요약
Netlogon 원격 프로토콜 ( ms-chap라고도 함)은 도메인에 가입 된 장치 에서만 사용 되는 RPC 인터페이스입니다. MS-NRPC에는 인증 방법과 Netlogon 보안 채널을 설정 하는 방법이 포함 되어 있습니다. 이러한 업데이트는 구성원 컴퓨터와 AD (Active Directory) DC (도메인 컨트롤러) 사이에 Netlogon 보안 채널을 사용 하 여 지정 된 Netlogon 클라이언트 동작을 적용 합니다.
이 보안 업데이트는 netlogon 취약성 (cve-2008-2020-1472에 대 한 업데이트 시간) 섹션에 설명 된 단계별 릴리스에서 netlogon 보안 채널을 사용 하는 경우 보안 RPC를 적용 하 여 취약점을 해결 합니다. AD 포리스트 보호를 제공 하려면 모든 Dc가 Netlogon 보안 채널을 사용 하 여 안전 하 게 RPC를 적용 하기 때문에 업데이트 해야 합니다. 여기에는 RODC (읽기 전용 도메인 컨트롤러)가 포함 됩니다.
취약점에 대 한 자세한 내용은 CVE-2020-1472을 참조 하세요.
조치 수행
환경을 보호 하 고 중단을 방지 하려면 다음을 수행 해야 합니다.
노트 2020 년 8 월 11 일에 릴리스된 업데이트 설치 중 1 단계에서는 Windows 장치 뿐만 아니라 Active Directory 도메인 및 트러스트에 대 한 CVE-2020-1472 의 보안 문제를 해결할 수 있습니다. 타사 장치에 대 한 보안 문제를 완전히 완화 하려면 모든 단계를 완료 해야 합니다.
Warning 2 월 2021부터 적용 모드가 모든 Windows 도메인 컨트롤러에서 사용 되 고 비규격 장치에서 취약 한 연결을 차단 합니다. 해당 시간에는 적용 모드를 사용 하지 않도록 설정할 수 없게 됩니다.
-
2020 년 8 월 11 일 이후 릴리스된 업데이트로 도메인 컨트롤러를 업데이트 합니다.
-
이벤트 로그를 모니터링 하 여 어떤 장치가 어떤 장치에서 어떤 연결 되는지 확인 합니다.
-
비규격 장치에서 취약 한 연결을 처리 합니다.
-
환경에서에 대 한 CVE-2020-1472 을 처리할 수 있도록 적용 모드를 설정 합니다.
노트 Windows Server 2008 R2 SP1을 사용 하는 경우이 문제를 해결 하는 업데이트를 설치 하려면 Esu (확장 보안 업데이트) 라이선스가 필요 합니다. ESU 프로그램에 대 한 자세한 내용은 수명 주기 FAQ-연장 보안 업데이트를 참조 하세요.
이 문서의 내용
Netlogon 취약성 (CVE-2008-2020-1472에 대 한 업데이트 시간
업데이트는 다음과 같은 두 단계로 해제 됩니다. 2020 년 8 월 11 일 이후에 릴리스된 업데이트의 초기 단계 이거나, 2021 ~ 2 월 9 일 이후에 릴리스된 업데이트에 대 한 적용 단계입니다.
8 월 11 일 2020-초기 배포 단계
초기 배포 단계는 2020 년 8 월 11 일에 릴리스된 업데이트에서 시작 하 여 적용 단계까지 최신 업데이트를 계속 합니다. 이 최신 업데이트는 기본적으로 Windows 장치를 보호 하기 위해 Netlogon 프로토콜을 변경 하 고, 비규격 장치 검색용으로 이벤트를 기록 하 고, 명시적 예외를 포함 하는 모든 도메인 참가 장치에 대 한 보호를 사용 하도록 설정 하는 기능을 추가 합니다. 이 릴리스:
-
Windows 기반 장치의 컴퓨터 계정에 대 한 보안 RPC 사용을 적용 합니다.
-
신뢰 계정에 대 한 보안 RPC 사용을 적용 합니다.
-
모든 Windows 및 Windows Dc에서 안전한 RPC 사용을 적용 합니다.
-
에는 비규격 장치 계정을 허용 하는 새 그룹 정책 (취약 한 Netlogon 보안 채널 연결을 사용 하는 경우)이 포함 되어 있습니다. Dc가 적용 모드로 실행 되 고 있거나 적용 단계가 시작 된 후에도 허용 되는 장치에 대 한 연결이 거부 되지 않습니다.
