Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

"Netlogon" nuotolinis protokolas (dar vadinamas MS-nrpc) yra RPC sąsaja, naudojama tik domenams prijungtuose įrenginiuose. MS-NRPC apima autentifikavimo metodą ir būdą, kaip sukurti "Netlogon" saugų kanalą. Šie naujinimai užtikrina nurodytą "Netlogon" kliento veikimą, kad būtų galima naudoti saugų RPC su "Netlogon" saugiu kanalu tarp narių kompiuterių ir "Active Directory" (AD) domeno valdiklių (DC).

Šis saugos naujinimas išsprendžia pažeidžiamumą, kai "" naudoja saugų RPC, kai "" naudoja "Netlogon" saugiuosius kanalus, kai laipsniškas leidimas paaiškintas naujinimų, skirtų adreso "Netlogon" 2020-1472 pažeidžiamumas . Kad būtų galima teikti AD miško apsaugą, visi DCs turi būti atnaujinti, nes jos užtikrins saugų RPC su "Netlogon" saugiu kanalu. Tai apima tik skaityti skirtų domenų valdiklius (RODC).

Norėdami sužinoti daugiau apie pažeidžiamumą, žr. " dve-2020-1472".

Imtis veiksmų

Norėdami apsaugoti savo aplinką ir išvengti pertrūkių, turite atlikti šiuos veiksmus:

Pastabų 1 veiksmas iš naujinimų diegimo, išleisto rugpjūčio 11, 2020 arba naujesnės versijos, spręs saugos 2020-1472 problemą "", skirtą "Active Directory" domenams ir patikams, taip pat "Windows" įrenginiams. Norėdami visiškai sumažinti trečiųjų šalių įrenginių saugos problemą, turėsite atlikti visus veiksmus.

Įspėjimas Nuo vasario 2021 d. vykdymo režimas bus įgalintas visuose "Windows" domeno valdikliuose ir blokuos pažeidžiamus ryšius iš reikalavimų neatitinkančių įrenginių. Tuo metu negalėsite išjungti vykdymo režimo.

  1. Atnaujinkite savo domeno valdiklius, naudodami naujinimą, išleistą rugpjūčio 11, 2020 arba naujesnėje versijoje.

  2. Raskite , kurie įrenginiai tampa pažeidžiamiems ryšiams stebėdami įvykių žurnalus.

  3. Neatitinkančius įrenginius, kurie palaiko pažeidžiamus ryšius.

  4. Įgalinkite vykdymo režimą, kad jūsų aplinkoje būtų 2020-1472 nagrinėjami "" "" "" "" "" ".


Pastabų Jei naudojate "Windows Server 2008 R2" 1 pakeitimųpaketą, reikia išplėstinės saugos naujinimo (esu) licencijos, kad būtų sėkmingai įdiegtas naujinimas, kuris išsprendžia šią problemą. Daugiau informacijos apie ESU programą, žr. gyvavimo ciklo DUK – Išplėstiniai saugos naujinimai.

Šiame straipsnyje:

Adreso naujinimo adreso "Netlogon" pažeidžiamumas "CIVE-2020-1472" sinchronizavimas

Naujinimai bus išleisti dviem etapais: pradinė fazė, kai naujinimai išleidžiami "" arba po rugsėjo 11 d., 2020 ir vykdymo etapu, kai "" arba "" po 9 vasario 2021.

2020 m. rugpjūčio 11 d. – pradinis diegimo etapas

Pradinė diegimo fazė prasideda nuo naujinimų, išleistų rugpjūčio 11, 2020, ir tęsiasi iki vykdymo etapo. Šie ir vėlesni naujinimai pakeičia "Windows" įrenginių protokolą, kad apsaugotų "Windows" įrenginius pagal numatytuosius parametrus, registruoja neatitinkančio įrenginio aptikimo įvykius ir prideda galimybę įgalinti visų su "" prijungtais įrenginiais suderinamų įrenginių apsaugą naudojant aiškias išimtis. Šis leidimas:

  • Įgalina saugų RPC naudojimą kompiuterio paskyroms "Windows" įrenginiuose.

  • Įgalina saugų RPC naudojimą patikėjimo paskyroms.

  • Užtikrina saugų RPC naudojimą visiems "Windows" ir ne "Windows" DCs.

  • Apima naują grupės strategiją, kad būtų galima naudoti nesuderinamas įrenginių paskyras (tas, kurios naudoja pažeidžiamus tinklo įėjimo saugiuosius kanalo ryšius). Net tada, kai "DCs" veikia priverstinio vykdymo režimu arba kai pradedamas vykdymo etapas , gali būti neleista prisijungti prie leistinų įrenginių.

