Kopsavilkums
Office NETLOGON attālais protokols (tiek dēvēts arī par MS-NRPC) ir RPC interfeiss, kas tiek lietots tikai Domain-Joined ierīcēs. MS-NRPC ir iekļauta autentifikācijas metode un metode, kā izveidot NETLOGON drošo kanālu. Šie atjauninājumi ievieš norādīto NETLOGON klienta darbību, lai izmantotu drošo RPC ar NETLOGON drošo kanālu starp dalībnieku datoriem un Active Directory (AD) domēnu kontrolieriem (DC).
Šajā drošības atjauninājumā ir novērsta ievainojamība, aktivizējot drošo RPC, izmantojot līdzekli NETLOGON drošs kanāls pakāpeniskā laidienā, kas izskaidrots to atjauninājumu instalēšanas laikā, kas attiecas uz adrešu NETLOGON IEVAINOJAMĪBA CVE-2020-1472 . Lai nodrošinātu AD Forest aizsardzību, visiem DCs, ir jāatjaunina, jo tie nodrošinās drošu RPC ar tīkla NETLOGON drošo kanālu. Tas attiecas tikai uz lasāmiem domēnu kontrolieriem (RODC).
Lai iegūtu papildinformāciju par drošības problēmu, skatiet CVE-2020-1472.
Jāveic darbība
Lai aizsargātu vidi un novērstu dīkstāves, veiciet tālāk norādītās darbības.
Ņemiet vērā 1. darbība, instalējot atjauninājumus, kas izlaists 11. augusta 2020 vai jaunāku versiju, tiks aplūkota drošības problēma rīkā CVE-2020-1472 , kas paredzēta Active Directory domēniem un trastiem, kā arī Windows ierīcēm. Lai pilnībā mazinātu trešo pušu ierīču drošības problēmu, būs jāveic visas darbības.
Brīdinājums Sākot no 2021. februāra, tiks iespējoti izpildes režīmi visos Windows domēnu kontrolieros, un tie bloķē neaizsargātas ierīces. Šajā laikā jūs nevarēsit atspējot izpildes režīmu.
-
Atjauniniet domēna kontrolierus ar atjauninājumu, kas izlaists augusts 11, 2020 vai jaunāka versija.
-
Uzziniet , kuras ierīces padara neaizsargātus savienojumus, pārraugot notikumu žurnālus.
-
Adrese , kas nav saderīga, padarot neaizsargātus savienojumus.
-
Iespējojiet izpildes režīmu adresējiet CVE-2020-1472 savā vidē.
Ņemiet vērā Ja izmantojat Windows Server 2008 R2 SP1, jums ir nepieciešama paplašinātā drošības ATJAUNINĀJUMA (ESU) licence, lai veiksmīgi instalētu atjauninājumu, kas novērš šo problēmu. Papildinformāciju par ESU programmu skatiet rakstā bieži uzdotie jautājumi — paplašinātie drošības atjauninājumi.
Šajā rakstā:
-
Atjauninājums, kas attiecas uz adrešu NETLOGON ievainojamība CVE-2020-1472
-
Izvietošanas vadlīnijas — izvietojat atjauninājumus un ieviesiet atbilstību
-
"Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika
-
Windows notikumu žurnāla kļūdas, kas saistītas ar CVE-2020-1472
-
trešo pušu ierīces, kas īsteno [MS-NRPC]: NETLOGON attālais protokols
Atjauninājums, kas attiecas uz adrešu NETLOGON ievainojamība CVE-2020-1472
Atjauninājumi tiks izlaisti divos posmos. sākotnējo posmu atjauninājumiem, kas izlaisti vai pēc 11 augusta, 2020 un ieviešanas posma atjauninājumiem, kas izlaisti pakalpojumā vai pēc 2021. gada 9. februāra.
11. augusts, 2020 — sākotnējā izvietošanas fāze
Sākotnējā izvietošanas fāze sākas ar atjauninājumiem, kas izlaisti 11. augustā 2020, un turpina darbu ar jaunākajiem atjauninājumiem līdz izpildes posmam. Šie un vēlākie atjauninājumi veic izmaiņas NETLOGON protokolā, lai aizsargātu Windows ierīces pēc noklusējuma, reģistrē notikumus neatbilstošai ierīču noteikšanai un pievieno iespēju iespējot aizsardzību visām domēna savienotajām ierīcēm ar skaidriem izņēmumiem. Šis laidiens:
-
Nodrošina drošu RPC lietojumu mašīnu kontiem Windows ierīcēs.
-
Ievieš drošu RPC lietojumu trasta kontiem.
-
Nodrošina drošu RPC lietojumu visiem Windows un ne-Windows DCs.