-
모든 컴퓨터 계정에 대해 DC 적용 모드 를 사용 하도록 설정 하는 FullSecureChannelProtection 레지스트리 키 (적용 단계는 DC에서 dc 적용 모드로업데이트).
-
는 계정이 거부 되거나 DC 적용 모드로 거부 될 때 새 이벤트를 포함 합니다 (이 경우 적용 단계에서 계속). 해당 이벤트 Id에 대 한 자세한 내용은이 문서의 뒷부분에 설명 되어 있습니다.
완화는 모든 Dc와 Rodc에 업데이트를 설치 하 고, 새 이벤트를 모니터링 하 고, 취약 한 Netlogon 보안 채널 연결을 사용 하는 비규격 장치에 주소를 지정 하는 것으로 구성 됩니다. 비규격 장치의 컴퓨터 계정은 취약 한 Netlogon 보안 채널 연결을 사용할 수 있습니다. 그러나 Netlogon에 대 한 안전한 RPC를 지원 하도록 업데이트 하 고 공격 위험을 제거 하려면 최대한 빨리 계정에 적용 해야 합니다.
2021 년 2 월 9 일-적용 단계
2021 년 2 월 9 일 릴리스는 해당 전환을 적용 단계로 표시 합니다. 이제 Dc는 적용 모드 레지스트리 키와 상관 없이 적용 모드로 전환 됩니다. 이를 위해서는 모든 Windows 및 비 Windows 장치에서 Netlogon 보안 채널을 통해 보안 RPC를 사용 하거나 비규격 장치에 대 한 예외를 추가 하 여 계정을 명시적으로 허용 해야 합니다. 이 릴리스:
-
이벤트 ID 5829의 로그가 제거 됩니다. 모든 취약 한 연결이 거부 되므로 이제 시스템 이벤트 로그에 이벤트 Id 5827 및 5828만 표시 됩니다.
배포 지침-업데이트를 배포 하 고 규정 준수 적용
초기 배포 단계 는 다음 단계로 구성 됩니다.
-
포리스트의 모든 Dc에 8 월 11 일 업데이트를 배포합니다.
-
(a) 경고 이벤트를 위한(a) 모니터와 (b) 이벤트 마다 동작합니다.
-
(a) 모든 경고 이벤트를 해결 한 후에는 DC 적용 모드를 배포 하 여 전체 보호를 사용 하도록 설정할 수 있습니다. (b) 모든 경고는 2009 년 2 월 9 2021 일 이전 업데이트 적용 단계 보다 먼저 해결 해야 합니다.
1 단계: 업데이트
2020 년 8 월 11 일 업데이트 배포
Rodc (읽기 전용 도메인 컨트롤러)를 포함 하 여 포리스트의 모든 해당 Dc (도메인 컨트롤러)에 8 월 11 일 업데이트를 배포 합니다. 이 업데이트를 배포한 후에는 패치가 적용 된 Dc:
-
모든 Windows 기반 장치 계정, 신뢰 계정 및 모든 Dc에 대 한 보안 RPC 사용을 적용 하기 시작 합니다.
-
연결이 거부 되 면 시스템 이벤트 로그에 이벤트 Id 5827 및 5828을 기록 합니다.
-
"도메인 컨트롤러에서 연결이 허용 되는 경우 시스템 이벤트 로그에 이벤트 Id 5830 및 5831을 기록 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
-
취약 한 Netlogon 보안 채널 연결이 허용 될 때마다 시스템 이벤트 로그에 이벤트 ID 5829을 기록 합니다. 이러한 이벤트는 DC 적용 모드가 구성 되기 전에 또는 적용 단계가 2 월 9 2021 일에 시작 하기 전에 해결 해야 합니다.
2a 단계: 찾기
이벤트 ID 5829를 사용 하 여 비규격 장치 감지
2020 8 월 11 일이 지나면 dc에 대 한 업데이트를 dc에 적용 하 여 사용자 환경에서 취약 한 Netlogon 보안 채널 연결 (이 문서의 비규격 장치)을 사용 중인 장치를 확인할 수 있습니다. 이벤트 ID 5829 이벤트에 패치가 적용 되는 Dc를 모니터링 합니다. 이벤트는 비규격 장치를 식별 하는 데 필요한 관련 정보를 포함 합니다.
이벤트를 모니터링 하려면 사용 가능한 이벤트 모니터링 소프트웨어를 사용 하거나 스크립트를 사용 하 여 Dc를 모니터링 합니다. 환경에 적용할 수 있는 예제 스크립트는 CVE-2020-1472에 대 한 Netlogon 업데이트와 관련 된 이벤트 id를 모니터링 하는 데 도움이 되는 스크립트를 참조 하세요.