  • "FullSecureChannelProtection" registro raktas, kad būtų galima įjungti visų įrenginių ABONEMENTŲ DCvykdymo režimą

  • Apima naujų įvykių, kai abonementai yra atmetami arba bus atmetami "DC" vykdymo režimu (ir tęsis vykdymo etapu). Šiame straipsnyje toliau paaiškinami specifiniai įvykio ID.

Mažinimas susideda iš visų DCs ir RODCs naujinimų diegimo, naujų įvykių stebėsenos ir reikalavimų neatitinkančių įrenginių, naudojančių pažeidžiamus tinklo įėjimo saugiuosius kanalo ryšius, diegimą. Įrenginių abonementams, naudojantiems neatitinkančius įrenginius, gali būti leidžiama naudoti pažeidžiamus tinklo įėjimo saugiųjų kanalų ryšius; Tačiau jie turi būti atnaujinti, kad palaikytų saugų RPC, skirtą "Netlogon", o paskyrą kuo greičiau būtų galima pašalinti dėl atakų rizikos.

2021. vasario 9 d. – vykdymo etapas

2021 vasario 9 d. leidimas pažymimas perėjimo į vykdymo etapą. DCs dabar bus vykdymo režimu , nepriklausomai nuo vykdymo režimo registro rakto. Tam reikia visų "Windows" ir ne "Windows" įrenginių, kad "Secure RPC" būtų galima naudoti su "Netlogon" saugiu kanalu arba aiškiai leisti paskyrai, įtraukiant neatitinkančio įrenginio išimtį. Šis leidimas:

Diegimo gairės – diekite naujinimus ir priverčiama atitiktis

Pirminį diegimo etapą sudarys toliau nurodyti veiksmai:

  1. Diegti rugpjūčio 11 d. naujinimusį visus miško "DCS".

  2. (a) stebėti įspėjamuosius renginiusir (b) imtis veiksmų kiekviename renginyje.

  3. (a) kai svarstomi visi įspėjamieji įvykiai, visiška apsauga gali būti įgalinta, kai diegiamas nuolatinės srovės priežiūros režimas. (b) visi įspėjimai turėtų būti išspręsti prieš vasario 9 d., 2021.

1 veiksmas: ATNAUJINTI

Įdiekite "2020" rugpjūčio 11 d. naujinimus

Įdiekite rugpjūčio 11 d. atnaujintus visus taikomus domenų valdiklius (DCs) miške, įskaitant tik skaityti skirtų domenų valdiklius ("RODCs"). Įdiegus šį naujinimą, pataisytas DCs:

  • Pradėkite taikyti saugų RPC naudojimą visoms "Windows" įrenginių paskyroms, pasitikėjimo paskyroms ir visiems DCs.

  • Žurnalo įvykio ID 5827 ir 5828 "System" įvykių žurnale, jei ryšiai yra atmetami.

  • Žurnalo įvykio ID 5830 ir 5831 "System" įvykių žurnale, jei sujungimai leidžiama pagal "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

  • Žurnalo įvykio ID 5829 sistemos įvykių žurnale, kai yra leistinas tinklo įėjimo saugiųjų kanalo ryšys. Šie įvykiai turėtų būti išspręsti prieš konfigūruojami arba prieš prasidedant vykdymo etapui nuo 2021. vasario 9 d.

 

2a veiksmas: RASTI

Reikalavimų neatitinkančių įrenginių aptikimas naudojant įvykio ID 5829

Po rugpjūčio 11 d. 2020 naujinimai buvo taikomi DCs, įvykiai gali būti renkami DC įvykių žurnaluose, kad nustatytų, kurie įrenginiai jūsų aplinkoje naudoja pažeidžiamus tinklo įėjimo saugiojo kanalo ryšius (nurodytus šiame straipsnyje kaip neatitinkančius įrenginius). Stebėkite pataisoma DCS įvykio ID 5829 įvykiai. Įvykiai apims susijusią informaciją reikalavimų neatitinkančių įrenginių identifikavimui.

Norėdami stebėti renginius, naudokite turimą įvykių stebėjimo programinę įrangą arba naudodami scenarijų, kad galėtumėte stebėti savo DCs. Jei norite naudoti scenarijaus pavyzdį, kurį galite pritaikyti savo aplinkai, žr. scenarijų, padedantį stebėti įvykių ID, susijusius su "", 2020-1472 skirta "" "" "" "" tinklo registravimosi naujinimams

2b veiksmas: Adresas

Įvykio ID 5827 ir 5828

Pagal numatytuosius nustatymus palaikomas "Windows" versijos , kurios buvo visiškai atnaujintos, neturėtų naudoti pažeidžiamų "Netlogon" saugių kanalo ryšių. Jei vienas iš šių įvykių užregistruojamas "Windows" įrenginio sistemos įvykių žurnale:

  1. Įsitikinkite, kad įrenginys naudoja palaikomas "Windows" versijas.

  2. Įsitikinkite, kad įrenginys yra visiškai atnaujintas.

