要約
Netlogon リモート プロトコル (MS-NRPC とも呼ばれる) は、ドメインに参加しているデバイスによって排他的に使用される RPC インターフェイスです。MS-NRPC には、認証方法と Netlogon のセキュリティで保護されたチャネルを確立する方法があります。これらの更新プログラムは、指定された Netlogon クライアントの動作を強制し、メンバー コンピューターと Active Directory (AD) ドメイン コントローラー (DC) の間の Netlogon のセキュリティで保護されたチャネルでセキュリティで保護された RPC を使用します。
このセキュリティ更新プログラムは、「Netlogon の脆弱性 CVE-2020-1472 に対処するための更新のタイミング」セクションで説明されている段階的リリースで Netlogon のセキュリティで保護されたチャネルを使用するときにセキュリティで保護された RPC を適用することにより、この脆弱性を解決します。DC は Netlogon のセキュリティで保護されたチャネルでセキュリティで保護された RPC を強制するため、AD フォレスト保護を提供するにはすべての DC を更新する必要があります。これには、読み取り専用ドメイン コントローラー (RODC) が含まれます。
脆弱性の詳細については、「CVE-2020-1472」を参照してください。
アクションを実行する
環境を保護し、停止を防ぐためには、次のことを行う必要があります:
注 2020 年 8 月 11 日以降にリリースされた更新プログラムをインストールする手順 1 は、Active Directory ドメインと信頼関係、および Windows デバイスについて、CVE-2020-1472 のセキュリティ問題に対処します。サードパーティ製デバイスのセキュリティ問題を完全に軽減するには、すべての手順を完了する必要があります。
警告 2021 年 2 月以降、強制モードはすべての Windows ドメイン コントローラーで有効になり、非準拠デバイスからの脆弱な接続をブロックします。 その際、強制モードを無効にすることはできません。
-
2020 年 8 月 11 日以降にリリースされた更新プログラムを含むドメイン コントローラーを 更新 します。
-
イベント ログを監視することにより、どのデバイスが脆弱な接続を行っているかを 発見 します。
-
脆弱な接続を行う非準拠デバイスに 対処 します。
-
ご使用の環境で CVE-2020-1472 に対処するための強制モードを 有効 にします。
注
Windows Server 2008 R2 SP1 を使用している場合、この問題に対処する更新プログラムを正常にインストールするには、拡張セキュリティ更新プログラム (ESU) のライセンスが必要です。ESU プログラムの詳細については、「ライフサイクル FAQ - 拡張セキュリティ更新プログラム」を参照してください。
この記事の内容:
Netlogon の脆弱性 CVE-2020-1472 に対処するための更新のタイミング
更新プログラムは 2 つのフェーズでリリースされます。2020 年 8 月 11 日以降にリリースされる更新プログラムの初期フェーズと、2021 年 2 月 9 日以降にリリースされる更新プログラムの強制フェーズです。
2020 年 8 月 11 日 - 初期展開フェーズ
初期展開フェーズは、2020 年 8 月 11 日にリリースされる更新プログラムから始まり、強制フェーズまで更新されていきます。これらの更新プログラムとその後の更新では、規定では Windows デバイスを保護するために Netlogon プロトコルに変更を加え、非準拠のデバイス ディスカバリのイベントをログに記録し、明示的な例外を使用してドメインに参加しているすべてのデバイスの保護を有効にする機能を追加します。このリリースでは:
-
Windows ベースのデバイス上のマシン アカウントに安全な RPC 使用方法方法を適用します。
-
信頼アカウントに安全な RPC 使用方法を強制します。
-
すべての Windows DC と Windows 以外の DC に安全な RPC 使用方法を強制します。
-
非準拠のデバイス アカウント (脆弱な Netlogon セキュア チャネル接続を使用するもの) を許可する新しいグループ ポリシーが含まれています。 DC が強制モードで実行されている場合、または強制フェーズの開始後に、許可されたデバイスは接続を拒否されません。
-
FullSecureChannelProtection レジストリ キーを使用して、すべてのマシン アカウントに対して DC 強制モードを有効にします (強制フェーズでは、DC が DC 強制モードに更新されます)。
-
アカウントが拒否された場合、または DC 強制モードで拒否される場合の新しいイベントが含まれます (強制フェーズで続行されます)。特定のイベント ID については、この記事の後半で説明します。
軽減策は、すべてのDC と RODC への更新プログラムのインストール、新しいイベントの監視、脆弱な Netlogon セキュア チャネル接続を使用している非準拠デバイスへの対処で構成されます。 非準拠デバイス上のマシン アカウントは、脆弱な Netlogon セキュア チャネル接続の使用を許可される可能性があります。ただし、Netlogon の安全な RPC をサポートするように更新し、攻撃のリスクを取り除くためにできるだけ早くアカウントを強制する必要があります。
2021 年 2 月 9 日 - 強制フェーズ
