di sistema quando si usano connessioni protette del canale Netlogon vulnerabili. Se uno di questi eventi è registrato:

  • Opzione consigliata Collaborare con il produttore del dispositivo o il fornitore del software per ottenere il supporto per la protezione RPC con Netlogon Secure Channel

    1. Se il DC non conforme supporta RPC protette con canale protetto Netlogon, abilitare la RPC sicura nel DC.

    2. Se attualmente non è compatibile con DC, usare il produttore del dispositivo o il fornitore del software per ottenere un aggiornamento che supporta la RPC sicura con canale protetto Netlogon.

    3. Ritirare il DC non conforme.

  • Vulnerabili Se non è conforme a una DC non conforme, non è possibile supportare la RPC sicura con canale sicuro Netlogon prima che i controller di dominio siano in modalità di applicazione, aggiungere il controller di dominio usando il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon " descritte di seguito.

Avviso Consentendo a DCs di usare le connessioni vulnerabili con i criteri di gruppo, la foresta potrebbe essere vulnerabile agli attacchi. L'obiettivo finale deve essere l'indirizzo e la rimozione di tutti gli account dei criteri di gruppo.

 

Evento Addressing 5829

L'ID evento 5829 viene generato quando è consentita una connessione vulnerabile durante la fase di distribuzione iniziale. Queste connessioni verranno rifiutate quando i controller di dominio sono in modalità di applicazione. In questi eventi si concentrerà sulle versioni del nome del computer, del dominio e del sistema operativo identificate per determinare i dispositivi non conformi e il modo in cui devono essere affrontate.

Metodi per risolvere i dispositivi non conformi:

  • Opzione consigliata Collaborare con il produttore del dispositivo o il fornitore del software per ottenere il supporto per la protezione RPC con Netlogon Secure Channel:

    1. Se il dispositivo non conforme supporta RPC protette con canale protetto Netlogon, abilitare la RPC sicura nel dispositivo.

    2. Se il dispositivo non conforme non supporta attualmente la RPC sicura con il canale sicuro Netlogon, collaborare con il produttore del dispositivo o il fornitore del software per ottenere un aggiornamento che consenta l'abilitazione di RPC sicura con canale protetto Netlogon.

    3. Ritirare il dispositivo non conforme.

  • Vulnerabili Se un dispositivo non conforme non è in grado di supportare la RPC sicura con canale sicuro Netlogon prima che i controller di dominio siano in modalità di applicazione, aggiungere il dispositivo usando il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon " descritte di seguito.

Avviso La possibilità di usare le connessioni vulnerabili con i criteri di gruppo consente agli account dei dispositivi di mettere a rischio questi account. L'obiettivo finale deve essere l'indirizzo e la rimozione di tutti gli account dei criteri di gruppo.

 

Consentire connessioni vulnerabili da dispositivi di terze parti

Usare il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon " criteri di gruppo per aggiungere account non conformi. Questo deve essere considerato solo un rimedio a breve termine finché i dispositivi non conformi non sono trattati come descritto sopra. Nota La possibilità di connessioni vulnerabili da dispositivi non conformi potrebbe avere un impatto di sicurezza sconosciuto e deve essere consentita con cautela.

  1. È stato creato un gruppo di sicurezza per gli account in cui sarà consentito usare un canale protetto Netlogon vulnerabile.

  2. In criteri di gruppo passare a configurazione computer > impostazioni di Windows > impostazioni di sicurezza > criteri locali > Opzioni di sicurezza

  3. Cercare "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon ".

  4. Se è presente il gruppo di amministratori o se non è stato creato un gruppo specifico per l'uso con i criteri di gruppo, rimuoverlo.

  5. Aggiungere un gruppo di sicurezza appositamente creato per l'uso con i criteri di gruppo al descrittore di sicurezza con l'autorizzazione "Consenti". Nota L'autorizzazione "Deny" si comporta come se fosse stato aggiunto all'account, ad esempio agli account non sarà consentito rendere i canali sicuri di Netlogon vulnerabili.