  3. Įsitikinkite, kad domeno narys: Skaitmeninis šifruoti arba pasirašyti saugaus kanalo duomenis (visada) nustatytas kaip įgalintas.

Ne "Windows" įrenginiams, veikiantiems kaip DC, šie įvykiai bus registruojami sistemos įvykių žurnale, kai naudojami pažeidžiami "Netlogon" saugaus kanalo ryšiai. Jei užregistruojamas vienas iš šių įvykių:

  • Rekomenduojama Dirbkite su įrenginio gamintoju (OEM) arba programinės įrangos tiekėju, kad gautumėte palaikymą, skirtą "Secure RPC" su "Netlogon" saugiu kanalu

    1. Jei nesuderinamas DC palaiko "Secure RPC" su "Netlogon" saugiu kanalu, įgalinkite "Secure RPC" DC.

    2. Jei NESUDERINAMAS DC šiuo metu nepalaiko saugos RPC, dirbkite su įrenginio gamintoju (OEM) arba programinės įrangos tiekėju, kad gautumėte naujinimą, kuris palaiko "Secure RPC" su "Netlogon" saugiu kanalu.

    3. Išeis į nesuderinamą DC.

  • Pažeidžiami Jei nesuderinamas DC negali palaikyti saugaus RPC su "Netlogon" saugiu kanalu, kol DCs yra vykdymo režimu, pridėkite dc naudodami "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos toliau aprašytą.

Įspėjimas Jei norite, kad DCs naudotų pažeidžiamas jungtis pagal grupės strategiją, bus pažeidžiama miškų ataka. Galutinis tikslas turėtų būti spręsti ir pašalinti visas paskyras iš šios grupės strategijos.

 

Įvykio 5829

Įvykio ID 5829 sukuriamas, kai pradinio diegimo etapu pažeidžiamas ryšys leidžiamas. Šis ryšys bus atmestas, kai DCs yra vykdymo režimu. Šiose varžybose įvesties vietą, skirtą kompiuterio pavadinimui, domenams ir OS versijoms, nustatytiems norint nustatyti reikalavimų neatitinkančius įrenginius ir kaip juos reikia spręsti.

Būdai, kaip adresuoti neatitinkančius įrenginius:

  • Rekomenduojama Dirbkite su įrenginio gamintoju (OEM) arba programinės įrangos tiekėju, kad gautumėte palaikymą, skirtą "Secure RPC" su "Netlogon" saugiu kanalu:

    1. Jei nesuderinamas įrenginys palaiko saugų RPC su "Netlogon" saugiu kanalu, įgalinkite saugų RPC įrenginyje.

    2. Jei NESUDERINAMAS įrenginys šiuo metu nepalaiko "Secure RPC" su "Netlogon" saugiu kanalu, dirbkite su įrenginio gamintoju arba programinės įrangos tiekėju, kad gautumėte naujinimą, kuris leidžia saugiems RPC su "Netlogon" saugiu kanalu, kuris bus įgalintas.

    3. Išeis į nesuderinamo įrenginio.

  • Pažeidžiami Jei nesuderinamas įrenginys nepalaiko "Secure RPC" su "Netlogon" saugiu kanalu prieš DCs yra vykdymo režimu, įtraukite įrenginį naudodami "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos toliau aprašytą.

Įspėjimas Leidžiant įrenginių paskyroms naudoti pažeidžiamus ryšius pagal grupės strategiją, šios skelbimų paskyros bus rizikingos. Galutinis tikslas turėtų būti spręsti ir pašalinti visas paskyras iš šios grupės strategijos.

 

Pažeidžiamų ryšių leidimas iš trečiųjų šalių įrenginių

Naudokite "domeno valdiklis: Leiskite pažeidžiamiems "Netlogon Secure Channel Connections" grupės strategijos, kad įtrauktumėte neatitinkančias paskyras. Tai turėtų būti laikoma trumpalaike priemone, kol neatitinka reikalavimų, kaip nurodyta anksčiau. Pastabų Jei pažeidžiamos jungtys iš reikalavimų neatitinkančių įrenginių, gali būti nežinomas saugos poveikis ir jiems turi būti suteikta atsargiai.

  1. Sukūrėte saugos grupę (-ES) paskyroms, kurioms bus leidžiama naudoti pažeidžiamą tinklo registravimo saugų kanalą.

  2. Grupėje grupės strategija eikite į kompiuterio konfigūracija > "Windows" parametrai > saugos parametrai > vietinės strategijos > saugos parinktys

  3. "domeno valdiklio ieška: Leisti pažeidžiamiems "Netlogon Secure Channel Connections".

  4. Jei administratorius grupės arba jei bet kuri grupė nėra specialiai kuriama naudoti su šia grupės strategija, pašalinkite ją.