-
Iekļauta jauna grupas politika, kas ļauj nesaderīgiem ierīču kontiem (tiem, kas izmanto neaizsargātus NETLOGON drošo kanālu savienojumus). Pat tad, ja DCs darbojas izpildes režīmā vai pēc izpildes posma sākuma, atļautajām ierīcēm netiks liegta savienojuma izveide.
-
FullSecureChannelProtection reģistra atslēga, lai iespējotu DC izpildes režīmu visiem datora kontiem (izpildes fāzē tiks atjaunināti DCS uz DC izpildes režīms).
-
Ietver jaunus notikumus, kad konti tiek noraidīti vai tiktu noraidīti DC izpildes režīmā (un tiks turpināti izpildes fāzē). Šie notikumu ID ir izskaidroti tālāk šajā rakstā.
Samazināšana ietver atjauninājuma instalēšanu visiem DCs un RODC, novērojot jaunus notikumus un risinot neatbilstošas ierīces, kas izmanto neaizsargātus NETLOGON drošo kanālu savienojumus. Datoru kontiem, kas neatrodas atbilstošās ierīcēs, var atļaut izmantot neaizsargātos NETLOGON drošo kanālu savienojumus; Tomēr tās ir jāatjaunina, lai atbalstītu drošu RPC pakalpojumā NETLOGON un kontu ieviestu, tiklīdz tas ir iespējams, lai novērstu uzbrukuma risku.
9. februāris, 2021 ieviešanas posms
9. februārī 2021. laidiens atzīmē pāreju uz izpildes posmu. Tagad DCs būs izpildes režīmā neatkarīgi no izpildes režīma reģistra taustiņa. Lai to paveiktu, visas sistēmas Windows un Windows, kas nav Windows ierīces, izmanto drošo RPC ar NETLOGON drošo kanālu vai skaidri atļaujiet kontu, pievienojot izņēmumu neatbilstošajai ierīcei. Šis laidiens:
-
Nodrošina drošu RPC lietojumu mašīnu kontiem ierīcēs, kas nav Windows ierīcēs, ja vien to neatļauj "domēna kontrolleris: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
-
Tiks noņemta notikuma ID 5829 reģistrēšana. Ņemot vērā, ka visi Neaizsargātie savienojumi ir noraidīti, tagad sistēmas notikumu žurnālā tiek rādīti tikai notikumu ID 5827 un 5828.
Izvietošanas vadlīnijas — izvietojat atjauninājumus un ieviesiet atbilstību
Sākotnējo izvietošanas posmu veidos šādas darbības:
-
Izvietojot 11. augusta atjauninājumusvisiem DCs mežā.
-
(a) pārrauga brīdinājuma notikumusun (b) darbojas katrā notikumā.
-
(a) kad visi brīdinājuma notikumi ir novērsti, pilnu aizsardzību var iespējot, izvietojot domēna izpildes režīmu. (b) visi brīdinājumi ir jāatrisina pirms 9. februāra 2021 izpildes posma atjauninājuma.
1. darbība. ATJAUNINĀT
Izvietot augusts 11, 2020 atjauninājumi
Izvietojiet 11. augusta atjauninājumus visiem piemērojamajiem domēnu kontrolieriem (DCs) mežā, tostarp tikai lasāmiem domēnu kontrolieriem (RODC). Pēc tam, kad izvietojat šo atjauninājumu Patched DCs, tiks:
-
Sāciet ieviest drošu RPC lietojumu visiem Windows ierīču kontiem, uzticamības kontiem un visiem DCs.
-
Žurnāla notikumu ID 5827 un 5828 sistēmas notikumu žurnālā, ja ir liegta savienojuma izveide.
-
Žurnāla notikumu ID 5830 un 5831 sistēmas notikumu žurnālā, ja savienojumi ir atļauti, izmantojot "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
-
Žurnāla notikuma ID 5829 sistēmas notikumu žurnālā, ja ir atļauta neaizsargāts NETLOGON drošs kanālu savienojums. Šīs norises ir jāizskata pirms domēna izpildes režīma konfigurēšanas vai pirms izpildes posma sākuma 2021. februārī.
2a. darbība. meklēšana
Nesaderīgu ierīču noteikšana, izmantojot notikuma ID 5829
Pēc 11. augusta, 2020 atjauninājumi ir tikuši izmantoti DCs, notikumus var apkopot sadaļā notikumu žurnāli, lai noteiktu, kuras ierīces jūsu vidē izmanto neaizsargātos NETLOGON drošo kanālu savienojumus (kas tiek dēvēti par nesaderīgām ierīcēm šajā rakstā). Monitors ar ielāpiem, kas paredzēti notikuma ID 5829 notikumiem. Notikumos būs iekļauta atbilstošā informācija, lai identificētu nesaderīgām ierīces.