2b 단계: 주소
이벤트 Id 5827 및 5828 주소 지정
기본적으로 완전히 업데이트 된 Windows의 지원 되는 버전 은 취약 한 Netlogon 보안 채널 연결을 사용 하지 않아야 합니다. Windows 장치의 시스템 이벤트 로그에 이러한 이벤트 중 하나가 기록 되는 경우:
-
장치에서 지원 되는 버전의 Windows를 실행 하 고 있는지 확인 합니다.
-
장치가 완전히 업데이트 되었는지 확인 합니다.
-
도메인 구성원에 게 다음을 확인 합니다. 보안 채널 데이터를 디지털 암호화 또는 서명 (항상) 사용으로 설정 되어 있습니다.
DC로 작동 하는 비 Windows 장치의 경우 이러한 이벤트는 취약 한 Netlogon 보안 채널 연결을 사용 하는 경우 시스템 이벤트 로그에 기록 됩니다. 이러한 이벤트 중 하나가 기록 되 면 다음을 수행 합니다.
-
좋습니다 . OEM (장치 제조업체) 또는 소프트웨어 공급 업체와 협력 하 여 Netlogon 보안 채널을 통해 보안 RPC에 대 한 지원을 받으세요.
-
비규격 DC가 Netlogon 보안 채널을 통해 보안 RPC를 지 원하는 경우에는 DC에서 secure RPC-HTTP를 설정 합니다.
-
비규격 DC가 현재 보안 RPC를 지원 하지 않는 경우 장치 제조업체 (OEM) 또는 소프트웨어 공급 업체와 협력 하 여 Netlogon 보안 채널로 보안 RPC를 지 원하는 업데이트를 구합니다.
-
비규격 DC의 사용을 중지 합니다.
-
-
취약 한 비규격 DC에서 Dc를 적용 모드로설정 하기 전에 Netlogon 보안 채널을 통해 보안 RPC를 지원할 수 없는 경우 "도메인 컨트롤러:를 사용 하 여 DC를 추가 합니다. 아래 설명 된 대로 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
Warning Dc가 그룹 정책에 의해 취약 한 연결을 사용할 수 있도록 허용 하면 포리스트가 공격에 취약 하 게 됩니다. 이 그룹 정책에서 모든 계정을 삭제 하 고 제거 하는 것이 목표입니다.
이벤트 5829
초기 배포 단계에서 취약 한 연결이 허용 되 면 이벤트 ID 5829이 생성 됩니다. Dc가 적용 모드인경우에는 이러한 연결이 거부 됩니다. 이러한 이벤트에서 비규격 장치를 결정 하기 위해 식별 된 컴퓨터 이름, 도메인 및 OS 버전에 중점을 두고이를 해결 하는 방법을 설명 합니다.
비호환 장치를 처리 하는 방법:
-
좋습니다 . OEM (장치 제조업체) 또는 소프트웨어 공급 업체와 협력 하 여 Netlogon 보안 채널을 통해 보안 RPC에 대 한 지원을 받으세요.
-
비규격 장치에서 Netlogon 보안 채널을 통해 보안 RPC를 지 원하는 경우 장치에서 secure RPC-HTTP를 설정 합니다.
-
비규격 장치에서 현재 Netlogon 보안 채널을 통해 보안 RPC를 지원 하지 않는 경우 장치 제조업체 또는 소프트웨어 공급 업체와 협력 하 여 Netlogon 보안 채널을 사용 하도록 설정 하는 것을 허용 하는 업데이트를 구합니다.
-
비규격 장치를 중지 합니다.
-
-
취약 한 비규격 장치에서 Dc가 적용 모드인경우 Netlogon 보안 채널을 통해 보안 RPC를 지원할 수 없는 경우 "도메인 컨트롤러:를 사용 하 여 장치를 추가 합니다. 아래 설명 된 대로 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
Warning 장치 계정에서 그룹 정책에 의해 취약 한 연결을 사용할 수 있도록 허용 하면이 AD 계정을 위험에 노출 시킵니다. 이 그룹 정책에서 모든 계정을 삭제 하 고 제거 하는 것이 목표입니다.
타사 장치에서 취약 한 연결 허용
"도메인 컨트롤러를 사용 합니다. 취약 한 Netlogon에 취약 한 계정을 추가 하는 것을 허용 하는 그룹 정책 이는 비규격 장치에 대 한 자세한 내용은 위에 설명 된 것과 같이 해결 될 때까지 고려해 야 합니다. 노트 비규격 장치에서 취약 한 연결을 허용 하면 알 수 없는 보안 문제가 발생할 수 있으므로 주의 해야 합니다.