  5. Įtraukite saugos grupę, kuri specialiai sukurta naudoti su šia grupės strategija saugos apraše, kuriame yra teisė leisti. Pastabų "Nesuteikti" teisės veikia taip pat, kaip ir tuo atveju, jei paskyra nebuvo įtraukta, t. y. paskyrai nebus leidžiama daryti pažeidžiamų "Netlogon" saugių kanalų.

  6. Pridėjus saugos grupę (-ES), grupės strategija turi būti replikuojama į kiekvieną DC.

  7. Periodiškai stebėkite įvykius 5827, 5828 ir 5829, kad nustatytumėte, kurios paskyros naudoja pažeidžiamus saugiųjų kanalų ryšius.

  8. Įtraukite šias kompiuterio paskyras į saugos grupę (-ES), jei reikia. Geriausia praktika Naudokite grupės strategijos saugos grupes ir įtraukite paskyras į grupę, kad narystė būtų pakartota naudojant įprastą skelbimų replikavimą. Tai padeda išvengti dažnų grupės strategijos naujinimų ir replikavimo vėlavimo.

Kai bus pašalinti visi neatitinkantys įrenginiai, galite perkelti savo DCs į vykdymo režimą (žr. kitą skyrių).

Įspėjimas Jei norite, kad DCs naudotų pažeidžiamas jungtis, skirtas patikėjimo sąskaitoms pagal grupės strategiją, bus pažeidžiama miškų ataka. Patikėjimo abonementai paprastai vadinami patikimu domenu, pvz.: "DC" domenas – "a" yra pasitikėjimas, kai "b" domenas yra DC. Vidinė, kurioje yra "" domenas – "" yra "" patikimumo paskyra, pavadinta "domenas-b $", kuri nurodo domeno patikimumo objektą-b. Jei "DC" domenas – nori atskleisti mišką, kad būtų galima atakuoti, nes pažeidžiamas "Netlogon Secure Channel" ryšys iš domeno-b patikimumo paskyros, administratorius gali naudoti Add-adgroupmember – Identity "saugos grupės pavadinimas"-nariai "domenas-b $", kad įtrauktumėte patikimumo paskyrą į saugos grupę.

 

3a veiksmas: ĮGALINTI

Perėjimas prie vykdymo būdo prieš vasario 2021 vykdymo etapą

Pašalinus visus neatitinkančius įrenginius, įgalinant saugų RPC arba leidžiant pažeidžiamiems ryšiams su "" domeno valdikliu: Leisti pažeidžiamiems "Netlogon Secure Channel Connections" grupės strategijos, nustatykite "FullSecureChannelProtection" registro raktą į 1.

Pastabų Jei naudojate "domeno valdiklis: Leisti pažeidžiamiems "Netlogon Secure Channel Connections" grupės strategijosužtikrina, kad grupės strategija buvo pakartota ir pritaikyta visiems DCs prieš atliekant "FullSecureChannelProtection" registro raktą.

Įdiegus "FullSecureChannelProtection" registro raktą, DCs veiks vykdymo režimu. Šis parametrai reikalauja, kad visi įrenginiai, naudojantys "Netlogon" saugų kanalą:

Įspėjimas Trečiųjų šalių Klientai, kurie nepalaiko "Secure RPC" su "Netlogon" saugaus kanalo ryšių, bus atsisakyta, kai įdiegiamas DC vykdymo režimo registro raktas, kuris gali sužlugdyti gamybos paslaugas.

 

3b veiksmas: Vykdymo etapas

Įdiekite vasario 9, 2021 naujinimus

Diegiant naujinimus, išleistus vasario 9, 2021 ar naujesnėje versijoje, bus įjungtas DC vykdymo režimas. "DC" vykdymo režimas yra, kai visi tinklo įėjimo ryšiai būtini norint naudoti SAUGIĄJĄ RPC arba paskyra turi būti įtraukta į "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos. Šiuo metu "FullSecureChannelProtection" registro raktas nebereikalingas ir nebebus palaikomas.

"Domeno valdiklis: Leisti pažeidžiamiems tinklo įėjimo saugiems kanalo ryšiams "grupės strategija

Geriausia praktika – naudoti saugos grupes grupės strategijoje, kad narystė būtų pakartota naudojant įprastą skelbimų replikavimą. Tai padeda išvengti dažnų grupės strategijos naujinimų ir replikavimo vėlavimo.

Strategijos keliai ir parametrų pavadinimas

Aprašas

Strategijos kelyje: Kompiuterio konfigūracija > "Windows" parametrus > saugos parametrus > vietines strategijas > saugos parinktys

Parametrų pavadinimas: domeno valdiklis: Leisti pažeidžiamiems "Netlogon" saugių kanalo ryšių

Būtina paleisti iš naujo? Ne

Šis saugos parametras nustato, ar domeno valdiklis apeina saugų RPC, skirtą "Netlogon" saugų kanalo ryšį nurodytoms įrenginio paskyroms.