Lai pārraudzītu notikumus, izmantojiet pieejamo notikumu pārraudzības programmatūru vai skriptu, lai pārraudzītu jūsu DCs. Piemēram, skripts, ko varat pielāgot savai videi, skatiet rakstu skripts, kas palīdz pārraudzīt, vai notikumu ID ir saistīti ar NETLOGON atjauninājumiem, kas attiecas uz CVE-2020-1472
2. darbība. ADRESE
Pasākumu identifikatoru 5827 un 5828 adresēšana
Pēc noklusējuma atbalstītajās Windows versijās , kas ir pilnībā atjauninātas, nevajadzētu izmantot neaizsargātos NETLOGON drošo kanālu savienojumus. Ja kāda no šīm darbībām ir reģistrēta sistēmas notikumu žurnālā Windows ierīcei:
-
Pārbaudiet, vai ierīcē darbojas atbalstītas Windows versijas.
-
Pārliecinieties, vai ierīce ir pilnībā atjaunināta.
-
Pārbaudiet, vai domēna dalībnieks: Ciparparaksta pievienošana vai parakstīšana droša kanāla dati (vienmēr) ir iestatīts kā iespējots.
Ja neizmantojat Windows ierīces, kas darbojas kā DC, šie notikumi tiks reģistrēti sistēmas notikumu žurnālā, ja izmantosit neaizsargātus NETLOGON drošo kanālu savienojumus. Ja viens no šiem notikumiem ir reģistrēts:
-
Ieteicams Darbs ar ierīces ražotāju (OEM) vai programmatūras piegādātāju, lai iegūtu atbalstu drošo RPC ar NETLOGON Secure Channel
-
Ja neatbilstošais DC atbalsta drošo RPC ar NETLOGON drošo kanālu, pēc tam iespējojiet drošo RPC pakalpojumā DC.
-
Ja neatbilstošais DC pašlaik neatbalsta drošo RPC, darbs ar ierīces ražotāju (OEM) vai programmatūras piegādātāju, lai saņemtu atjauninājumu, kas atbalsta drošo RPC ar NETLOGON drošo kanālu.
-
Pensionējoties neatbilstošais DC.
-
-
Neaizsargāts Ja neatbilstīgs DC nevar atbalstīt drošu RPC ar NETLOGON drošu kanālu pirms DCs izpildes režīma, pievienojiet DC, izmantojot "domēna kontrolleris: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika aprakstīta tālāk.
Brīdinājums Ļaujot DCs izmantot neaizsargātus savienojumus, izmantojot grupas politiku, padarīs meža neaizsargātu pret uzbrukumiem. Beigu mērķis ir risināt un noņemt visus kontus no šīs grupas politikas.
Pasākumu 5829
Notikuma ID 5829 tiek ģenerēts, ja sākotnējā izvietošanas fāzē ir atļauta neaizsargāta savienojuma izveide. Šie savienojumi tiks noraidīti, ja DCs būs izpildes režīmā. Šajos notikumos pievērsiet uzmanību datora nosaukumam, domēnu un OS versijām, kas noteiktas, lai noteiktu nesaderīgām ierīces un to, kā tās ir jārisina.
Veidus, kā novērst ierīces, kas nav saderīgas.
-
Ieteicams Sadarbojieties ar ierīces ražotāju (OEM) vai programmatūras piegādātāju, lai saņemtu atbalstu drošo RPC ar NETLOGON drošo kanālu:
-
Ja neatbilstošā ierīce atbalsta drošo RPC ar NETLOGON drošo kanālu, pēc tam iespējojiet drošo RPC ierīcē.
-
Ja neatbilstoša ierīce pašlaik neatbalsta drošo RPC ar NETLOGON drošo kanālu, sadarbojieties ar ierīces ražotāju vai programmatūras piegādātāju, lai saņemtu atjauninājumu, kas nodrošina drošu RPC ar iespējoto drošības kanālu NETLOGON.
-
Noejiet neatbilstošā ierīcē.
-
-
Neaizsargāts Ja neatbilstoša ierīce nevar atbalstīt drošu RPC ar NETLOGON drošo kanālu, pirms DCs ir izpildes režīmā, pievienojiet ierīci, izmantojot "domēna kontrolleris: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika aprakstīta tālāk.
Brīdinājums Atļaujot ierīču kontiem izmantot neaizsargātus savienojumus, izmantojot grupas politiku, šie AD konti tiks pakļauti riskam. Beigu mērķis ir risināt un noņemt visus kontus no šīs grupas politikas.