-
취약 한 Netlogon 보안 채널을 사용할 수 있도록 허용 하는 계정에 대 한 보안 그룹을 만들었습니다.
-
그룹 정책에서 컴퓨터 구성 > Windows 설정 > 보안 설정으로 이동 합니다. > 로컬 정책 > 보안 옵션
-
관리자 그룹이 나이 그룹 정책에서 사용 하기 위해 특별히 만든 그룹이 없는 경우 제거 합니다.
-
이 그룹 정책에서 사용 하기 위해 특별히 만든 보안 그룹을 "허용" 권한이 있는 보안 설명자로 추가 합니다. 노트 "거부" 권한은 계정이 추가 되지 않은 경우와 같은 방식으로 작동 합니다. 예를 들어, 계정에 취약 한 Netlogon 보안 채널을 만들 수 없습니다.
-
보안 그룹을 추가한 후에는 그룹 정책이 모든 DC로 복제 되어야 합니다.
-
이벤트 5827, 5828 및 5829을 주기적으로 모니터링 하 여 취약 한 보안 채널 연결을 사용 하는 계정을 확인 합니다.
-
해당 컴퓨터 계정을 필요한 경우 보안 그룹에 추가 합니다. 모범 사례 그룹 정책의 보안 그룹을 사용 하 고 구성원이 일반 AD 복제를 통해 복제 되도록 그룹에 계정을 추가 합니다. 따라서 그룹 정책 업데이트와 복제 지연 시간이 자주 발생 하지 않습니다.
비규격 장치가 모두 주소가 지정 되 면 Dc를 적용 모드로 이동할 수 있습니다 (다음 섹션 참조).
Warning Dc가 그룹 정책에 의해 신뢰 계정에 취약 한 연결을 사용할 수 있도록 허용 하면 포리스트가 공격에 취약 하 게 됩니다. 신뢰 계정은 보통 신뢰 도메인의 이름을 따서 명명 됩니다. 예를 들면 다음과 같습니다. 도메인-a의 DC는 도메인에 있는 DC와 트러스트가 있습니다-b. 내부적으로 도메인 a의 DC에는 도메인-b에 대 한 트러스트 개체를 나타내는 "domain-b $" 라는 트러스트 계정이 있습니다. 도메인-a의 DC가 도메인-b 신뢰 계정에서 취약 한 Netlogon 보안 채널 연결을 허용 하 여 공격 위험에 대 한 포리스트를 노출 하려고 하는 경우 관리자가 보안 그룹에 대 한 추가-adgroupmember – id "를 사용 하 여 보안 그룹에 트러스트 계정을 추가 하는 것이 가능 합니다.
3a 단계: 사용
2 월 2021 적용 단계 전에 적용 모드로 전환
모든 비규격 장치에 대해 주소가 지정 되 면 (이에 대 한 보안 RPC를 설정 하거나 "도메인 컨트롤러: 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책에서 FullSecureChannelProtection 레지스트리 키를 1로 설정 합니다.
노트 "도메인 컨트롤러를 사용 하는 경우: 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책에서 FullSecureChannelProtection 레지스트리 키를 설정 하기 전에 그룹 정책이 복제 되어 모든 Dc에 적용 되었는지 확인 합니다.
FullSecureChannelProtection 레지스트리 키가 배포 되 면 DCs가 적용 모드로 전환됩니다. 이 설정을 사용 하려면 Netlogon 보안 채널을 사용 하는 모든 장치에서 다음을 수행 해야 합니다.
-
보안 RPC를 사용 합니다.
Warning AD에 Netlogon 보안 채널 연결을 지원 하지 않는 서드 파티 클라이언트는 DC 적용 모드 레지스트리 키가 배포 되 면 프로덕션 서비스를 방해할 수 있습니다.
3b 단계: 적용 단계
2021 년 2 월 9 일 업데이트 배포
9 월 9 2021 일에 릴리스된 업데이트 배포에는 DC 적용 모드가설정 됩니다. DC 적용 모드 는 모든 Netlogon 연결이 보안 RPC를 사용 하는 데 필요 하거나 계정을 "도메인 컨트롤러:에 추가 해야 하는 경우입니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. 현재 FullSecureChannelProtection 레지스트리 키가 더 이상 필요 하지 않으며 더 이상 지원 되지 않습니다.