Ši strategija turėtų būti taikoma visiems miško domeno valdikliams, nes įgalinsite strategiją domeno valdikliuose OU.

Sukūrus pažeidžiamus ryšių sąrašą (leidžiamų sąrašą), sukonfigūruotas:

  • Leisti Domeno valdiklis leis nurodytai grupei/paskyroms naudoti "Netlogon" saugų kanalą be saugos RPC.

  • Atmesti Šis parametras sutampa su numatytuoju veikimu. Domeno valdiklyje reikės nurodytos grupės/paskyros, kad būtų galima naudoti "Netlogon" saugų kanalą su saugiu RPC.

Įspėjimas Įgalinus šią strategiją, bus atskleisti jūsų domeno prijungti įrenginiai ir jūsų "Active Directory" miškas, kurie gali kelti grėsmę. Ši strategija turėtų būti naudojama kaip laikina priemonė trečiųjų šalių įrenginiams, kai diegiate naujinimus. Kai trečiosios šalies įrenginys atnaujinamas, kad būtų palaikomas "Secure RPC" naudojimas su "Netlogon" saugiaisiais kanalais, paskyra turi būti pašalinta iš sąrašo pažeidžiamų ryšių kūrimas. Norėdami geriau suprasti, kaip sukonfigūruoti paskyras, kad būtų galima naudoti pažeidžiamus "Netlogon" saugų kanalo ryšį, apsilankykite https://go.microsoft.com/fwlink/?linkid=2133485.

Numatytuosius parametrus Ši strategija nesukonfigūruota. Nėra mechanizmų arba patikėjimo abonementų, kurie nėra aiškiai atleidžiami nuo "Secure RPC" su "Netlogon" saugiu kanalo ryšių vykdymu.

Ši strategija palaiko "Windows Server 2008 R2 SP1" ir naujesnėse versijose.

"Windows" įvykių žurnalo klaidos, susijusios su "CIVE-2020-1472"

Yra trys įvykių kategorijos:

1. Įvykiai, registruojami, kai ryšys uždraustas dėl pažeidžiamos "Netlogon" saugaus kanalo ryšio:

  • 5827 (mašininio abonemento) klaida

  • 5828 (patikimumo paskyros) klaida

2. Įvykiai, užregistruoti, kai ryšys leidžiamas, nes paskyra buvo įtraukta į "domeno valdiklis: Leisti pažeidžiamiems "Netlogon Secure Channel Connections" grupės strategijos:

  • 5830 (įrengimų abonementai) įspėjimas

  • 5831 (patikimumo abonementai) įspėjimas

3. Įvykiai, užregistruoti, kai leidimas yra leidžiamas pradiniame leidime, kuris bus atmestas, kai naudojamas DC vykdymo režimas:

  • 5829 (įrengimų abonementai) įspėjimas

Įvykio ID 5827

Įvykio ID 5827 bus užregistruojamas, kai pažeidžiamas "Netlogon" saugaus kanalo ryšys iš įrenginio abonemento.

Įvykių žurnalas

Sistema

Įvykio šaltinis

TINKLO registravimo

Įvykio ID

5827

Lygis

Klaida

Įvykio pranešimo tekstas

"Netlogon" tarnyba nesuteikė pažeidžiamos "Netlogon" saugaus kanalo ryšio iš kompiuterio paskyros.

Kompiuterio "SamAccountName":

Domenas:

Paskyros tipas:

Kompiuterio operacinė sistema:

Kompiuterio operacinės sistemos Komponavimo versija:

Kompiuterio operacinės sistemos pakeitimų paketas:

Jei reikia daugiau informacijos apie tai, kodėl buvo uždrausta, apsilankykite https://go.Microsoft.com/fwlink/?linkid=2133485.

 

Įvykio ID 5828

Įvykio ID 5828 bus užregistruojamas, kai pažeidžiamas "Netlogon" saugus kanalo ryšys iš patikos abonemento.

Įvykių žurnalas

Sistema

Įvykio šaltinis

TINKLO registravimo

Įvykio ID

5828

Lygis

Klaida

Įvykio pranešimo tekstas

"Netlogon" tarnyba nesuteikė pažeidžiamos "Netlogon" saugaus kanalo ryšio, naudodamas patikimumo paskyrą.

Paskyros tipas:

Patikimumo pavadinimas:

Patikimumo paskirtis:

Kliento IP adresas:

Jei reikia daugiau informacijos apie tai, kodėl buvo uždrausta, apsilankykite https://go.Microsoft.com/fwlink/?linkid=2133485.

 

Įvykio ID 5829

Įvykio ID 5829 bus užregistruojamas tik pirminio diegimo etapu, kai pažeidžiamas tinklo įėjimo saugiųjų kanalų ryšys iš kompiuterio paskyros.