  6. Dopo l'aggiunta dei gruppi di sicurezza, è necessario replicare i criteri di gruppo in ogni DC.

  7. Controllare periodicamente gli eventi 5827, 5828 e 5829 per determinare quali account utilizzano connessioni protette protette vulnerabili.

  8. Aggiungere tali account al gruppo di sicurezza in base alle esigenze. Procedura consigliata Usare i gruppi di sicurezza dei criteri di gruppo e aggiungere account al gruppo in modo che l'appartenenza venga replicata tramite la normale replica AD. Ciò consente di evitare aggiornamenti frequenti dei criteri di gruppo e ritardi di replica.

Una volta risolti tutti i dispositivi non conformi, è possibile spostare i controller di dominio in modalità di applicazione (vedere la sezione seguente).

Avviso Consentire a DCs di usare connessioni vulnerabili per gli account di attendibilità per i criteri di gruppo renderà la foresta vulnerabile agli attacchi. Gli account di attendibilità in genere sono denominati dopo il dominio attendibile, ad esempio: Il DC nel dominio-a ha un trust con DC nel dominio-b. Internamente, il DC in Domain-a ha un account di attendibilità denominato "Domain-b $" che rappresenta l'oggetto trust per Domain-b. Se il dominio DC nel dominio-a vuole esporre la foresta al rischio di attacchi, consentendo a connessioni protette del canale protetto Netlogon dall'account di attendibilità di dominio b, un amministratore può usare Add-adgroupmember-Identity "nome del gruppo di sicurezza"-membri "dominio-b $" per aggiungere l'account di attendibilità al gruppo di sicurezza.

 

passaggio 3a: ABILITARE

Passare alla modalità di applicazione con anticipo della fase di applicazione di febbraio 2021

Una volta risolti tutti i dispositivi non conformi, abilitando la RPC sicura o consentendo connessioni vulnerabili con il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "i criteri di gruppo, impostare la chiave del registro di sistema di FullSecureChannelProtection su 1.

Nota Se si usa il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo, verificare che i criteri di gruppo siano stati replicati e applicati a tutti i controller di dominio prima di impostare la chiave del registro di sistema di FullSecureChannelProtection.

Quando la chiave del registro di sistema di FullSecureChannelProtection è distribuita, DCs sarà in modalità di applicazione. Questa opzione richiede che tutti i dispositivi che usano Netlogon Secure Channel siano:

Avviso I client di terze parti che non supportano la RPC sicura con connessioni canale protette Netlogon verranno rifiutate quando viene distribuita la chiave del registro di sistema DC, che può interrompere i servizi di produzione.

 

passaggio 3b: Fase di applicazione

Distribuire il 9 febbraio 2021 aggiornamenti

La distribuzione degli aggiornamenti rilasciati il 9 febbraio 2021 o versioni successive attiva la modalità di applicazioneDC. La modalità di applicazione DC è quando tutte le connessioni Netlogon sono necessarie per usare la RPC sicura o l'account devono essere stati aggiunti al "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo. Al momento, la chiave del registro di sistema di FullSecureChannelProtection non è più necessaria e non sarà più supportata.

"Controller di dominio: Consenti connessioni di gruppo protette per il canale di accesso vulnerabile

La procedura consigliata consiste nell'usare i gruppi di sicurezza dei criteri di gruppo in modo che l'appartenenza venga replicata tramite la normale replica di Active Directory. Ciò consente di evitare aggiornamenti frequenti dei criteri di gruppo e ritardi di replica.

Percorso e nome dell'impostazione dei criteri

Descrizione

Percorso criterio: Configurazione del Computer > impostazioni di Windows > impostazioni di sicurezza > criteri locali > opzioni di sicurezza Nome dell'opzione: domain controller: Consenti connessioni protette per il canale protetto Netlogon

Riavviare necessario? No

Questa impostazione di sicurezza determina se il controller di dominio ignora la RPC sicura per le connessioni del canale protetto Netlogon per gli account del computer specificati.