"도메인 컨트롤러: 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책
구성원 들이 일반 AD 복제를 통해 복제 되도록 그룹 정책에서 보안 그룹을 사용 하는 것이 좋습니다. 따라서 그룹 정책 업데이트와 복제 지연 시간이 자주 발생 하지 않습니다.
|
정책 경로 및 설정 이름 |
Description |
|
정책 경로: Windows 설정 > 컴퓨터 구성 > 보안 설정 > 로컬 정책 > 보안 옵션 다시 부팅 해야 하나요? 아니요 |
이 보안 설정은 도메인 컨트롤러에서 지정 된 컴퓨터 계정에 대 한 Netlogon 보안 채널 연결에 대 한 보안 RPC를 우회할 지 여부를 결정 합니다. 이 정책은 도메인 컨트롤러 OU에서 정책을 사용 하도록 설정 하 여 포리스트의 모든 도메인 컨트롤러에 적용 해야 합니다. 취약 한 연결 목록 만들기 (허용 목록)가 구성 된 경우:
Warning 이 정책을 사용 하면 도메인에 가입 된 장치와 Active Directory 포리스트가 노출 되므로 위험에 노출 될 수 있습니다. 이 정책은 업데이트를 배포할 때 제 3 자 장치의 임시 측정값으로 사용 해야 합니다. Netlogon 보안 채널을 통해 보안 RPC를 사용할 수 있도록 타사 장치가 업데이트 되 면 취약 한 연결 만들기 목록에서 해당 계정이 제거 됩니다. 취약 한 Netlogon 보안 채널 연결을 사용할 수 있도록 계정을 구성 하는 위험에 대해 더 잘 이해 하려면 https://go.microsoft.com/fwlink/?linkid=2133485을 방문 하세요. 기본값: 이 정책은 구성 되지 않습니다. Netlogon 보안 채널 연결을 사용 하 여 안전 하 게 보호 되는 컴퓨터나 신뢰 계정에 대해 명시적으로 예외를 적용 합니다. 이 정책은 Windows Server 2008 R2 SP1 이상에서 지원 됩니다. |
CVE-2020-1472과 관련 된 Windows 이벤트 기록 오류
이벤트에는 세 가지 범주가 있습니다.
1. 취약 한 Netlogon 보안 채널 연결을 시도 하 여 연결이 거부 될 때 기록 되는 이벤트:
-
5827 (컴퓨터 계정) 오류
-
5828 (트러스트 계정) 오류
2. 계정이 "도메인 컨트롤러:에 추가 되었기 때문에 연결이 허용 되었을 때 기록 되는 이벤트 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책:
-
5830 (컴퓨터 계정) 경고
-
5831 (트러스트 계정) 경고
3. DC 적용 모드에서 거부 되는 초기 릴리스에서 연결이 허용 되는 경우 기록 되는 이벤트:
-
5829 (컴퓨터 계정) 경고
이벤트 ID 5827
이벤트 ID 5827는 컴퓨터 계정에서 취약 한 Netlogon 보안 채널 연결이 거부 되는 경우 기록 됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
NET |
|
이벤트 ID |
5827 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
Netlogon 서비스가 컴퓨터 계정에서 취약 한 Netlogon 보안 채널 연결을 거부 했습니다. 컴퓨터 SamAccountName: 도메인: 계정 유형: 컴퓨터 운영 체제: 시스템 운영 체제 빌드: 머신 운영 체제 서비스 팩: 이에 대 한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2133485를 참조 하세요. |
이벤트 ID 5828
이벤트 ID 5828는 신뢰 계정에서 취약 한 Netlogon 보안 채널 연결이 거부 되는 경우 로그에 기록 됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
NET |
|
이벤트 ID |
5828 |
|
수준 |
Error |
|
이벤트 메시지 텍스트 |
Netlogon 서비스가 트러스트 계정을 사용 하 여 취약 한 Netlogon 보안 채널 연결을 거부 했습니다. 계정 유형: 트러스트 이름: 신뢰 대상: 클라이언트 IP 주소: 이에 대 한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2133485를 참조 하세요. |
이벤트 ID 5829
이벤트 ID 5829는 컴퓨터 계정에서 취약 한 Netlogon 보안 채널 연결을 허용 하는 초기 배포 단계에서만 로그에 기록 됩니다.