2021 年 2 月 9 日のリリースは、強制フェーズへの移行を示します。DC は、強制モードのレジストリ キーに関係なく、強制モードになります。 これには、すべての Windows および Windows 以外のデバイスが Netlogon セキュア チャネルで安全な RPC を使用するか、非準拠デバイスの例外を追加してアカウントを明示的に許可する必要があります。 このリリースでは:
-
次のグループポリシーが許可しない限り、Windows ベース以外のデバイスでマシン アカウントに安全な RPC 使用方法を強制します。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
-
イベント ID 5829 のログは削除されます。 すべての脆弱な接続が拒否されるため、システム イベント ログにはイベント ID 5827 および 5828 のみが表示されます。
展開ガイドライン - 更新プログラムを展開し、コンプライアンスを実施
初期展開フェーズは、次の手順で構成されます:
-
(a) 警告イベントを監視する、および (b) 各イベントに対応します。
-
(a) すべての警告イベントの対処完了後、DC 強制モード を展開することで完全な保護を有効にできます。(b) すべての警告は、2021 年 2 月 9 日の強制フェーズの更新前に解決する必要があります。
手順 1:更新
2020 年 8 月 11 日の更新プログラムを展開する
8 月 11 日の更新プログラムを、読み取り専用ドメイン コントローラー (RODC) を含む、フォレスト内の該当するすべてのドメイン コントローラー (DC) に展開します。この更新プログラムを展開した後、パッチを適用した DC は次のことを行います。
-
すべての Windows ベースのデバイス アカウント、信頼アカウント、およびすべてのDCに対して、安全な RPC 使用方法を強制し始めます。
-
接続が拒否された場合は、システム イベント ログにイベント ID 5827 および 5828を記録します。
-
次のグループ ポリシーが接続を許可する場合、ログ イベント 5830 と 5831 がシステム イベント ログに記録されます。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
-
脆弱な Netlogon セキュア チャネル接続が許可されている場合は常にシステム イベント ログにイベント ID 5829 を記録します。これらのイベントは、DC 強制モード が構成される前、または 2021 年 2 月 9 日に強制フェーズが始まる前に対処する必要があります。
手順 2a:発見
イベント ID 5829 を使用した非準拠デバイスの検出
2020 年 8 月 11 日の更新プログラムが DCに適用された後、イベントが DCイベントログに収集され、環境内のどのデバイスが脆弱な Netlogon セキュア チャネル接続を使用しているかを判断できます (この記事では非準拠デバイスと呼ばれます)。パッチが適用された DC でイベント ID 5829 のイベントを監視します。イベントには、非準拠デバイスを識別するための関連情報が含まれます。
イベントを監視するには、利用可能なイベント監視ソフトウェアを使用するか、スクリプトを使用して DC を監視します。 環境に適応できるスクリプトの例については、CVE-2020-1472 の Netlogon 更新プログラムに関連するイベント ID の監視に役立つスクリプト を参照してください
手順 2b:対処
イベント ID 5827 および 5828 への対処
規定では、完全に更新されたサポートされているバージョンの Windowsは、脆弱な Netlogon セキュア チャネル接続を使用してはいけません。これらのイベントのいずれかが Windows デバイスのシステム イベント ログに記録されている場合:
-
デバイスがサポートされているバージョンの Windowsを実行していることを確認します。
-
デバイスが完全に更新されていることを確認します。
-
ドメイン メンバーが であることを確認してください:セキュア チャネル データをデジタル的に暗号化または署名する (常に) を有効に設定します。
DC として機能する Windows 以外のデバイスの場合、脆弱な Netlogon セキュア チャネル接続を使用すると、これらのイベントがシステム イベント ログに記録されます。これらのイベントのいずれかがログに記録された場合:
-
推奨デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルによる安全な RPC のサポートを取得します
-
非準拠 DCが Netlogon セキュア チャネルを使用した安全な RPC をサポートしている場合は、DC で安全な RPC を有効にします。
-
非準拠 DC が現在安全な RPC をサポートしていない場合は、デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルでの安全な RPC をサポートする更新プログラムを入手します。
-
非準拠 DC を廃止します。
-
-
脆弱性 DCが強制モードになる前に、非準拠 DC が Netlogon セキュア チャネルで安全な RPC をサポートできない場合、次のグループポリシーを使用して DC を追加します。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