Kai įdiegiamas DC vykdymo režimas arba pradėjus vykdymo etapą , kai pradedama diegti vasario 9 d., 2021 naujinimai, bus atsisakyta šių ryšių ir užregistruojamas įvykio ID 5827. Todėl svarbu stebėti įvykių 5829 pirminio diegimo etapu ir imtis veiksmų prieš vykdymą, siekiant išvengti pertrūkių.

Įvykių žurnalas

Sistemos

Įvykio šaltinis

TINKLO registravimo

Įvykio ID

5829

Lygio

Įspėjimas

Įvykio pranešimo tekstas

"Netlogon" tarnyba leidžia pažeidžiamas "Netlogon" saugų kanalo ryšį.  

Perspėjimas: Šis ryšys bus atmestas, kai bus išleistas vykdymo etapas. Norėdami geriau suprasti vykdymo etapą, apsilankykite https://go.Microsoft.com/fwlink/?linkid=2133485.  

Kompiuterio "SamAccountName":  

Domenas:  

Paskyros tipas:  

Kompiuterio operacinė sistema:  

Kompiuterio operacinės sistemos Komponavimo versija:  

Kompiuterio operacinės sistemos pakeitimų paketas:  

Įvykio ID 5830

Įvykio ID 5830 bus užregistruojamas, kai pažeidžiamas "Netlogon" saugaus kanalo įrenginio abonemento ryšį leidžia "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

Įvykių žurnalas

Sistema

Įvykio šaltinis

TINKLO registravimo

Įvykio ID

5830

Lygis

Įspėjimas

Įvykio pranešimo tekstas

"Netlogon" tarnyba leidžia pažeidžiamas "Netlogon" saugų kanalo ryšį, nes kompiuterio abonementas leidžiamas "domeno valdiklyje: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategija.

Perspėjimas: Naudojant pažeidžiamus "Netlogon" apsaugotus kanalus, atsiras "" domeno prijungti įrenginiai, kurie puola. Jei norite apsaugoti įrenginį nuo atakų, pašalinkite įrenginio paskyrą iš "domeno valdiklio: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategija, atnaujinus trečiosios šalies" Netlogon "klientą. Kad geriau suprastumėte, kaip konfigūruoti įrenginių paskyras, kad būtų galima naudoti pažeidžiamus tinklo įėjimo saugiųjų kanalų ryšius, apsilankykite https://go.Microsoft.com/fwlink/?linkid=2133485.

Kompiuterio "SamAccountName":

Domenas:

Paskyros tipas:

Kompiuterio operacinė sistema:

Kompiuterio operacinės sistemos Komponavimo versija:

Kompiuterio operacinės sistemos pakeitimų paketas:

 

Įvykio ID 5831

Įvykio ID 5831 bus užregistruojamas, kai pažeidžiamas "Netlogon" saugaus kanalo patikimumo paskyros ryšys leidžiamas pagal "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

Įvykių žurnalas

Sistema

Įvykio šaltinis

TINKLO registravimo

Įvykio ID

5831

Lygis

Įspėjimas

Įvykio pranešimo tekstas

"Netlogon" tarnyba leidžia pažeidžiamas "Netlogon" saugų kanalo ryšį, nes patikimumo abonementas leidžiamas "domeno valdiklyje: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategija.

Perspėjimas: Naudojant pažeidžiamus "Netlogon" apsaugotus kanalus, "Active Directory" miškai bus puolami. Norėdami apsaugoti savo "Active Directory" miškus nuo atakų, visi fondai turi naudoti saugų RPC su "Netlogon" saugiu kanalu. Pašalinkite patikimumo paskyrą iš "domeno valdiklio: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategija po trečiosios šalies domeno valdikliuose esančio" Netlogon "kliento atnaujinimo. Norėdami geriau suprasti, kaip galima konfigūruoti patikimumo paskyras, kad būtų galima naudoti pažeidžiamus tinklo įėjimo saugiųjų kanalų ryšius, apsilankykite https://go.Microsoft.com/fwlink/?linkid=2133485.

Paskyros tipas:

Patikimumo pavadinimas:

Patikimumo paskirtis:

Kliento IP adresas:

Vykdymo režimo registro reikšmė

įspėjimas jei netinkamai pakeisite registrą naudodami registro rengyklę arba kitu būdu, gali kilti rimtų problemų. Dėl šių problemų gali reikėti iš naujo įdiegti operacinę sistemą. "Microsoft" negali garantuoti, kad galima išspręsti šias problemas. Modifikuokite registrą savo pačių rizika. 