Questo criterio deve essere applicato a tutti i controller di dominio in una foresta abilitando i criteri nell'OU Domain Controllers.

Quando viene configurato l'elenco Crea connessioni vulnerabili (elenco Consenti):

  • Consentire Il controller di dominio consentirà al gruppo/account specificato di usare un canale protetto Netlogon senza la protezione RPC.

  • Nega Questa impostazione corrisponde al comportamento predefinito. Il controller di dominio richiederà il gruppo/account specificato per l'uso di un canale protetto Netlogon con la protezione RPC.

Avviso L'abilitazione di questo criterio esporrà i dispositivi collegati al dominio e la foresta di Active Directory, che potrebbero metterli a rischio. Questo criterio deve essere usato come misura temporanea per dispositivi di terze parti durante la distribuzione degli aggiornamenti. Dopo l'aggiornamento di un dispositivo di terze parti per supportare l'uso della RPC sicura con i canali sicuri di Netlogon, l'account deve essere rimosso dall'elenco Crea connessioni vulnerabili. Per comprendere meglio il rischio che la configurazione di un account possa essere consentita per l'uso dei vulnerabili collegamenti di canale protetto Netlogon, visitare https://go.microsoft.com/fwlink/?linkid=2133485.

Predefinita I criteri non sono configurati. I computer o gli account di attendibilità sono esplicitamente esenti da RPC protette con l'applicazione di connessioni protette di Netlogon.

Questi criteri sono supportati in Windows Server 2008 R2 SP1 e versioni successive.

Errori del registro eventi di Windows correlati a CVE-2020-1472

Sono disponibili tre categorie di eventi:

1. Eventi registrati quando una connessione viene negata perché è stata tentata la connessione al canale protetto di Netlogon vulnerabile:

  • 5827 (account macchina) errore

  • Errore 5828 (account attendibili)

2. Eventi registrati quando è consentita una connessione perché l'account è stato aggiunto al "controller di dominio: Consenti connessioni protette con accesso invulnerabile al canale "criteri di gruppo:

  • 5830 (account computer) avviso

  • 5831 (account attendibili) avviso

3. Gli eventi registrati quando è consentita una connessione nel rilascio iniziale che verranno rifiutati in modalità di applicazioneDC:

  • 5829 (account computer) avviso

ID evento 5827

L'ID evento 5827 viene registrato quando la connessione di un canale protetto Netlogon vulnerabile da un account del computer viene negata.

Registro eventi

Sistema

Origine evento

NETLOGON

ID evento

5827

Livello

Errore

Testo del messaggio di evento

Il servizio Netlogon ha rifiutato una vulnerabilità della connessione al canale protetto Netlogon vulnerabile da un account computer.

SamAccountName del computer:

Dominio:

Tipo di account:

Sistema operativo macchina:

Build del sistema operativo macchina:

Service Pack per il sistema operativo macchina:

Per altre informazioni sui motivi per cui è stato negato, visitare https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID evento 5828

L'ID evento 5828 viene registrato quando la connessione di un canale protetto Netlogon vulnerabile da un account di attendibilità viene negata.

Registro eventi

Sistema

Origine evento

NETLOGON

ID evento

5828

Livello

Errore

Testo del messaggio di evento

Il servizio Netlogon ha rifiutato una vulnerabilità del canale protetto Netlogon vulnerabile con un account attendibile.

Tipo di account:

Nome attendibile:

Destinazione attendibile:

Indirizzo IP client:

Per altre informazioni sui motivi per cui è stato negato, visitare https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID evento 5829

L'ID evento 5829 viene registrato solo durante la fase di distribuzione iniziale, quando è consentita una connessione a un canale protetto Netlogon vulnerabile da un account computer.