警告 グループ ポリシーによって DCが脆弱な接続を使用できるようにすると、フォレストが攻撃に対して脆弱になります。最終的な目標は、このグループ ポリシーのすべてのアカウントに対処して削除することです。
イベント 5829 への対応
イベント ID 5829 は、脆弱な接続が初期展開フェーズ中に許可されたときに生成されます。これらの接続は、DCが強制モードのときに拒否されます。これらのイベントでは、識別されたマシン名、ドメイン、OS バージョンに焦点を当てて、非準拠デバイスを特定し、それらへの対処方法を決定します。
非準拠デバイスに対処する方法:
-
推奨 デバイスの製造元 (OEM) またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネル:
-
非準拠 DCが Netlogon セキュア チャネルを使用した安全な RPC をサポートしている場合は、DC で安全な RPC を有効にし、安全な RPCのサポートを取得します。
-
非準拠デバイスが現在 Netlogon セキュア チャネルを使用した安全な RPC をサポートしていない場合は、デバイスの製造元またはソフトウェア ベンダーと協力して、Netlogon セキュア チャネルを使用した安全な RPC を有効にする更新プログラムを入手してます。
-
非準拠デバイスを廃止します。
-
-
脆弱性 DCが強制モードになる前に、非準拠デバイスが Netlogon セキュア チャネルで安全な RPC をサポートできない場合、次のグループ ポリシーを使用してデバイスを追加します: 「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
警告 デバイス アカウントがグループ ポリシーによって脆弱な接続を使用することを許可すると、これらのADアカウントが危険にさらされます。最終的な目標は、このグループ ポリシーのすべてのアカウントに対処して削除することです。
サードパーティのデバイスからの脆弱な接続を許可する
「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを許可して、非準拠のアカウントを追加します。これは、上記のように非準拠のデバイスに対処するまでの短期的な対策にすぎません。注 非準拠デバイスからの脆弱な接続を許可すると、セキュリティに未知の影響を与える可能性があるため、注意して許可する必要があります。
-
脆弱な Netlogon のセキュリティで保護されたチャネルの使用を許可されるアカウントのセキュリティ グループを作成しました。
-
グループ ポリシーで、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] の順に移動します。
-
管理者グループ、またはこのグループ ポリシーで使用するために特別に作成されていないグループが存在する場合は、それを削除します。
-
このグループ ポリシーで使用するために特別に作成されたセキュリティ グループを、「許可」権限を持つセキュリティ記述子に追加します。注 「拒否」権限は、アカウントが追加されなかった場合と同じように動作します。つまり、アカウントは脆弱な Netlogon セキュア チャネルを作成することを許可されません。
-
セキュリティ グループを追加したら、グループ ポリシーをすべての DC に複製する必要があります。
-
定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。
-
必要に応じて、それらのマシン アカウントをセキュリティ グループに追加します。ベストプラクティス グループ ポリシーでセキュリティ グループを使用し、グループにアカウントを追加して、通常の AD レプリケーションを通じてメンバーシップが複製されるようにします。これにより、頻繁なグループ ポリシーの更新プログラムとレプリケーションの遅延が回避されます。
準拠していないすべてのデバイスに対処したら、DC を強制モードに移行できます (次のセクションを参照)。
警告 グループ ポリシーによって DC が信頼アカウントに対して脆弱な接続を使用できるようにすると、フォレストが攻撃に対して脆弱になります。信頼アカウントは通常、信頼されるドメインにちなんで名付けられます。例:Domain-a のDC は、domain-b の DC と信頼関係があります。内部的には、domain-a のDCには、domain-b の信頼オブジェクトを表す 「domain-b $」という名前の信頼アカウントがあります。domain-a の DC が domain-b 信頼アカウントの脆弱な Netlogon セキュア チャネル接続を許可することでフォレストを攻撃のリスクにさらしたい場合、管理者は「Add-adgroupmember –identity "Name of security group" -members "domain-b$"」を使って信頼アカウントをセキュリティ グループに追加できます。
手順 3a:有効
2021 年 2 月 の強制フェーズに先立って強制モードに移行する
安全な RPC を有効にするか、「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを使用して脆弱な接続を許可しすべての非準拠デバイスに対処した後、FullSecureChannelProtection レジストリ キーを 1 に設定します。