DC 적용 모드가 배포 되거나 적용 단계가 2 월 9 2021 일 업데이트의 배포와 함께 시작 되 면 해당 연결이 거부 되 고 이벤트 ID 5827이 로그에 기록 됩니다. 따라서 초기 배포 단계 중에 이벤트 5829에 대 한 모니터링 하는 것이 중요 하며 중단이 발생 하지 않도록 하기 위해 시행 단계를 수행 하는 것이 중요 합니다.
|
이벤트 로그 |
시스템용 |
|
이벤트 원본 |
NET |
|
이벤트 ID |
5829 |
|
저수준 |
경고 |
|
이벤트 메시지 텍스트 |
Netlogon 서비스는 취약 한 Netlogon 보안 채널 연결을 허용 합니다. 경고: 적용 단계를 해제 하면이 연결이 거부 됩니다. 적용 단계를 더 잘 이해 하려면 https://go.microsoft.com/fwlink/?linkid=2133485을 방문 하세요. 컴퓨터 SamAccountName: 도메인: 계정 유형: 컴퓨터 운영 체제: 시스템 운영 체제 빌드: 머신 운영 체제 서비스 팩: |
이벤트 ID 5830
이벤트 ID 5830는 "도메인 컨트롤러에서 취약 한 Netlogon 보안 채널 컴퓨터 계정을 허용 하는 경우 기록 됩니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
NET |
|
이벤트 ID |
5830 |
|
수준 |
Warning |
|
이벤트 메시지 텍스트 |
"도메인 컨트롤러:에서 컴퓨터 계정이 허용 되므로 Netlogon 서비스는 취약 한 Netlogon 보안 채널 연결을 허용 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. 경고: 취약 한 Netlogon 보안 채널을 사용 하면 도메인에 가입 된 장치가 공격에 노출 됩니다. 장치를 공격 으로부터 보호 하려면 "도메인 컨트롤러:에서 컴퓨터 계정을 제거 합니다. 타사 Netlogon 클라이언트를 업데이트 한 후 취약 한 Netlogon 보안 채널 연결 허용 그룹 정책 취약 한 Netlogon 보안 채널 연결을 사용할 수 있도록 컴퓨터 계정을 구성 하는 위험에 대해 더 잘 이해 하려면 https://go.microsoft.com/fwlink/?linkid=2133485을 방문 하세요. 컴퓨터 SamAccountName: 도메인: 계정 유형: 컴퓨터 운영 체제: 시스템 운영 체제 빌드: 머신 운영 체제 서비스 팩: |
이벤트 ID 5831
|
이벤트 로그 |
시스템 |
|
이벤트 원본 |
NET |
|
이벤트 ID |
5831 |
|
수준 |
Warning |
|
이벤트 메시지 텍스트 |
"도메인 컨트롤러:에 신뢰 계정이 허용 되기 때문에 Netlogon 서비스는 취약 한 Netlogon 보안 채널 연결을 허용 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. 경고: 취약 한 Netlogon 보안 채널을 사용 하면 Active Directory 포리스트가 공격에 노출 됩니다. Active Directory 포리스트를 공격 으로부터 보호 하려면 모든 트러스트에서 Netlogon 보안 채널을 통해 보안 RPC를 사용 해야 합니다. 에서 트러스트 계정을 제거 합니다. "도메인 컨트롤러: 도메인 컨트롤러에서 타사 Netlogon 클라이언트를 업데이트 한 후 취약 한 Netlogon 보안 채널 연결 허용 그룹 정책 취약 한 Netlogon 보안 채널 연결을 사용할 수 있도록 신뢰 계정 구성의 위험에 대해 더 잘 이해 하려면 https://go.microsoft.com/fwlink/?linkid=2133485을 방문 하세요. 계정 유형: 트러스트 이름: 신뢰 대상: 클라이언트 IP 주소: |
적용 모드인 레지스트리 값
경고 레지스트리 편집기를 사용 하거나 다른 방법을 사용 하 여 레지스트리를 잘못 수정 하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결 하려면 운영 체제를 다시 설치 해야 할 수 있습니다. Microsoft는 이러한 문제를 해결할 수 있는 것을 보증 하지 않습니다. 레지스트리에 수정 하는 것이 위험 합니다.
2020 년 8 월 11 일 업데이트에는 적용 모드를 일찍 설정 하는 다음 레지스트리 설정이 도입 되었습니다. 2021 년 2 월 9 일에 시작 하는 적용 단계의 레지스트리 설정에 관계 없이 설정 됩니다.
