CVE-2020-1472 に関連する Netlogon セキュア チャネル接続の変更を管理する方法

適用対象: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions

Windows Server 2008 R2 SP1 を使用している場合、この問題に対処する更新プログラムを正常にインストールするには、拡張セキュリティ更新 (ESU) プログラムのライセンスが必要です。ESU プログラムの詳細については、「 ライフサイクル FAQ - 拡張セキュリティ更新プログラム」を参照してください。

要約


Netlogon リモート プロトコル ( MS-NRPC とも呼ばれる) は、ドメインに参加しているデバイスによって排他的に使用されるRPCインターフェイスです。MS-NRPC には、認証方法と Netlogon セキュアチャネルを確立する方法があります。これらの更新プログラムは、指定された Netlogon クライアントの動作を強制し、メンバー コンピューターとActive Directory (AD) ドメイン コントローラー (DC) の間の Netlogon セキュア チャネルで安全な RPC を使用します。

このセキュリティ更新プログラムは、「更新プログラム セクション」で説明されている段階的リリースで Netlogon セキュア チャネルを使用するときに安全な RPC を適用することにより、この脆弱性を解決します。DC はNetlogon セキュア チャネルで安全な RPC を強制するため、AD フォレスト保護を提供するにはすべてのDCを更新する必要があります。これには、読み取り専用ドメイン コントローラー (RODC) が含まれます。

脆弱性の詳細については、「CVE-2020-1472 」を参照してください。

 

用語集


用語 定義
広告 Active Directory
DC ドメイン コントローラー
強制モード 2021 年 2 月 9 日以前に、強制モードを有効にするためのレジストリ キー。
強制フェーズ 2021年2月9日からのフェーズでは、強制モードの更新プログラムはレジストリ設定に関係なく、すべての Windows ドメインコントローラで有効になります。DCは、「ドメインコントローラ」に追加されている場合を除き、すべての準拠していないデバイスから脆弱性のある接続を拒否します。脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。 
初期展開フェーズ 2020 年 8 月 11 日の更新プログラムから始まり、強制フェーズまでのその後の更新プログラムに続くフェーズ。
マシン アカウント Active Directory コンピューターまたはコンピューター オブジェクトとも呼ばれます。  定義の詳細については、 MS-NPRC用語集を参照してください。
MS-NRPC Microsoft Netlogon リモート プロトコル
非準拠デバイス 非準拠デバイスとは、脆弱な Netlogon セキュア チャネル接続を使用するデバイスです。
RODC 読み取り専用ドメイン コントローラー
脆弱な接続 脆弱な接続は、安全な RPC を使用しない Netlogon セキュア チャネル接続です。

更新プログラム


更新プログラムは 2 つのフェーズでリリースされます。2020 年 8 月 11 日以降にリリースされる更新プログラムの初期フェーズと、2021年 2 月 9 日以降にリリースされる更新プログラムの強制フェーズです。

2020 年 8 月 11 日 - 初期展開フェーズ

初期展開フェーズは、2020 年 8 月 11 日にリリースされる更新プログラムから始まり、強制フェーズまで更新されていきます。これらの更新プログラムとその後の更新では、規定では Windows デバイスを保護するために Netlogon プロトコルに変更を加え、非準拠のデバイス ディスカバリのイベントをログに記録し、明示的な例外を使用してドメインに参加しているすべてのデバイスの保護を有効にする機能を追加します。このリリースでは:

  • Windows ベースのデバイス上のマシン アカウントに安全な RPC 使用方法方法を適用します。
  • 信頼アカウントに安全な RPC 使用方法を強制します。
  • すべての Windows DC と Windows 以外の DC に安全な RPC 使用方法を強制します。
  • 非準拠のデバイス アカウント (脆弱な Netlogon セキュア チャネル接続を使用するもの) を許可する新しいグループ ポリシーが含まれています。 DC が強制モードで実行されている場合、または強制フェーズの開始後に、許可されたデバイスは接続を拒否されません。
  • FullSecureChannelProtection レジストリ キーを使用して、すべてのマシン アカウントに対して DC 強制モードを有効にします (強制フェーズでは、DC が DC 強制モードに更新されます)。