注 「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーを使用している場合、FullSecureChannelProtection レジストリ キーを設定する前に、グループ ポリシーが複製され、すべての DC に適用されていることを確認してください。
FullSecureChannelProtection レジストリ キーが展開されると、DC は強制モードになります。この設定では、すべてのデバイスが Netlogon セキュア チャネルを使用している必要があります。
-
安全な RPC を使用します。
-
次のグループ ポリシーで許可されています。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
警告 Netlogon のセキュリティで保護されたチャネルの接続を使用したセキュリティで保護された RPC をサポートしていないサードパーティのクライアントは、DC 強制モード レジストリ キーが展開されると拒否され、本番環境サービスが中断される可能性があります。
手順 3b:強制フェーズ
2021 年 2 月 9 日の更新プログラムを展開する
2021 年 2 月 9 日以降にリリースされる更新プログラムを展開すると、DC 強制モードが有効になります。DC 強制モードは、すべての Netlogon 接続が安全な RPC を使用する必要があるか、またはアカウントが次のグループポリシーに追加された場合に有効です。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。現時点では、FullSecureChannelProtection レジストリ キーは不要であり、サポートされなくなります。
「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー
ベスト プラクティスは、グループ ポリシーでセキュリティ グループを使用して、メンバーシップが通常の AD レプリケーションを通じて複製されるようにすることです。これにより、頻繁なグループ ポリシーの更新プログラムとレプリケーションの遅延が回避されます。
ポリシーのパスと設定名 |
説明 |
ポリシー パス:[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] 再起動が必要ですか?いいえ |
このセキュリティ設定は、ドメイン コントローラーが指定されたコンピューター アカウントの Netlogon セキュア チャネル接続の安全な RPC をバイパスするかどうかを決定します。 このポリシーは、ドメイン コントローラー OU でポリシーを有効にすることにより、フォレスト内のすべてのドメイン コントローラーに適用する必要があります。 脆弱な接続の作成リスト (許可リスト) が構成されている場合:
警告 このポリシーを有効にすると、ドメインに参加しているデバイスと Active Directory フォレストが公開され、リスクにさらされる可能性があります。このポリシーは、更新プログラムを展開する際のサードパーティ デバイスの一時的な手段として使用する必要があります。Netlogon セキュア チャネルでの安全な RPC の使用をサポートするようにサードパーティデバイスを更新したら、アカウントを [脆弱な接続の作成] リストから削除する必要があります。脆弱な Netlogon セキュア チャネル接続の使用を許可するようにアカウントを構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid = 2133485 を参照してください。 既定:このポリシーは構成されていません。Netlogon のセキュリティでセキュア チャネル接続の強制により、セキュリティで保護された RPC から明示的に除外されるマシンまたは信頼アカウントはありません。 このポリシーは、Windows Server 2008 R2 SP1 以降でサポートされています。 |
CVE-2020-1472 に関連する Windows イベント ログ エラー
イベントには 3 つのカテゴリがあります。
1.脆弱な Netlogon セキュア チャネル接続が試行されたために接続が拒否されたときにログに記録されるイベント:
-
5827 (マシン アカウント) エラー
-
5828 (信頼アカウント) エラー
2.アカウントがドメイン コントローラーに追加されたために接続が許可されたときにログに記録されたイベント「:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー:
-
5830 (マシン アカウント) 警告
-
5831 (信頼アカウント) 警告
3.DC 強制モードで拒否される最初のリリースで接続が許可されたときにログに記録されるイベント:
-
5829 (マシン アカウント) 警告
イベント ID 5827
マシン アカウントからの脆弱な Netlogon のセキュリティで保護されたチャネルの接続が拒否されると、イベント ID 5827 がログに記録されます。
イベントログ |
システム |
イベント ソース |
Netlogon |
イベント ID |
5827 |
レベル |
エラー |
イベント メッセージ テキスト |
Netlogon サービスは、マシン アカウントからの脆弱な Netlogon セキュア チャネル接続を拒否しました。 マシン SamAccountName: ドメイン: アカウントの種類: マシンのオペレーティング システム: マシンのオペレーティング システムのビルド: マシンオのペレーティング システム サービス パック: これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。 |