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Value |
FullSecureChannelProtection |
|
데이터 형식 |
REG_DWORD |
|
Data |
1-적용 모드를 사용 하도록 설정 합니다. "도메인 컨트롤러에서 취약 한 연결 만들기 목록에서 허용 되지 않는 한, Dc는 취약 한 Netlogon 보안 채널 연결을 거부 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. 0 – DCs에서 Windows 이외 장치에서 취약 한 Netlogon 보안 채널을 연결할 수 있습니다. 이 옵션은 적용 단계 릴리스에서는 더 이상 사용 되지 않습니다. |
|
다시 부팅 해야 하나요? |
아니요 |
[MS-NRPC]를 구현 하는 타사 장치 Netlogon 원격 프로토콜
모든 타사 클라이언트나 서버에서 Netlogon 보안 채널을 통해 보안 RPC를 사용 해야 합니다. OEM (장치 제조업체) 또는 소프트웨어 공급 업체에 문의 하 여 해당 소프트웨어가 최신 Netlogon 원격 프로토콜과 호환 되는지 확인 하세요.
Windows 프로토콜 설명서 사이트에서 프로토콜 업데이트를 찾을 수 있습니다.
자주 묻는 질문 (질문과 대답)
-
Windows & Active Directory (AD)에 컴퓨터 계정이 있는 제 3 자 도메인에 가입 된 장치
-
Windows Server는 신뢰할 수 있는 &에서 AD에 신뢰 계정이 있는 신뢰 하는 도메인의 타사 도메인 컨트롤러를 &.
타사 장치는 비규격 일 수 있습니다. 타사 솔루션이 AD의 컴퓨터 계정을 유지 관리 하는 경우에는 공급 업체에 문의 하 여 영향을 받는지 확인 합니다.
인증 DC에서 AD 및 Sysvol 복제 또는 그룹 정책 응용 프로그램 오류로 인해 변경 되는 경우 그룹 정책 "도메인 컨트롤러: 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책이 없어 계정 거부가 발생 합니다.
다음 단계에 따라 문제를 해결 하는 데 도움이 될 수 있습니다.
-
그룹을 포함 하도록 정책을 구성한 경우 계정을 추가 하기 위해 그룹 구성원 자격이 변경 되 면 연결을 거부 한 DC가 로컬에서 그룹 구성원 변경 내용을 복제 했는지 확인 합니다. 노트 그룹 정책에 계정을 직접 추가 하는 것은 권장 되지 않습니다.
-
정책을 변경한 후 새 계정 또는 새 그룹을 추가 하 여 정책 변경 내용이 복제 되 고 적용 되었는지 확인 합니다. Gpupdate/force 및 gpresult/h 명령 실행
-
그룹 정책 응용 프로그램 및 종속 관련 구성 요소에 대 한 문제 해결에 대 한 자세한 내용은 다음을 참조 하세요.
기본적으로 완전히 업데이트 된 Windows의 지원 되는 버전 은 취약 한 Netlogon 보안 채널 연결을 사용 하지 않아야 합니다. Windows 장치의 시스템 이벤트 로그에 이벤트 ID 5827가 기록 된 경우:
-
장치에서 지원 되는 버전의 Windows를 실행 하 고 있는지 확인 합니다.
-
장치가 Windows 업데이트에서 완전 하 게 업데이트 되었는지 확인 합니다.
-
도메인 구성원에 게 다음을 확인 합니다. 보안 채널 데이터를 디지털 암호화 또는 서명 (항상)는 기본 도메인 컨트롤러 GPO와 같은 모든 Dc에 대 한 OU에 연결 된 GPO에서 사용으로 설정 됩니다.
예. 업데이트 해야 하지만 CVE-2020-1472에는 취약 하지 않습니다.
아니요, dc는 CVE-2020-1472 의 유일한 역할 이며 dc가 아닌 windows 서버 및 기타 Windows 장치와 독립적으로 업데이트 될 수 있습니다.
Windows Server 2008 SP2는이 특정 CVE에 취약 하지 않습니다.
예, Windows Server 2008 R2 SP1 용 CVE-2020-1472 에 대 한 업데이트를 설치 하려면 Esu (연장 보안 업데이트 )가 필요 합니다.
사용자 환경의 모든 도메인 컨트롤러에 2020 년 8 월 11 일 이상 업데이트를 배포 합니다.
"도메인 컨트롤러:에 추가 된 장치를 확인 하지 않습니다. 취약 한 Netlogon 허용 보안 채널 연결 "그룹 정책에는 관리자 또는 도메인 관리자 권한 서비스 (예: SCCM 또는 Microsoft Exchange)가 있습니다. 노트 허용 목록에 있는 모든 장치는 취약 한 연결을 사용할 수 있으며 사용자 환경을 공격에 노출할 수 있습니다.
도메인 컨트롤러에서 11 월 11 일 이상을 릴리스된 업데이트를 설치 하는 2020 경우 Windows 기반 컴퓨터 계정, 신뢰 계정 및 도메인 컨트롤러 계정을 보호 합니다.