  • アカウントが拒否された場合、または DC 強制モードで拒否される場合の新しいイベントが含まれます (強制フェーズで続行されます)。特定のイベント ID については、この記事の後半で説明します。

軽減策は、すべてのDC と RODC への更新プログラムのインストール、新しいイベントの監視、脆弱な Netlogon セキュア チャネル接続を使用している非準拠デバイスへの対処で構成されます。 非準拠デバイス上のマシン アカウントは、脆弱な Netlogon セキュア チャネル接続の使用を許可される可能性があります。ただし、Netlogon の安全な RPC をサポートするように更新し、攻撃のリスクを取り除くためにできるだけ早くアカウントを強制する必要があります。

2021 年 2 月 9 日 - 強制フェーズ

2021 年 2 月 9 日のリリースは、強制フェーズへの移行を示します。DC は、強制モードのレジストリ キーに関係なく、強制モードになります。  これには、すべての Windows および Windows 以外のデバイスが Netlogon セキュア チャネルで安全な RPC を使用するか、非準拠デバイスの例外を追加してアカウントを明示的に許可する必要があります。 このリリースでは:

展開ガイドライン


初期展開フェーズは、次の手順で構成されます:

  1. 8 月 11 日の更新プログラムをフォレスト内のすべての DC に展開します。
  2. (a) 警告イベントを監視する、および (b) 各イベントに対応します
  3. (a) すべての警告イベントの対処完了後、DC 強制モード を展開することで完全な保護を有効にできます。(b) すべての警告は、2021 年 2 月 9 日の強制フェーズの更新前に解決する必要があります。

手順 1:更新

2020 年 8 月 11 日の更新プログラムを展開する

8 月 11 日の更新プログラムを、読み取り専用ドメイン コントローラー (RODC) を含む、フォレスト内の該当するすべてのドメイン コントローラー (DC) に展開します。この更新プログラムを展開した後、パッチを適用した DC は次のことを行います。

  • すべての Windows ベースのデバイス アカウント、信頼アカウント、およびすべてのDCに対して、安全な RPC 使用方法を強制し始めます。
  • 接続が拒否された場合は、システム イベント ログにイベント ID 5827 および 5828を記録します。
  • 次のグループ ポリシーが接続を許可する場合、ログ イベント 5830 と 5831 がシステム イベント ログに記録されます。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー
  • 脆弱な Netlogon セキュア チャネル接続が許可されている場合は常にシステム イベント ログにイベント ID 5829 を記録します。これらのイベントは、DC 強制モード が構成される前、または 2021 年 2 月 9 日に強制フェーズが始まる前に対処する必要があります。

 

手順 2a:発見

イベント ID 5829 を使用した非準拠デバイスの検出

2020 年 8 月 11 日の更新プログラムが DCに適用された後、イベントが DCイベントログに収集され、環境内のどのデバイスが脆弱な Netlogon セキュア チャネル接続を使用しているかを判断できます (この記事では非準拠デバイスと呼ばれます)。パッチが適用された DC でイベント ID 5829 のイベントを監視します。イベントには、非準拠デバイスを識別するための関連情報が含まれます。

イベントを監視するには、利用可能なイベント監視ソフトウェアを使用するか、スクリプトを使用して DC を監視します。  環境に適応できるスクリプトの例については、CVE-2020-1472 の Netlogon 更新プログラムに関連するイベント ID の監視に役立つスクリプト を参照してください

手順 2b:対処

イベント ID 5827 および 5828 への対処

規定では、完全に更新されたサポートされているバージョンの Windows は、脆弱な Netlogon セキュア チャネル接続を使用してはいけません。これらのイベントのいずれかが Windows デバイスのシステム イベント ログに記録されている場合:

  1. デバイスがサポートされているバージョンの Windows を実行していることを確認します。
  2. デバイスが完全に更新されていることを確認します。
  3. ドメイン メンバーが であることを確認してください:セキュア チャネル データをデジタル的に暗号化または署名する (常に) を有効に設定します。

DC として機能する Windows 以外のデバイスの場合、脆弱な Netlogon セキュア チャネル接続を使用すると、これらのイベントがシステム イベント ログに記録されます。これらのイベントのいずれかがログに記録された場合:

  • 推奨デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルによる安全な RPC のサポートを取得します
    1. 非準拠 DCが Netlogon セキュア チャネルを使用した安全な RPC をサポートしている場合は、DC で安全な RPC を有効にします。
    2. 非準拠 DC が現在安全な RPC をサポートしていない場合は、デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルでの安全な RPC をサポートする更新プログラムを入手します。
    3. 非準拠 DC を廃止します。
  • 脆弱性 DCが強制モードになる前に、非準拠 DC が Netlogon セキュア チャネルで安全な RPC をサポートできない場合、次のグループポリシーを使用して DC を追加します。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー

 

イベント 5829 への対応

イベント ID 5829 は、脆弱な接続が初期展開フェーズ中に許可されたときに生成されます。これらの接続は、DCが強制モードのときに拒否されます。これらのイベントでは、識別されたマシン名、ドメイン、OS バージョンに焦点を当てて、非準拠デバイスを特定し、それらへの対処方法を決定します。

非準拠デバイスに対処する方法:

  • 推奨 デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネル:
    1. 非準拠 DCが Netlogon セキュア チャネルを使用した安全な RPC をサポートしている場合は、DC で安全な RPC を有効にし、安全な RPCのサポートを取得します。
    2. 非準拠デバイスが現在 Netlogon セキュア チャネルを使用した安全な RPC をサポートしていない場合は、デバイスの製造元またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルを使用した安全な RPC を有効にする更新プログラムを入手してます。
    3. 非準拠デバイスを廃止します。
  • 脆弱性 DCが強制モードになる前に、非準拠デバイスが Netlogon セキュア チャネルで安全な RPC をサポートできない場合、次のグループ ポリシーを使用してデバイスを追加します: 「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー

 

サードパーティのデバイスからの脆弱な接続を許可する

「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを許可して、非準拠のアカウントを追加します。これは、上記のように非準拠のデバイスに対処するまでの短期的な対策にすぎません。 非準拠デバイスからの脆弱な接続を許可すると、セキュリティに未知の影響を与える可能性があるため、注意して許可する必要があります。

  1. 脆弱な Netlogon セキュア チャネルの使用を許可されるアカウントのセキュリティ グループを作成しました。
  2. グループ ポリシーで、[コンピューターの構成]> [ Windows の設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション]に移行します。
  3. 「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」を検索します。
  4. 管理者グループ、またはこのグループ ポリシーで使用するために特別に作成されていないグループが存在する場合は、それを削除します。
  5. このグループ ポリシーで使用するために特別に作成されたセキュリティ グループを、「許可」権限を持つセキュリティ記述子に追加します。 「拒否」権限は、アカウントが追加されなかった場合と同じように動作します。つまり、アカウントは脆弱な Netlogon セキュア チャネルを作成することを許可されません。
  6. セキュリティ グループを追加したら、グループ ポリシーをすべての DC に複製する必要があります。
  7. 定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。
  8. 必要に応じて、それらのマシン アカウントをセキュリティ グループに追加します。ベストプラクティス グループ ポリシーでセキュリティ グループを使用し、グループにアカウントを追加して、通常の AD レプリケーションを通じてメンバーシップが複製されるようにします。これにより、頻繁なグループ ポリシーの更新プログラムとレプリケーションの遅延が回避されます。

準拠していないすべてのデバイスに対処したら、DC を強制モードに移行できます (次のセクションを参照)。

 

手順 3a:有効

2021 年 2 月 の強制フェーズに先立って強制モードに移行する

安全な RPC を有効にするか、 「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを使用して脆弱な接続を許可しすべての非準拠デバイスに対処した後、FullSecureChannelProtection レジストリ キーを 1 に設定します。

「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを使用している場合、FullSecureChannelProtection レジストリ キーを設定する前に、グループ ポリシーが複製され、すべての DC に適用されていることを確認してください。

FullSecureChannelProtection レジストリ キーが展開されると、DC は強制モードになります。この設定では、すべてのデバイスが Netlogon セキュア チャネルを使用している必要があります。

 

手順 3b:

2021 年 2 月 9 日の更新プログラムを展開する

2021 年 2 月 9 日以降にリリースされる更新プログラムを展開すると、DC 強制モードが有効になります。DC 強制モードは、すべての Netlogon 接続が安全な RPC を使用する必要があるか、またはアカウントが次のグループポリシーに追加された場合に有効です。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。現時点では、FullSecureChannelProtection レジストリ キーは不要であり、サポートされなくなります。