イベント ID 5828
信頼アカウントからの脆弱な Netlogon のセキュリティで保護されたチャネルの接続が拒否されると、イベント ID 5828 がログに記録されます。
イベントログ |
システム |
イベント ソース |
Netlogon |
イベント ID |
5828 |
レベル |
エラー |
イベント メッセージ テキスト |
Netlogon サービスは、信頼アカウントを使用した脆弱な Netlogon セキュア チャネル接続を拒否しました。 アカウントの種類: 信頼名: 信頼ターゲット: クライアント IP アドレス: これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。 |
イベント ID 5829
イベント ID 5829 は、マシン アカウントから脆弱な Netlogon のセキュリティで保護されたチャネルの接続が許可されている場合、初期展開フェーズの間にのみ記録されます。
DC 強制モードが展開されたとき、または2021 年 2 月 9 日更新後の 強制フェーズが展開された後、これらの接続は拒否され、イベント ID 5827 が記録されます。このため、初期展開フェーズ中にイベント 5829 を監視し、強制フェーズの前に行動して停止を回避することが重要です。
イベントログ |
システム |
イベント ソース |
Netlogon |
イベント ID |
5829 |
レベル |
警告 |
イベント メッセージ テキスト |
Netlogon サービスは、脆弱な Netlogon セキュア チャネル接続を許可しました。 警告:強制フェーズが解除されると、この接続は拒否されます。強制フェーズの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485を参照してください。 マシン SamAccountName: ドメイン: アカウントの種類: マシンのオペレーティング システム: マシンのオペレーティング システムのビルド: マシンのオペレーティング システム サービス パック: |
イベント ID 5830
脆弱な Netlogon のセキュリティで保護されたチャネルのマシン アカウント接続が次のグループ ポリシーで許可されると、イベント ID 5830 が記録されます。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
イベントログ |
システム |
イベント ソース |
Netlogon |
イベント ID |
5830 |
レベル |
警告 |
イベント メッセージ テキスト |
マシンアカウントが次のグループポリシーで許可されているため、Netlogonサービスは脆弱なNetlogonセキュアチャネル接続を許可しています。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループポリシー。 警告:脆弱な Netlogon セキュア チャネルを使用すると、ドメインに参加しているデバイスが攻撃される可能性があります。デバイスを攻撃から保護するには、サードパーティの Netlogon クライアントが更新された後、「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーからマシン アカウントを削除します。脆弱な Netlogon セキュア チャネル接続の使用を許可するようにマシン アカウントを構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485を参照してください。 マシン SamAccountName: ドメイン: アカウントの種類: マシンのオペレーティング システム: マシンのオペレーティング システムのビルド: マシンのオペレーティング システム サービス パック: |
イベント ID 5831
イベント ID 5831 は、脆弱な Netlogon のセキュリティで保護されたチャネルの信頼アカウント接続が次のグループ ポリシーで許可されている場合、記録されます。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。
イベントログ |
システム |
イベント ソース |
Netlogon |
イベント ID |
5831 |
レベル |
警告 |
イベント メッセージ テキスト |
次のグループ ポリシーで信頼アカウントが許可されているため、Netlogonサービスは脆弱なNetlogonセキュアチャネル接続を許可しました。「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」グループポリシー。 警告:脆弱な Netlogon セキュア チャネルを使用すると、Active Directory フォレストが攻撃される可能性があります。Active Directory フォレストを攻撃から保護するには、すべての信頼で Netlogon セキュア チャネルを備えた安全な RPC を使用する必要があります。ドメイン コントローラー上のサードパーティの Netlogon クライアントが更新された後、「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシーから信頼アカウントを削除します。信頼アカウントが脆弱な Netlogon セキュア チャネル接続の使用を許可されるように構成するリスクの詳細については、https://go.microsoft.com/fwlink/?linkid=2133485を参照してください。 アカウントの種類: 信頼名: 信頼ターゲット: クライアント IP アドレス: |