Quando la modalità di applicazione di DC viene distribuita o dopo l'inizio della fase di applicazione con la distribuzione degli aggiornamenti del 9 febbraio 2021, queste connessioni verranno RIFIUTAte e l'ID dell'evento 5827 verrà registrato. Questo è il motivo per cui è importante monitorare l'evento 5829 durante la fase di distribuzione iniziale e agire prima della fase di applicazione per evitare interruzioni.

Registro eventi

Sistema

Origine evento

NETLOGON

ID evento

5829

Livello

Avviso

Testo del messaggio di evento

Il servizio Netlogon ha consentito una connessione al canale protetto Netlogon vulnerabile.  

Avviso: Questa connessione verrà rifiutata dopo il rilascio della fase di applicazione. Per comprendere meglio la fase di applicazione, visita https://go.Microsoft.com/fwlink/?LinkId=2133485.  

SamAccountName del computer:  

Dominio:  

Tipo di account:  

Sistema operativo macchina:  

Build del sistema operativo macchina:  

Service Pack per il sistema operativo macchina:  

ID evento 5830

L'ID evento 5830 viene registrato quando è consentita una connessione a un account del computer con canale protetto Netlogon vulnerabile "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

Registro eventi

Sistema

Origine evento

NETLOGON

ID evento

5830

Livello

Attenzione

Testo del messaggio di evento

Il servizio Netlogon ha consentito una connessione al canale protetto Netlogon vulnerabile, perché nell'account del computer è consentito il "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon ".

Avviso: L'uso dei canali sicuri NETLOGON vulnerabili esporrà i dispositivi collegati al dominio. Per proteggere il dispositivo dall'attacco, rimuovere un account del computer da "controller di dominio: Consenti connessioni di gruppo protette di Netlogon vulnerabili "dopo l'aggiornamento del client Netlogon di terze parti. Per comprendere meglio il rischio di configurare gli account del computer in modo da consentire l'uso dei vulnerabili collegamenti per il canale protetto Netlogon, visita https://go.Microsoft.com/fwlink/?LinkId=2133485.

SamAccountName del computer:

Dominio:

Tipo di account:

Sistema operativo macchina:

Build del sistema operativo macchina:

Service Pack per il sistema operativo macchina:

 

ID evento 5831

L'ID evento 5831 viene registrato quando è consentita una connessione a un account attendibile di Netlogon Channel vulnerabile "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

Registro eventi

Sistema

Origine evento

NETLOGON

ID evento

5831

Livello

Attenzione

Testo del messaggio di evento

Il servizio Netlogon ha consentito una connessione al canale protetto Netlogon vulnerabile perché l'account attendibile è consentito nel "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon ".

Avviso: L'uso di canali sicuri NETLOGON vulnerabili esporrà le foreste di Active Directory all'attacco. Per proteggere le foreste di Active Directory dall'attacco, tutti i trust devono usare la RPC sicura con canale protetto Netlogon. Rimuovere un account attendibile da "controller di dominio: Consenti connessioni di gruppo protette di Netlogon vulnerabili dopo che il client Netlogon di terze parti nei controller di dominio è stato aggiornato. Per comprendere meglio il rischio che la configurazione degli account attendibili possa essere consentita per l'uso dei vulnerabili collegamenti di canale protetto Netlogon, visitare https://go.Microsoft.com/fwlink/?LinkId=2133485.

Tipo di account:

Nome attendibile:

Destinazione attendibile:

Indirizzo IP client:

Valore del registro di sistema per la modalità di applicazione

avviso potrebbe verificarsi un problema grave se il registro di sistema non viene modificato in modo corretto con l'editor del registro di sistema o un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire la risoluzione di questi problemi. Modificare il registro di sistema a proprio rischio. 

Gli aggiornamenti del 11 agosto 2020 introducono l'opzione del registro di sistema seguente per abilitare la modalità di applicazione anticipata. Questa operazione verrà abilitata indipendentemente dall'opzione del registro di sistema nella fase di esecuzione che inizia il 9 febbraio 2021: 

Sottochiave del registro di sistema

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valore

FullSecureChannelProtection

Tipo di dati

REG_DWORD

Dati

1: Abilita la modalità di applicazione. I controller di dominio consentiranno l'accesso alle connessioni protette del canale protetto, a meno che l'account non sia consentito dall'elenco Crea connessioni vulnerabili nel "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.  