Neaizsargātu savienojumu izveide no trešo pušu ierīcēm
Izmantojiet "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika, lai pievienotu neatbilstīgus kontus. To var uzskatīt tikai par īstermiņa līdzekli, līdz tiek novērstas neatbilstošās ierīces, kā aprakstīts iepriekš. Ņemiet vērā Atļaujot neaizsargātiem savienojumiem no nesaderīgām ierīcēm, var būt nezināma ietekme uz drošību, un tās ir jāatļauj piesardzīgi.
-
Izveidoja drošības grupu (as) kontiem, kuriem būs atļauts izmantot neaizsargātu NETLOGON drošo kanālu.
-
Grupas politikā atveriet datora konfigurāciju > Windows iestatījumi > drošības iestatījumi > Lokālās politikas > drošības opcijas
-
Meklējiet "Domain Controller: Atļaujiet aizsargātā NETLOGON drošo kanālu savienojumi ".
-
Ja administratoru grupa vai grupa, kas nav īpaši izveidota lietošanai ar šīs grupas politiku, pastāv, noņemiet to.
-
Pievienojiet drošības grupai, kas ir īpaši izveidota lietošanai kopā ar šo grupas politiku, uz drošības deskriptoru ar atļauju "atļaut". Ņemiet vērā "Liegšanas" atļaujas darbojas tāpat kā tad, ja konts nav pievienots, t.i., kontiem nebūs atļauts padarīt neaizsargātus NETLOGON drošus kanālus.
-
Pēc tam, kad ir pievienota drošības grupa (s), grupas politika ir jāreplicē katram DOMĒNAm.
-
Periodiski, pārraugiet notikumus 5827, 5828 un 5829, lai noteiktu, kuri konti izmanto neaizsargātus drošo kanālu savienojumus.
-
Pēc nepieciešamības pievienojiet šo mašīnu kontu drošības grupai (ām). Vislabākā prakse Izmantojiet grupas politikas drošības grupas un pievienojiet grupai kontus, lai dalība tiktu replicēta, izmantojot parastu AD replicēšanu. Tādējādi tiek novērsti bieži sastopami grupas politikas atjauninājumi un replicēšanās aizkaves.
Kad ir novērsta visu neatbilstošo ierīču darbība, varat pārvirzīt savu DCs uz izpildes režīmu (skatiet nākamo sadaļu).
Brīdinājums Atļaujot DCs izmantot neaizsargātus savienojumus trasta kontiem, izmantojot grupas politiku, padarīs mežu neaizsargātu pret uzbrukumiem. Trasta konti parasti ir nosaukti pēc uzticama domēna, piemēram: Domēna DC domēnā — a ir uzticamība domēnā, kas atrodas domēnā b. Iekšēji domēna domēnam, kas atrodas domēnā, ir trasta konts "Domain-b $", kas apzīmē uzticamības objektu domēnam-b. Ja domēna KONTROLLERis, kas tiek izmantots, lai atklātu meža uzbrukumu, atļaujot aizsargātā NETLOGON drošo kanālu savienojumus no domēna-b uzticamības konta, administrators var izmantot ADD-adgroupmember — Identity "drošības grupas nosaukums" — dalībnieki "domēns-b $", lai pievienotu uzticamības kontu drošības grupai.
3. darbība. IESPĒJOŠANA
Pāreja uz izpildes režīmu pirms 2021. gada februāra izpildes posma
Pēc tam, kad visas neatbilstošās ierīces ir novērstas, vai nu iespējojot drošu RPC, vai arī atļaujot neaizsargātiem savienojumiem ar "domēna kontrolleri: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika, iestatiet FullSecureChannelProtection reģistra atslēgā 1.
Ņemiet vērā Ja izmantojat "domēna kontrolleris: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika, pārliecinieties, vai grupas politika ir replicēta un lietota visiem DCs pirms FullSecureChannelProtection reģistra taustiņa iestatīšanas.
Kad ir izvietota FullSecureChannelProtection reģistra atslēga, DCs būs izpildes režīmā. Šis iestatījums nosaka, ka visas ierīces, kas izmanto NETLOGON drošu kanālu, vai nu:
-
Izmantojiet drošo RPC.
-
Ir atļauti "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
Brīdinājums Trešo pušu klienti, kas neatbalsta drošu RPC ar NETLOGON drošo kanālu savienojumiem, tiks noraidīti, ja tiek izvietota domēna izpildes režīma reģistra atslēga, kas var traucēt ražošanas pakalpojumus.
3. darbība. Ieviešanas posms
Izvietot februāris 9, 2021 atjauninājumi
Izvietojot atjauninājumus, kas tiek izlaisti 9. februārī, 2021 vai jaunāku versiju, tiks ieslēgta programma DC Enforcement mode. DC izpildes režīms ir tad, ja visi NETLOGON savienojumi ir nepieciešami, lai izmantotu drošo RPC vai kontam ir jābūt pievienotam "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. Pašlaik FullSecureChannelProtection reģistra atslēga vairs nav nepieciešama, un tā vairs netiks atbalstīta.
"Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika
Vislabākā prakse ir izmantot grupas politikas drošības grupas, lai dalībnieki tiktu replicēti, izmantojot parastu AD replicēšanu. Tādējādi tiek novērsti bieži sastopami grupas politikas atjauninājumi un replicēšanās aizkaves.
|
Politikas ceļš un iestatījuma nosaukums |
Apraksts |
|
Politikas ceļš: Datora konfigurācija > Windows iestatījumi > drošības iestatījumi > Lokālās politikas > drošības opcijas Vai nepieciešama atsāknēšana? Nē |
Šis drošības iestatījums nosaka, vai Domain Controller apiet Secure RPC for NETLOGON drošo kanālu savienojumi noteiktiem datora kontiem. Šī politika ir jāattiecina uz visiem domēnu kontrolieriem mežā, iespējojot politiku domēna kontrolieriem OU. Kad ir konfigurēts saraksts izveidot neaizsargātos savienojumus (atļauto sarakstu):
Brīdinājums Iespējojot šo politiku, tiks pakļautas jūsu domēnam piesaistītajām ierīcēm un jūsu aktīvajam direktorija mežam, kas tās varētu pakļaut riskam. Šī politika ir jāizmanto kā pagaidu pasākums trešo pušu ierīcēm, kad izvietojat atjauninājumus. Kad trešās puses ierīce ir atjaunināta uz atbalstu, izmantojot drošo RPC ar NETLOGON drošo kanālu, konts ir jānoņem no saraksta izveidot Neaizsargātie savienojumi. Lai labāk izprastu kontu konfigurēšanas risku, kas ļauj izmantot neaizsargātos NETLOGON drošo kanālu savienojumus, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2133485. Noklusējuma Šī politika nav konfigurēta. Neviens aparāts vai trasta konts nav nepārprotami atbrīvots no droša RPC ar NETLOGON drošo kanālu savienojumu ieviešanu. Šī politika tiek atbalstīta operētājsistēmā Windows Server 2008 R2 SP1 un jaunākās versijās. |
Windows notikumu žurnāla kļūdas, kas saistītas ar CVE-2020-1472
Pastāv trīs pasākumu kategorijas:
1. Notikumi, kas tiek reģistrēti, kad savienojums ir noraidīts, jo neaizsargāts NETLOGON drošs kanāla savienojums tika mēģināts:
-
5827 (datora konti) kļūda
-
5828 (trasta konti) kļūda
2. Notikumi, kas tiek reģistrēti, kad savienojums ir atļauts, jo konts ir pievienots "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika:
-
5830 (datora konti) brīdinājums
-
5831 (trasta konti) brīdinājums
3. Notikumi, kas tiek reģistrēti, kad sākotnējā laidienā ir atļauta savienojuma izveide, kas tiks noraidīts DC izpildes režīmā:
-
5829 (datora konti) brīdinājums
Notikuma ID 5827
Notikuma ID 5827 tiks reģistrēts, ja tiek noraidīts neaizsargāts NETLOGON drošs kanāla savienojums no datora konta.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5827 |
|
Līmenis |
Kļūda |
|
Notikuma ziņojuma teksts |
Pakalpojums NETLOGON noraidīja neaizsargātu NETLOGON drošu kanālu savienojumu no datora konta. Machine SamAccountName: Domēns: Konta tips: Datora operētājsistēma: Datora operētājsistēmas būvējums: Datora operētājsistēmas servisa pakotne: Lai iegūtu papildinformāciju par to, kāpēc tas bija noraidīts, apmeklējiet vietni https://go.Microsoft.com/fwlink/?linkid=2133485. |
Notikuma ID 5828
Notikuma ID 5828 tiks reģistrēts, ja neaizsargāts NETLOGON drošs kanāla savienojums no uzticamības konta ir noraidīts.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5828 |
|
Līmenis |
Kļūda |
|
Notikuma ziņojuma teksts |
Netlogon pakalpojums noraidīja neaizsargātu NETLOGON drošo kanālu savienojumu, izmantojot uzticamības kontu. Konta tips: Uzticamības nosaukums: Uzticamības mērķis: Klienta IP adrese: Lai iegūtu papildinformāciju par to, kāpēc tas bija noraidīts, apmeklējiet vietni https://go.Microsoft.com/fwlink/?linkid=2133485. |
Notikuma ID 5829
Notikuma ID 5829 tiks reģistrēts tikai sākotnējā izvietošanas fāzē, ja ir atļauta neaizsargāts NETLOGON drošs kanāla savienojums no datora konta.