強制モードのレジストリ値
警告 レジストリ エディターまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生する可能性があります。これらの問題により、オペレーティング システムの再インストールが必要になる場合があります。Microsoft は、これらの問題が解決できることを保証できません。自己の責任においてレジストリを変更してくあさい。
2020 年 8 月 11 日の更新プログラムでは、強制モードを早期に有効にする次のレジストリ設定が展開されます。 これは、2021 年 2 月 9 日以降の強制フェーズのレジストリ設定に関係なく有効になります。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
値 |
FullSecureChannelProtection |
データの種類 |
REG_DWORD |
データ |
1 - これは強制モードを有効にします。DC は、次のグループ ポリシーで脆弱な接続の作成リストでアカウントが許可されていない限り、脆弱な Netlogon セキュア チャネル接続を拒否します。「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。 0 - DCは、Windows 以外のデバイスからの脆弱な Netlogon セキュア チャネル接続を許可します。このオプションは、強制フェーズのリリースで廃止される予定です。 |
再起動が必要ですか? |
いいえ |
[MS-NRPC] を実装するサードパーティ デバイス:Netlogon リモート プロトコル
すべてのサードパーティのクライアントまたはサーバーは、Netlogon のセキュリティで保護されたチャネルでセキュリティで保護された RPC を使用する必要があります。デバイスの製造元 (OEM) またはソフトウェア ベンダーに連絡して、ソフトウェアが最新の Netlogon リモート プロトコルと互換性があるかどうかを確認してください。
プロトコルの更新プログラムは、Windows プロトコル ドキュメント サイトを参照してください。
よくある質問 (FAQ)
-
Active Directory (AD) にマシン アカウントを持つ Windows およびサードパーティのドメインに参加しているデバイス
-
AD に信頼アカウントを持つ、信頼された、および信頼するドメインの Windows サーバーとサードパーティのドメイン コントローラー
サードパーティのデバイスは非準拠である可能性があります。サードパーティのソリューションが AD のマシン アカウントを保持している場合は、ベンダーに連絡して、影響を受けているかどうかを確認してください。
AD と Sysvol のレプリケーションの遅延、または認証中の DC でのグループ ポリシー アプリケーションの失敗により、「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続」グループ ポリシーが存在しない、またはアカウントが拒否される可能性があります。
この問題のトラブルシューティングを行うには、次の手順を実行します。
-
グループを含むようにポリシーを構成し、アカウントを追加するためにグループメンバーシップを変更した場合は、接続を拒否した DC がグループメンバーシップの変更をローカルに複製したことを確認します。注 アカウントをグループ ポリシーに直接追加することはお勧めしません。
-
ポリシーに変更を加え、新しいアカウントまたは新しいグループを追加した場合は、ポリシーの変更が複製および適用されていることを確認します。 コマンドgpupdate /force および gpresult /h を実行します
-
グループ ポリシー アプリケーションおよび依存する関連コンポーネントのトラブルシューティングの詳細については、以下を参照してください。
規定では、完全に更新されたサポートされているバージョンの Windowsは、脆弱な Netlogon セキュア チャネル接続を使用してはいけません。イベント ID 5827 が Windows デバイスのシステム イベント ログに記録されている場合:
-
デバイスがサポートされているバージョンの Windowsを実行していることを確認します。
-
デバイスが Windows Update から完全に更新されていることを確認します。
-
ドメイン メンバーが であることを確認してください:セキュア チャネル データのデジタル暗号化または署名 (常に) は、既定のドメイン コントローラー GPO など、すべての DC の OU にリンクされた GPO で [有効] に設定されています。
はい、更新する必要がありますが、CVE-2020-1472 に対して特に脆弱ではありません。
いいえ、DC は CVE-2020-1472 の影響を受ける唯一の役割であり、DC 以外の Windows サーバーやその他の Windows デバイスとは独立して更新できます。
Windows Server 2008 SP2 は、セキュリティで保護された RPC に AES を使用しないため、この特定の CVE には脆弱ではありません。
はい、Windows Server 2008 R2 SP1 の CVE-2020-1472 に対応する更新プログラムをインストールするには、拡張セキュリティ更新プログラム (ESU) が必要です。