0-DCs consentirà a Microsoft di proteggere i canali vulnerabili da dispositivi non Windows. Questa opzione è deprecata nella versione Phase Enforcement.

Riavviare necessario?

No

 

Dispositivi di terze parti che implementano [MS-NRPC]: Protocollo remoto Netlogon

Tutti i client o i server di terze parti devono usare la RPC sicura nel canale protetto Netlogon. Contattare il produttore del dispositivo o il produttore del software per determinare se il software è compatibile con il protocollo remoto Netlogon più recente. 

Gli aggiornamenti del protocollo sono disponibili nel sito della documentazione del protocollo Windows

Domande frequenti

  • Dispositivi collegati a un dominio di terze parti che dispongono di account computer in Active Directory (AD) di Windows &

  • Windows Server & controller di dominio di terze parti nei domini attendibili & attendibili che contengono account attendibili in Active Directory

I dispositivi di terze parti potrebbero non essere conformi. Se la soluzione di terze parti gestisce un account computer in Active Directory, contattare il fornitore per stabilire se si è interessati.

Le modifiche apportate ai criteri di gruppo per la replica di Active Directory e la replica SYSVOL o i criteri di gruppo nel DC di autenticazione potrebbero comportare il "controller di dominio: Consenti connessioni protette con accesso invulnerabile ai canali "i criteri di gruppo essere assenti e causare il rifiuto dell'account. 

La procedura seguente può essere utile per risolvere il problema:

Per impostazione predefinita, la versione supportata di Windows che è stata completamente aggiornata non deve usare connessioni protette per il canale di accesso vulnerabile. Se nel registro eventi di sistema di un dispositivo Windows è registrato un ID evento 5827:

  1. Verificare che nel dispositivo sia in esecuzione una versione supportata di Windows.

  2. Assicurarsi che il dispositivo sia completamente aggiornato da Windows Update.

  3. Verificare che membro di dominio: Crittografare o firmare digitalmente i dati di Secure Channel (always) è impostato su Enabled in un oggetto Criteri di gruppo collegato all'unità organizzativa per tutti i controller di dominio, ad esempio l'oggetto Criteri di gruppo Domain Controllers predefinito.

Sì, devono essere aggiornate, ma non sono specificamente vulnerabili a CVE-2020-1472.

No, i DCs sono l'unico ruolo influenzato da CVE-2020-1472 e possono essere aggiornati in modo indipendente rispetto ai server Windows non DC e ad altri dispositivi Windows.

Windows Server 2008 SP2 non è vulnerabile a questo CVE specifico perché non usa AES per la protezione RPC.

Sì, è necessario l' aggiornamento della sicurezza estesa per installare gli aggiornamenti per gli indirizzi CVE-2020-1472 per Windows Server 2008 R2 SP1.

Distribuendo gli aggiornamenti 11 agosto 2020 o successivi a tutti i domain controller nel proprio ambiente.

Assicurarsi che nessuno dei dispositivi siano stati aggiunti al "controller di dominio: Consenti connessioni protette per i canali protette Netlogon " i criteri di gruppo per amministratori aziendali o per amministratori di dominio, ad esempio SCCM o Microsoft Exchange.  Nota Qualsiasi dispositivo nell'elenco Consenti potrà usare connessioni vulnerabili e potrebbe esporre il proprio ambiente all'attacco.

Se si installano gli aggiornamenti rilasciati il 11 agosto 2020 o versioni successive, i controller di dominio proteggono gli account macchina basati su Windows, account attendibili e account controller di dominio. 