Rugpjūčio 11 d. 2020 naujinimai pristato toliau nurodytą registro parametrus, kad būtų galima įgalinti vykdymo režimą anksčiau. Tai bus įgalinta, neatsižvelgiant į registro parametrus vykdymo etape nuo vasario 9 d. 2021: 

Registro dalinis raktas

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Reikšmė

"FullSecureChannelProtection"

Duomenų tipas

REG_DWORD

Duomenys

1 – tai įgalino vykdymo režimą. DCs nepaneigia pažeidžiamų "Netlogon" saugių kanalo ryšių, išskyrus atvejus, kai paskyrą leidžia "" domeno valdiklio sąrašas Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.  

0 – DCs leis pažeidžiamiems "Netlogon" tinklo įėjimo saugiems kanalo ryšiams iš ne "Windows" įrenginių. Ši parinktį bus atsisakyta vykdymo etapo leidime.

Būtina paleisti iš naujo?

Ne

 

Trečiųjų šalių įrenginių, įgyvendinančių [MS-NRPC]: "Netlogon" nuotolinis protokolas

Visi trečiųjų šalių klientai arba serveriai turi naudoti saugiuosius RPC su "Netlogon" saugiu kanalu. Kreipkitės į įrenginio gamintoją (OEM) arba programinės įrangos tiekėjus, kad nustatytumėte, ar jų programinė įranga suderinama su naujausiu "Netlogon" nuotoliniu protokolu. 

Protokolo naujinimus galima rasti " Windows" protokolų dokumentacijos svetainėje

Dažnai užduodami klausimai (DUK)

  • "Windows & trečiųjų šalių domeno prijungti įrenginiai, kurie turi kompiuterio paskyras" Active Directory "(AD)

  • "Windows Server" & trečiųjų šalių domenų valdikliai patikimuose & pasitikėjimu grįstus domenus, kuriuose yra "" skelbimų patikimumo paskyros

Gali būti reikalavimų neatitinkančių trečiųjų šalių įrenginių. Jei trečiosios šalies sprendimas palaiko įrenginio paskyrą skelbime, kreipkitės į tiekėją, kad sužinotumėte, ar turite įtakos.

SKELBIMO ir SYSVOL replikavimo arba grupės strategijos taikomosios programos trikčių nustatymas autentifikacijos DC gali sukelti pakeitimus grupės strategijos "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos nedalyvauti ir dėl to paskyra nebus atmesta. 

Šie veiksmai gali padėti išspręsti problemą:

Pagal numatytuosius nustatymus palaikomas "Windows" versijos , kurios buvo visiškai atnaujintos, neturėtų naudoti pažeidžiamų "Netlogon" saugių kanalo ryšių. Jei "Windows" įrenginiui sistemos įvykių žurnale užregistruojamas įvykio ID 5827:

  1. Įsitikinkite, kad įrenginys naudoja palaikomas "Windows" versijas.

  2. Įsitikinkite, kad įrenginys visiškai atnaujinamas naudojant "Windows Update".

  3. Įsitikinkite, kad domeno narys: Skaitmeniniu būdu šifruoti arba pasirašyti saugaus kanalo duomenis (visada) nustatyta įgalinti GPO, susietame su OU visiems jūsų DCs, pvz., numatytuoju domeno valdikliu GPO.

Taip, jie turi būti atnaujinami, bet jie nėra specialiai pažeidžiami " Cive-2020-1472".

Ne, DCs yra vienintelis vaidmuo, kurį paveikė " Cive-2020-1472 " ir gali būti atnaujinta atskirai nuo ne "Windows" serverių ir kitų "Windows" įrenginių.

"Windows Server" 2008 SP2 nėra pažeidžiamas šiame konkrečiame "" "" "" "" "" "" "" "" "" ".

Taip, jums reikės Išplėstinio saugos naujinio (esu) , kad įdiegtumėte naujinimus 2020-1472 , skirtus "Windows Server 2008 R2 SP1".

"" Diegia "2020", "", "", "" ar naujesnės versijos naujinimus į visus jūsų aplinkoje esančius domeno valdiklius

Įsitikinkite, kad nė vienas iš įrenginių nėra įtrauktas į "domeno valdiklis: Leisti pažeidžiamiems tinklo įėjimo saugiems kanalo ryšiams "grupės strategija turi įmonės administratorių arba domeno administratorių privilegijuotas paslaugas, pvz., SCCM arba Microsoft Exchange.  Pastabų Gali būti, kad bet kuris "" leidžiamų įrenginių sąraše esantis įrenginys galės naudoti pažeidžiamas jungtis ir gali atskleisti jūsų aplinką atakoms.

Įdiegus naujinimus, kurie buvo išleisti rugpjūčio 11, 2020 arba naujesnėje versijoje domeno valdikliuose, apsaugomos "Windows" pagrįstos mašinos paskyros, pasitikėjimo paskyros ir domeno valdiklio paskyros. 