Kad tiek izvietots DC izpildes režīms vai pēc izpildes posma sākuma, izvietojot 9. februāra 2021 atjauninājumus, šie savienojumi tiks noraidīti, un tiks reģistrēts notikuma ID 5827. Šī iemesla dēļ ir svarīgi pārraudzīt notikumu 5829 sākotnējā izvietošanas posmā un darboties pirms izpildes posma, lai izvairītos no dīkstāves.
|
Notikumu žurnāls |
Sistēmas |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5829 |
|
Līmenī |
Brīdinājums |
|
Notikuma ziņojuma teksts |
Netlogon pakalpojums ļāva neaizsargātam NETLOGON drošo kanālu savienojumam. Uzmanību! Šis savienojums tiks noraidīts, tiklīdz tiks izlaists izpildes posms. Lai labāk izprastu izpildes posmu, apmeklējiet vietni https://go.Microsoft.com/fwlink/?linkid=2133485. Machine SamAccountName: Domēns: Konta tips: Datora operētājsistēma: Datora operētājsistēmas būvējums: Datora operētājsistēmas servisa pakotne: |
Notikuma ID 5830
Notikuma ID 5830 tiks reģistrēts, ja neaizsargāts NETLOGON Secure Channel Machine konta savienojums ir atļauts, "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5830 |
|
Līmenis |
Brīdinājums |
|
Notikuma ziņojuma teksts |
Netlogon pakalpojums ļāva neaizsargātam NETLOGON drošo kanālu savienojumam, jo datora konts ir atļauts domēna kontrollerī: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. Uzmanību! Izmantojot neaizsargātus NETLOGON drošos kanālus, būs pieejamas domēna Savienotās ierīces, lai uzbruktu. Lai aizsargātu ierīci pret uzbrukumiem, noņemiet datora kontu no "domēna kontrolleris: Atļaujiet aizsargātā NETLOGON drošo kanālu savienojumi "grupas politika pēc tam, kad trešās puses NETLOGON klients ir atjaunināts. Lai labāk izprastu risku konfigurēt mašīnu kontus tā, lai tiktu atļauts izmantot neaizsargātos NETLOGON drošo kanālu savienojumus, apmeklējiet vietni https://go.Microsoft.com/fwlink/?linkid=2133485. Machine SamAccountName: Domēns: Konta tips: Datora operētājsistēma: Datora operētājsistēmas būvējums: Datora operētājsistēmas servisa pakotne: |
Notikuma ID 5831
Notikuma ID 5831 tiks reģistrēts, ja "domēna kontrolleris ir atļāvis neaizsargāts NETLOGON Secure Channel Trust konta savienojums. Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma avots |
NETLOGON |
|
Notikuma ID |
5831 |
|
Līmenis |
Brīdinājums |
|
Notikuma ziņojuma teksts |
Netlogon pakalpojums ļāva neaizsargātam NETLOGON drošo kanālu savienojumam, jo uzticamības konts ir atļauts domēna kontrollerī: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. Uzmanību! Izmantojot neaizsargātus NETLOGON drošos kanālus, tiks eksponēti Active Directory meži, lai uzbruktu. Lai aizsargātu Active Directory mežus pret uzbrukumu, visiem trestiem ir jāizmanto drošs RPC, izmantojot drošības kanālu NETLOGON. Uzticamības konta noņemšana no Domain Controller: Atļaujiet aizsargātā NETLOGON drošo kanālu savienojumi "grupas politika pēc tam, kad trešās puses NETLOGON klients domēna kontrolieri ir atjaunināti. Lai labāk izprastu uzticamības kontu konfigurēšanas risku, kas ļauj izmantot neaizsargātos NETLOGON drošo kanālu savienojumus, apmeklējiet https://go.Microsoft.com/fwlink/?linkid=2133485. Konta tips: Uzticamības nosaukums: Uzticamības mērķis: Klienta IP adrese: |
Parāda piedziņas režīma reģistra vērtība
Ja nepareizi modificējat reģistru, izmantojot reģistra redaktoru vai citu paņēmienu, var rasties nopietnas problēmas ar u brīdinājumu . Šo problēmu novēršanai var būt atkārtoti jāinstalē operētājsistēma. Korporācija Microsoft nevar garantēt, ka šīs problēmas varēs novērst. Modificējiet reģistru atbilstoši savam riskam.