Gli account del computer di Active Directory per i dispositivi di terze parti collegati al dominio non sono protetti finché non viene distribuita la modalità di applicazione. Anche gli account computer non sono protetti se vengono aggiunti al "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

Assicurarsi che tutti i controller di dominio nell'ambiente siano stati installati gli aggiornamenti 11 agosto 2020 o versione successiva.

Tutte le identità dei dispositivi aggiunte al "controller di dominio: Consenti connessioni protette per il canale di accesso vulnerabile "i criteri di gruppo saranno vulnerabili agli attacchi.   

Assicurarsi che tutti i controller di dominio nell'ambiente siano stati installati gli aggiornamenti 11 agosto 2020 o versione successiva. 

Attivare la modalità di applicazione per rifiutare connessioni vulnerabili da identità dei dispositivi di terze parti non conformi.Nota Se è abilitata la modalità di applicazione, tutte le identità di dispositivi di terze parti aggiunte al "controller di dominio: Consenti connessioni protette per il canale di accesso vulnerabile "i criteri di gruppo saranno ancora vulnerabili e potrebbero consentire a un utente malintenzionato l'accesso non autorizzato alla rete o ai dispositivi.

La modalità di applicazione indica ai controller di dominio di non consentire connessioni Netlogon da dispositivi che non usano la RPC sicura, a meno che non siano stati aggiunti all' "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

Per altre informazioni, vedere la sezione valore del registro di sistema per la modalità di applicazione .

Solo gli account computer per dispositivi che non possono essere resi sicuri abilitando la RPC sicura nel canale protetto Netlogon devono essere aggiunti ai criteri di gruppo. È consigliabile rendere conformi tali dispositivi o sostituirli per proteggere l'ambiente.

Un utente malintenzionato può assumere un'identità del computer di Active Directory di qualsiasi account di computer aggiunto a criteri di gruppo e quindi sfruttare le autorizzazioni che ha l'identità del computer.

Se si ha un dispositivo di terze parti che non supporta la RPC sicura per il canale protetto Netlogon e si vuole abilitare la modalità di applicazione, è necessario aggiungere l'account del computer per il dispositivo ai criteri di gruppo. Questa operazione non è consigliata ed è possibile che il dominio venga abbandonato in uno stato potenzialmente vulnerabile.  È consigliabile usare questo criterio di gruppo per consentire il tempo necessario per aggiornare o sostituire dispositivi di terze parti per renderli conformi.

La modalità di applicazione deve essere abilitata il più presto possibile. I dispositivi di terze parti devono essere risolti conformi o aggiungerli al "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo. Nota Qualsiasi dispositivo nell'elenco Consenti potrà usare connessioni vulnerabili e potrebbe esporre il proprio ambiente all'attacco.

 

Glossario

Termine

Definizione

AD

Active Directory

DC

Domain controller

Modalità di applicazione

Chiavi del registro di sistema che consentono di abilitare la modalità di applicazione con anticipo del 9 febbraio 2021.

Fase di applicazione

Fase che inizia con gli aggiornamenti del 9 febbraio 2021, in cui la modalità di applicazione verrà abilitata in tutti i controller di dominio di Windows, indipendentemente dall'opzione del registro di sistema. DCs negherà le connessioni vulnerabili da tutti i dispositivi non conformi, a meno che non vengano aggiunte al "controller di dominio: Consenti connessioni protette per il canale protetto Netlogon "dei criteri di gruppo.

Fase di distribuzione iniziale

Fase che inizia con l'11 agosto 2020 aggiornamenti e continua con gli aggiornamenti successivi fino alla fase di applicazione.

account macchina

Indicato anche come computer o oggetto computer di Active Directory.  Per una definizione completa, vedere il Glossario MS-NPRC .

MS-NRPC

Protocollo remoto Microsoft Netlogon

Dispositivi non conformi

I dispositivi non conformi sono quelli che usano una connessione canale sicura Netlogon vulnerabile.

CONTROLLER

Domain controller di sola lettura

Connessione vulnerabile

Una connessione vulnerabile è una connessione canale sicura Netlogon che non usa la RPC sicura.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.