「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー


ベスト プラクティスは、グループ ポリシーでセキュリティ グループを使用して、メンバーシップが通常の AD レプリケーションを通じて複製されるようにすることです。これにより、頻繁なグループ ポリシーの更新プログラムとレプリケーションの遅延が回避されます。

ポリシーのパスと設定名 説明

ポリシー パス:[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [セキュリティオプション]

設定名:ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する

再起動が必要ですか?いいえ

このセキュリティ設定は、ドメイン コントローラーが指定されたコンピューター アカウントの Netlogon セキュア チャネル接続の安全な RPC をバイパスするかどうかを決定します。

このポリシーは、ドメイン コントローラー OU でポリシーを有効にすることにより、フォレスト内のすべてのドメイン コントローラーに適用する必要があります。

脆弱な接続の作成リスト (許可リスト) が構成されている場合:

  • 許可:ドメイン コントローラーは、指定されたグループ/アカウントが、安全な RPC なしで Netlogon セキュア チャネルを使用できるようにします。
  • 拒否:この設定はデフォルトの動作と同じです。ドメイン コントローラーは、指定されたグループ/アカウントに、安全な RPC で Netlogon セキュア チャネルを使用するように要求します。

警告 このポリシーを有効にすると、ドメインに参加しているデバイスと Active Directory フォレストが公開され、リスクにさらされる可能性があります。このポリシーは、更新プログラムを展開する際のサードパーティ デバイスの一時的な手段として使用する必要があります。Netlogon セキュア チャネルでの安全な RPC の使用をサポートするようにサードパーティデバイスを更新したら、アカウントを [脆弱な接続の作成] リストから削除する必要があります。脆弱な Netlogon セキュア チャネル接続の使用を許可するようにアカウントを構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid = 2133485 を参照してください。

既定:このポリシーは構成されていません。Netlogon のセキュリティでセキュア チャネル接続の強制により、セキュリティで保護された RPC から明示的に除外されるマシンまたは信頼アカウントはありません。

このポリシーは、Windows Server 2008 R2 SP1 以降でサポートされています。

Windows イベントログエラー


イベントには 3 つのカテゴリがあります。

1.脆弱な Netlogon セキュア チャネル接続が試行されたために接続が拒否されたときにログに記録されるイベント:

  • 5827 (マシン アカウント) エラー

  • 5828 (信頼アカウント) エラー

2.アカウントがドメイン コントローラーに追加されたために接続が許可されたときにログに記録されたイベント 「:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー:

  • 5830 (マシン アカウント) 警告

  • 5831 (信頼アカウント) 警告

3.DC 強制モードで拒否される最初のリリースで接続が許可されたときにログに記録されるイベント:

  • 5829 (マシン アカウント) 警告

イベント ID 5827

マシン アカウントからの脆弱な Netlogon セキュア チャネル接続が拒否されると、イベント ID 5827 がログに記録されます。

イベントログ

システム

イベント ソース

Netlogon

イベント ID

5827

レベル

エラー

イベント メッセージ テキスト

Netlogon サービスは、マシン アカウントからの脆弱な Netlogon セキュア チャネル接続を拒否しました。

マシン SamAccountName:

ドメイン:

アカウントの種類:

マシンのオペレーティング システム:

マシンのオペレーティング システムのビルド:

マシンオのペレーティング システム サービス パック:

これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

 

イベント ID 5828

信頼アカウントからの脆弱な Netlogon セキュア チャネル接続が拒否されると、イベント ID 5828 がログに記録されます。

イベントログ

システム

イベント ソース

Netlogon

イベント ID

5828

レベル

エラー

イベント メッセージ テキスト

Netlogon サービスは、信頼アカウントを使用した脆弱な Netlogon セキュア チャネル接続を拒否しました。

アカウントの種類:

信頼名:

信頼ターゲット:

クライアント IP アドレス:

これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

 

イベント ID 5829

イベント ID 5829は、マシンアカウントから脆弱な Netlogon セキュア チャネル接続が許可されている場合、初期展開フェーズの間にのみログに記録されます。