2020 年 8 月 11 日以降の更新プログラムを、環境内のすべてのドメイン コントローラーに展開します。
「ドメイン コントローラー: 脆弱な Netlogon のセキュリティで保護されたチャネルの接続を許可する」グループ ポリシーに追加されたデバイスに、SCCM や Microsoft Exchange などの enterprise-admin または domain-admin 特権サービスがないことを確認します。 注 許可リスト内のすべてのデバイスは脆弱な接続の使用を許可され、環境を攻撃にさらす可能性があります。
2020 年 8 月 11 日以降にリリースされた更新プログラムをドメイン コントローラーにインストールすると、Windows ベースのマシン アカウント、信頼アカウント、およびドメイン コントローラー アカウントが保護されます。
ドメインに参加しているサードパーティ デバイスの Active Directory マシン アカウントは、強制モードが展開されるまで保護されません。マシン アカウントも、「ドメイン コントローラー: 弱な Netlogon のセキュリティで保護されたチャネルの接続を許可する」グループ ポリシーに追加された場合、保護されません。
環境内のすべてのドメイン コントローラーに 2020 年 8 月 11 日以降の更新プログラムがインストールされていることを確認してください。
「ドメイン コントローラー: 脆弱な Netlogon のセキュリティで保護されたチャネルの接続を許可する」グループ ポリシーに追加されたデバイス ID は、攻撃に対して脆弱になります。
環境内のすべてのドメイン コントローラーに 2020 年 8 月 11 日以降の更新プログラムがインストールされていることを確認してください。
強制モードを有効にして、非準拠のサードパーティのデバイス ID からの脆弱な接続を拒否します。
注 強制モードを有効にしても、「ドメイン コントローラー: 脆弱な Netlogon のセキュリティで保護されたチャネルの接続を許可する」グループポリシーに追加されたサードパーティのデバイス ID は依然として脆弱であり、攻撃者がネットワークまたはデバイスに不正にアクセスする可能性があります。
強制モードは、ドメイン コントローラーに、セキュリティで保護された RPC を使用しないデバイスからの Netlogon の接続を許可しないように指示します。ただし、それらのデバイス アカウントが「ドメイン コントローラー:。
詳細については、「強制モードのレジストリ値」セクションを参照してください。
Netlogon のセキュリティで保護されたチャネルでセキュリティで保護された RPC を有効にすることによって安全にすることができないデバイスのマシン アカウントのみをグループ ポリシーに追加する必要があります。 環境を保護するために、これらのデバイスを準拠させるか、これらのデバイスを交換することをお勧めします。
攻撃者は、グループ ポリシーに追加された任意のマシン アカウントの Active Directory マシン ID を乗っ取り、その後、マシン ID が持つ任意の権限を利用できます。
Netlogon のセキュリティで保護されたチャネルのセキュリティで保護された RPC をサポートしていないサードパーティのデバイスがあり、強制モードを有効にする場合は、そのデバイスのマシン アカウントをグループ ポリシーに追加する必要があります。これは推奨されておらず、ドメインが潜在的に脆弱な状態になる可能性があります。 このグループ ポリシーを使用して、サードパーティのデバイスを更新または交換して準拠させる時間を確保することをお勧めします。
強制モードはできるだけ早く有効にする必要があります。 サードパーティのデバイスは、準拠させるか、「ドメイン コントローラー: 脆弱な Netlogon のセキュリティで保護されたチャネルの接続を許可する」。注 許可リスト内のすべてのデバイスは脆弱な接続の使用を許可され、環境を攻撃にさらす可能性があります。
用語集
用語 |
定義 |
広告 |
Active Directory |
DC |
ドメイン コントローラー |
2021 年 2 月 9 日以前に、強制モードを有効にするためのレジストリ キー。 |
|
2021年2月9日からのフェーズでは、強制モードの更新プログラムはレジストリ設定に関係なく、すべての Windows ドメインコントローラで有効になります。DCは、「ドメインコントローラ」に追加されている場合を除き、すべての準拠していないデバイスから脆弱性のある接続を拒否します。脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー。 |
|
2020 年 8 月 11 日の更新プログラムから始まり、強制フェーズまでのその後の更新プログラムに続くフェーズ。 |
|
マシン アカウント |
Active Directory コンピューターまたはコンピューター オブジェクトとも呼ばれます。 定義の詳細については、MS-NPRC用語集を参照してください。 |
Microsoft Netlogon リモート プロトコル |
|
非準拠デバイス |
非準拠デバイスとは、脆弱な Netlogon セキュア チャネル接続を使用するデバイスです。 |
RODC |
読み取り専用ドメイン コントローラー |
脆弱な接続 |
脆弱な接続は、セキュリティで保護された RPC を使用しない Netlogon のセキュリティで保護されたチャネルの接続です。 |