11. augusta 2020 atjauninājumi ievieš tālāk norādīto reģistra iestatījumu, lai iespējotu izpildes režīmu agrāk. Tas tiks iespējots neatkarīgi no reģistra iestatījuma izpildes fāzē, sākot no 2021. februāra 9. februāra.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Vērtība |
FullSecureChannelProtection |
|
Datu tips |
REG_DWORD |
|
Dati |
1. Tas nodrošina izpildes režīmu. DCs noliegs neaizsargātos NETLOGON drošo kanālu savienojumus, ja vien konts nav atļauts, izmantojot "domēna kontrollerī izveidot neaizsargātu savienojumu sarakstu: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. 0 – DCs nodrošinās ievainojamu NETLOGON drošo kanālu savienojumus no ierīcēm, kas nav Windows. Šī opcija tiks novecojusi izpildes fāzes laidienā. |
|
Vai nepieciešama atsāknēšana? |
Nē |
Trešo pušu ierīces, kas īsteno [MS-NRPC]: NETLOGON attālais protokols
Visiem trešo pušu klientiem vai serveriem jāizmanto drošs RPC ar drošo kanālu NETLOGON. Lūdzu, sazinieties ar ierīces ražotāju (OEM) vai programmatūras piegādātājiem, lai noteiktu, vai viņu programmatūra ir saderīga ar jaunāko NETLOGON attālo protokolu.
Protokolu atjauninājumi ir atrodami Windows protokola dokumentācijas vietnē.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
-
Windows & trešo pušu domēnu Savienotās ierīces, kurās ir datora konti pakalpojumā Active Directory (AD)
-
Windows Server & trešo pušu domēnu kontrolleri uzticamos & uzticamības domēnos, kuros ir uzticamības konti pakalpojumā AD
Trešo pušu ierīces, iespējams, nav saderīgas. Ja jūsu trešo pušu risinājumā tiek uzturēts datora konts AD, sazinieties ar pārdevēju, lai noteiktu, vai jums ir ietekme.
Aizkaves AD un SYSVOL replicēšanā vai grupas politikas lietojumprogrammu kļūmju autentifikācijas domēnā var izraisīt izmaiņas grupas politikas "domēna kontrollerī: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika, lai netiktu kavēts, un rezultāts konta noliegšanai.
Tālāk norādītās darbības var palīdzēt novērst problēmu.
-
Ja esat konfigurējis politiku, lai tajā ietilptu grupa un veiktas grupas dalības izmaiņas konta pievienošanai, pārbaudiet, vai DC, kuram tika liegta savienojuma darbība, ir replicējusi grupas dalības izmaiņas lokāli. Ņemiet vērā Nav ieteicams pievienot kontus tieši grupas politikai.
-
Ja veicāt izmaiņas politikā un pievienojis jaunu kontu vai jaunu grupu, pārbaudiet, vai politikas izmaiņas tiek replicētas un lietotas: Komandu izpilde gpupdate/Force un gpresult .
-
Papildinformāciju par problēmu novēršanu grupas politikas lietojumprogrammā un atkarīgajiem saistītajiem komponentiem skatiet tālāk norādītās darbības.
Pēc noklusējuma atbalstītajās Windows versijās , kas ir pilnībā atjauninātas, nevajadzētu izmantot neaizsargātos NETLOGON drošo kanālu savienojumus. Ja Windows ierīces sistēmas notikumu žurnālā ir reģistrēts notikuma ID 5827, veiciet tālāk norādītās darbības.
-
Pārbaudiet, vai ierīcē darbojas atbalstītas Windows versijas.
-
Pārliecinieties, vai ierīce ir pilnībā atjaunināta, izmantojot Windows Update.
-
Pārbaudiet, vai domēna dalībnieks: Digitāli šifrējiet vai parakstāt drošu kanālu datus (vienmēr) ir iestatīts kā iespējots GPO, kas saistīts ar OU visiem jūsu DCs, piemēram, noklusējuma domēnu kontrolleru GPO.
Jā, tie ir jāatjaunina, bet tie nav īpaši aizsargāti pret CVE-2020-1472.
Nē, DCs ir vienīgā loma, ko ietekmē CVE-2020-1472 , un to var atjaunināt neatkarīgi no Windows serveriem, kas nav DC, un citās Windows ierīcēs.
Windows Server 2008 SP2 nav pakļauta šai konkrētajai CVE, jo tā neizmanto AES drošo RPC.
Jā, jums būs nepieciešams paplašinātais drošības atjauninājums (ESU) , lai instalētu atjauninājumus adresē CVE-2020-1472 darbam ar Windows Server 2008 R2 SP1.
Izvietojot 11 August 11, 2020 vai jaunākus atjauninājumus visiem domēnu kontrolieriem jūsu vidē.
Pārliecinieties, vai nav pievienotas ierīces, kas pievienotas "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika ir uzņēmuma administratora vai domēnu administrēšanas privilēģijas pakalpojumi, piemēram, SCCM vai Microsoft Exchange. Ņemiet vērā Jebkurai ierīcei atļauto vienumu sarakstā tiks atļauts izmantot neaizsargātus savienojumus, un tas var izraisīt jūsu vidi.