DC 強制モードが展開されたとき、または2021 年 2 月 9 日更新後の 強制フェーズが展開された後、これらの接続は拒否され、イベント ID 5827 が記録されます。このため、初期展開フェーズ中にイベント 5829 を監視し、強制フェーズの前に行動して停止を回避することが重要です。

イベントログ 

システム 

イベント ソース 

Netlogon  

イベント ID 

5829 

レベル 

警告 

イベント メッセージ テキスト 

Netlogon サービスは、脆弱な Netlogon セキュア チャネル接続を許可しました。  

警告:強制フェーズが解除されると、この接続は拒否されます。強制フェーズの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。  

マシン SamAccountName:  

ドメイン:  

アカウントの種類:  

マシンのオペレーティング システム:  

マシンのオペレーティング システムのビルド:  

マシンオのペレーティング システム サービス パック:  

イベント ID 5830

脆弱性のある Netlogon セキュア チャネル マシン アカウント接続が次のグループ ポリシーで許可去れている場合、イベント ID 5830 が記録されます。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー

イベントログ

システム

イベント ソース

Netlogon

イベント ID

5830

レベル

警告

イベント メッセージ テキスト

マシンアカウントが次のグループポリシーで許可されているため、Netlogonサービスは脆弱なNetlogonセキュアチャネル接続を許可しています。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループポリシー。

警告:脆弱な Netlogon セキュア チャネルを使用すると、ドメインに参加しているデバイスが攻撃される可能性があります。デバイスを攻撃から保護するには、サードパーティの Netlogon クライアントが更新された後、「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーからマシン アカウントを削除します。脆弱な Netlogon セキュア チャネル接続の使用を許可するようにマシン アカウントを構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

マシン SamAccountName:

ドメイン:

アカウントの種類:

マシンのオペレーティング システム:

マシンのオペレーティング システムのビルド:

マシンオのペレーティング システム サービス パック:

 

イベント ID 5831

イベント ID 5831 は、脆弱な Netlogon セキュア チャネルの信頼アカウント接続が次のグループ ポリシーで許可されている場合、記録されます。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー

イベントログ

システム

イベント ソース

Netlogon

イベント ID

5831

レベル

警告

イベント メッセージ テキスト

次のグループ ポリシーで信頼アカウントが許可されているため、Netlogonサービスは脆弱なNetlogonセキュアチャネル接続を許可しました。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループポリシー。

警告:脆弱な Netlogon セキュア チャネルを使用すると、Active Directory フォレストが攻撃される可能性があります。Active Directory フォレストを攻撃から保護するには、すべての信頼で Netlogon セキュア チャネルを備えた安全な RPC を使用する必要があります。ドメイン コントローラー上のサードパーティの Netlogon クライアントが更新された後、「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーから信頼アカウントを削除します。信頼アカウントが脆弱な Netlogon セキュア チャネル接続の使用を許可されるように構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

アカウントの種類:

信頼名:

信頼ターゲット:

クライアント IP アドレス:

強制モードのレジストリ値


2020 年 8 月 11 日の更新プログラムでは、強制モードを早期に有効にする次のレジストリ設定が展開されます。 これは、2021 年 2 月 9 日以降の強制フェーズのレジストリ設定に関係なく有効になります。 

レジストリ サブキー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
FullSecureChannelProtection
データの種類 REG_DWORD
データ

1 - これは強制モードを有効にします。DC は、次のグループ ポリシーで脆弱な接続の作成リストでアカウントが許可されていない限り、脆弱な Netlogon セキュア チャネル接続を拒否します。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。 

0 - DCは、Windows 以外のデバイスからの脆弱な Netlogon セキュア チャネル接続を許可します。このオプションは、強制フェーズのリリースで廃止される予定です。

再起動が必要ですか? いいえ

 

[MS-NRPC] を実装するサードパーティ デバイス:Netlogon リモート プロトコル


すべてのサードパーティのクライアントまたはサーバーは、Netlogon セキュア チャネルで安全な RPC を使用する必要があります。デバイスの製造元 (OEM) またはソフトウェア ベンダーに連絡して、ソフトウェアが最新の Netlogon リモート プロトコルと互換性があるかどうかを確認してください。 

プロトコルの更新プログラムは、Windows プロトコル ドキュメント サイトにあります。