도메인에 가입 된 도메인에 대 한 Active Directory 컴퓨터 계정은 적용 모드가 배포 될 때까지 보호 되지 않습니다 . 사용자가 "도메인 컨트롤러:에 추가 된 경우에도 컴퓨터 계정을 보호할 수 없습니다 . 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
환경의 모든 도메인 컨트롤러가 2020 년 8 월 11 일 이상 업데이트를 설치 했는지 확인 합니다.
"도메인 컨트롤러:에 추가 된 모든 장치 id: 취약 한 Netlogon 허용 "그룹 정책 이 공격에 취약 합니다.
환경의 모든 도메인 컨트롤러가 2020 년 8 월 11 일 이상 업데이트를 설치 했는지 확인 합니다.
비규격 타사 장치 id에서 취약 한 연결을 거부 하는 적용 모드를 사용 하도록 설정 합니다.
노트 적용 모드를 사용 하는 경우 "도메인 컨트롤러:에 추가 된 타사 장치 id: 취약 한 Netlogon 허용 "그룹 정책이 여전히 취약 하며 공격자가 네트워크 또는 장치에 무단으로 액세스할 수 있습니다.
적용 모드로 도메인 컨트롤러는 해당 장치 계정을 "도메인 컨트롤러"에 추가 하지 않은 경우에만 보안 RPC를 사용 하는 장치에서 Netlogon 연결을 허용 하지 않습니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책.
자세한 내용은 적용 모드에 대 한 레지스트리 값 섹션을 참조 하세요.
Netlogon 보안 채널에서 Secure RPC-HTTP를 설정 하 여 안전 하 게 만들 수 없는 장치의 컴퓨터 계정만 그룹 정책에 추가 해야 합니다. 이러한 장치가 호환 되도록 설정 하거나이 장치를 바꾸어 환경을 보호 하는 것이 좋습니다.
공격자는 그룹 정책에 추가 된 컴퓨터 계정의 Active Directory 컴퓨터 id를 사용 하 여 그 후에도 컴퓨터 id에 대 한 모든 권한을 활용할 수 있습니다.
Netlogon 보안 채널에 대 한 보안 RPC를 지원 하지 않는 타사 장치를 사용 하 고 있는 경우 적용 모드를 사용 하도록 설정 하려면 해당 장치에 대 한 컴퓨터 계정을 그룹 정책에 추가 해야 합니다. 이 방법은 권장 되지 않습니다. 도메인을 잠재적으로 취약할 수 있는 상태로 유지할 수 있습니다. 이 그룹 정책을 사용 하 여 타사 장치를 업데이트 하거나 교체할 시간을 설정 하 여 정책을 준수 하는 것이 좋습니다.
가능한 한 빨리 적용 모드를 사용 하도록 설정 해야 합니다. 타사 장치는 정책을 준수 하거나 "도메인 컨트롤러를 추가 하 여 해결 해야 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. 노트 허용 목록에 있는 모든 장치는 취약 한 연결을 사용할 수 있으며 사용자 환경을 공격에 노출할 수 있습니다.
설명
|
기간은 |
정의 |
|
AD-HOC |
Active Directory |
|
DC |
도메인 컨트롤러 |
|
2021 년 2 월 9 일 이전에 적용 모드 를 사용 하도록 설정 하는 데 사용할 수 있는 레지스트리 키 |
|
|
2 월 9 일에서 시작 하는 단계입니다. 2021이 업데이트는 레지스트리 설정에 관계 없이 모든 Windows 도메인 컨트롤러에서 적용 모드가 설정 되는 위치를 말합니다. "도메인 컨트롤러:에 추가 되지 않는 한, Dc는 비규격 장치가 아닌 모든 장치에서 취약 한 연결을 거부 합니다. 취약 한 Netlogon 보안 채널 연결 허용 "그룹 정책. |
|
|
2020 년 8 월 11 일에 시작 하 여 적용 단계까지 최신 업데이트를 계속 합니다. |
|
|
컴퓨터 계정 |
Active Directory 컴퓨터나 컴퓨터 개체 라고도 합니다. 모든 정의는 MS-NPRC 용어집 을 참조 하세요. |
|
Microsoft Netlogon 원격 프로토콜 |
|
|
비규격 장치 |
비규격 장치는 취약 한 Netlogon 보안 채널 연결을 사용 합니다. |
|
RODC |
읽기 전용 도메인 컨트롤러 |
|
취약 한 연결 |
취약 한 연결은 보안 RPC를 사용 하지 않는 Netlogon 보안 채널 연결입니다. |