Instalējot atjauninājumus, kas izlaisti 11. augustā, 2020 vai jaunāku versiju domēnu kontrolieri aizsargā Windows bāzes datora kontus, uzticamības kontus un domēnu kontrollera kontus.
Active Directory Machine konti domēnam pievienojās trešās puses ierīces nav aizsargātas, līdz tiek izvietots izpildes režīms. Datora konti netiek aizsargāti arī tad, ja tiek pievienoti "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
Nodrošiniet, lai visi domēna kontrolieri jūsu vidē būtu instalējuši 11. augusta, 2020 vai jaunākas versijas atjauninājumus.
Jebkuras ierīces identitātes, kas pievienotas "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika būs neaizsargāts pret uzbrukumiem.
Nodrošiniet, lai visi domēna kontrolieri jūsu vidē būtu instalējuši 11. augusta, 2020 vai jaunākas versijas atjauninājumus.
Iespējojiet izpildes režīmu, lai liegtu neaizsargātiem savienojumiem no neatbilstošām trešo pušu ierīču identitātēm.
Ņemiet vērā Ja ir iespējots izpildes režīms, visas trešo pušu ierīču identitātes, kas ir pievienotas "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika joprojām būs neaizsargāti un var atļaut uzbrucējam nesankcionētu piekļuvi jūsu tīklam vai ierīcēm.
Piespiedu izpildes režīmā domēna kontrolieriem tiek norādīts, ka nav atļauti NETLOGON savienojumi ierīcēs, kas neizmanto drošo RPC, ja vien šis ierīces konts nav pievienots "Domain Controller: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika.
Papildinformāciju skatiet sadaļā reģistra vērtība izpildes režīmam .
Tikai datora konti ierīcēs, ko nevar padarīt drošus, iespējojot drošo RPC pakalpojumā NETLOGON drošo kanālu, ir jāpievieno grupas politika. Ieteicams padarīt šīs ierīces saderīgas vai aizstāt šīs ierīces, lai aizsargātu jūsu vidi.
Uzbrucējs var pārņemt Active Directory datora identitāti jebkuram datora kontam, kas pievienots grupas politikai, un pēc tam izmantot visas atļaujas, kas piemīt datora identitātei.
Ja jums ir trešās puses ierīce, kas neatbalsta drošu RPC, kas paredzēts NETLOGON drošo kanālu, un jūs vēlaties iespējot izpildes režīmu, tad ierīces konts šai ierīcei ir jāpievieno grupas politikai. Tas nav ieteicams, un tas var atstāt jūsu domēnu potenciāli aizsargātā stāvoklī. Ir ieteicams izmantot šo grupas politiku, lai dotu laiku atjaunināt vai aizstāt jebkuras trešo pušu ierīces, lai tās padarītu saderīgas.
Ieviešanas režīmam ir jābūt iespējotam, tiklīdz tas ir iespējams. Jebkura trešās puses ierīce būs jārisina, padarot to atbilstošu vai pievienojot "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. Ņemiet vērā Jebkurai ierīcei atļauto vienumu sarakstā tiks atļauts izmantot neaizsargātus savienojumus, un tas var izraisīt jūsu vidi.
Glosārijs
|
Termiņa |
Definīciju |
|
AD |
Active Directory |
|
DC |
Domēna kontrolleris |
|
Reģistra atslēga, kas ļauj iespējot izpildes režīmu pirms 2021. gada 9. februāra. |
|
|
Fāze, sākot no 9. februāra, 2021 atjauninājumi, kur tiks iespējots izpildes režīms visiem Windows domēnu kontrolieriem neatkarīgi no reģistra iestatījuma. DCs noliegs savienojumus no visām neatbilstošajām ierīcēm, izņemot gadījumus, kad tie tiek pievienoti "domēna kontrollerim: Atļaut neaizsargātiem NETLOGON drošo kanālu savienojumiem "grupas politika. |
|
|
Fāze, sākot ar 11. augustu, 2020 atjauninājumi un turpinās ar vēlākiem atjauninājumiem līdz izpildes posmam. |
|
|
datora konts |
Tiek dēvēts arī par Active Directory datoru vai datora objektu. Lūdzu, skatiet NPRC glosāriju , lai saņemtu pilnu definīciju. |
|
Microsoft NETLOGON attālais protokols |
|
|
Neatbilstoša ierīce |
Neatbilstoša ierīce ir tāda, kas izmanto neaizsargātu NETLOGON drošo kanālu savienojumu. |
|
RODC |
tikai lasāmi domēnu kontrolleri |
|
Neaizsargāts savienojums |
Neaizsargāts savienojums ir NETLOGON drošs kanāla savienojums, kas neizmanto drošo RPC. |