"Active Directory" kompiuterio paskyrų, skirtų domenui, prijungtiems prie trečiųjų šalių įrenginių, nėra apsaugotos, kol nediegiamas vykdymo režimas. Įrenginių paskyros taip pat neapsaugotos , jei jos įtraukiamos į " " domeno valdiklį: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

Įsitikinkite, kad visi domeno valdikliai jūsų aplinkoje yra įdiegę rugpjūčio 11, 2020 ar vėlesnius naujinimus.

Visų įrenginių tapatybes, kurios buvo įtrauktos į " " domeno valdiklį: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos bus pažeidžiama ataka.   

Įsitikinkite, kad visi domeno valdikliai jūsų aplinkoje yra įdiegę rugpjūčio 11, 2020 ar vėlesnius naujinimus. 

Įgalinkite vykdymo režimą, kad būtų galima neleisti pažeidžiamų ryšių iš reikalavimų neatitinkančių trečiųjų šalių įrenginių tapatybių.

Pastabų Įgalinus vykdymo režimą, bet kuris trečiosios šalies įrenginio tapatybes, kurios buvo įtrauktos į " " domeno valdiklį: Leisti pažeidžiamiems tinklo įėjimo saugiems kanalo ryšiams "grupės strategijos vis tiek bus pažeidžiamos ir gali leisti pažeidėjui neteisėtai pasiekti jūsų tinklą arba įrenginius.

Vykdymo režimas praneša domeno valdikliams, kad negalima leisti "Netlogon" ryšių iš įrenginių, kuriuose nėra "Secure RPC", išskyrus atvejus, kai ši įrenginio paskyra buvo įtraukta į "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

Norėdami gauti daugiau informacijos, žr. skyriaus sprendimo vykdymo būdas registro reikšmė .

Į grupės strategiją turi būti įtraukta tik įrenginių, kurių negalima saugiai padaryti Įgalinus saugų RPC "Netlogon" saugiajame kanale, paskyros. Rekomenduojame šiuos įrenginius padaryti suderinamu arba pakeisti šiais įrenginiais, kad apsaugotumėte aplinką.

Pažeidėjas gali perimti "Active Directory" įrenginio tapatybę bet kurioje kompiuterio paskyroje, įtrauktoje į grupės strategiją, o vėliau naudoti bet kokias teises, kurias turi įrenginio tapatybė.

Jei turite trečiosios šalies įrenginį, kuris nepalaiko "Netlogon" saugaus kanalo "Secure RPC" ir norite įgalinti vykdymo režimą, tada į grupės strategiją įtraukite įrenginio paskyrą tame įrenginyje. Tai nerekomenduojama ir gali palikti jūsų domeną galimai pažeidžiamoje būsenoje.  Rekomenduojama naudoti šią grupės strategiją, kad būtų galima atnaujinti arba pakeisti bet kokius trečiųjų šalių įrenginius, kad jie atitiktų.

Vykdymo režimas turėtų būti įgalintas kuo greičiau. Bet kuris trečiosios šalies įrenginys turės būti nagrinėjamas, kai jie atitinka poreikius, arba įtraukdami juos į "domeno valdiklis: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos. Pastabų Gali būti, kad bet kuris "" leidžiamų įrenginių sąraše esantis įrenginys galės naudoti pažeidžiamas jungtis ir gali atskleisti jūsų aplinką atakoms.

 

Terminų žodynas

Terminas

Aprašo

AD

"Active Directory"

DC

Domeno valdiklis

Vykdymo režimas

Registro raktą, kuris leidžia įgalinti vykdymo režimą iš anksto 2021 vasario 9 d.

Vykdymo etapas

Fazė nuo vasario 9 d., 2021 naujinimai, kai vykdymo režimas bus įgalintas visuose "Windows" domeno valdikliuose, neatsižvelgiant į registro parametrus. DCs gali nesuteikti pažeidžiamų ryšių iš visų reikalavimų neatitinkančių įrenginių, nebent jie būtų įtraukti į "" domeno valdiklį: Leisti pažeidžiamų "Netlogon" saugių kanalo ryšių "grupės strategijos.

Pradinė diegimo fazė

Fazė pradedant nuo rugpjūčio 11 d., 2020 naujinimai ir tęsiasi vėlesni naujinimai iki vykdymo etapo.

įrenginio paskyra

Dar vadinama "Active Directory" kompiuteriu arba kompiuteriniu objektu.  Žr. " MS-NPRC" žodynėlį , skirtą visiškam apibrėžimui.

MS-NRPC

"Microsoft Netlogon" nuotolinis protokolas

Nesuderinamas įrenginys

Nesuderinamas įrenginys yra toks, kuris naudoja pažeidžiamą "Netlogon" saugų kanalo ryšį.

RODC

tik skaityti skirtų domenų valdikliai

Pažeidžiamas ryšys

Pažeidžiamas ryšys yra tinklo įėjimo "Secure Channel" ryšys, kuriuo nenaudojamas saugus RPC.
Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×