Sākotnējās publicēšanas datums: 2025. gada 13. augusts
KB ID: 5066014
Šajā rakstā:
Kopsavilkums
CVE-2025-49716 pievēršas pakalpojuma neattīstības problēmai, kur attālie neautentificētie lietotāji var veikt attālās procedūras izsaukumu sēriju, kuras pamatā ir Netlogon — attālās procedūras izsaukumi, kas galu galā patērē visu domēna kontrollera (DC) atmiņu. Lai mazinātu šo ievainojamību, koda izmaiņas tika veiktas 2025. gada maija Windows drošība atjauninājumā Windows Server 2025 un 2025. gada jūlija Windows drošība Atjauninājumi visās pārējās servera platformās no Windows Server 2008SP2 uz Windows Server 2022, ieskaitot. Šajā atjauninājumā ir ietvertas drošības stingrās izmaiņas Microsoft RPC Netlogon protokols. Šīs izmaiņas uzlabo drošību, sasašaurinot piekļuves pārbaudes attālās procedūras izsaukuma (RPC) pieprasījumu kopas pārbaudei. Pēc šī atjauninājuma instalēšanas Active Directory domēnu kontrolleri vairs neļauj anonīmiem klientiem izsaukt dažus RPC pieprasījumus, izmantojot Netlogon RPC serveri. Šie pieprasījumi parasti ir saistīti ar domēna kontrollera atrašanās vietu.
Pēc šo izmaiņu var tikt ietekmēta & drukas pakalpojumu programmatūra, tostarp Skuja. Šī izmaiņa ir izlaista atjauninājumā. Papildinformāciju skatiet rakstā Zbana 4.22.3 — piezīmes par laidienu.
Lai pielāgotu scenārijus, kuros nevar atjaunināt ietekmēto trešās puses programmatūru, 2025. gada augusta atjauninājumā izlaidām papildu Windows drošība konfigurācijas iespējas. Šīs izmaiņas ievieš reģistra atslēgas pārslēgu starp noklusējuma ieviešanas režīmu, audita režīmu, kas reģistrēs izmaiņas, bet nebloķēs neautentificētus Netlogon RPC izsaukumus, un atspējoto režīmu (nav ieteicams).
Rīcība
Lai aizsargātu vidi un izvairītos no pārtraukumiem, vispirms atjauniniet visas ierīces, kurās tiek viesots Active Directory domēna kontrolleris vai LDS Server loma, instalējot jaunākos Windows atjauninājumus. Satura tīkli, kuru datu tipi ir 2025. gada 8. jūlijs vai jaunāka versija (vai Windows drošība Atjauninājumi Windows Server 2025 DC ar maija atjauninājumiem) pēc noklusējuma ir droši un neakceptē neautentificētus Netlogon tipa RPC zvanus pēc noklusējuma. Satura kodā, kuros ir 2025. gada 12. augusts vai jaunāka versija Windows drošība Atjauninājumi neakceptē neautentificētus Netlogon tipa RPC zvanus pēc noklusējuma, bet tos var konfigurēt īslaicīgi.
-
Pārraugiet savu vidi, lai meklētu piekļuves problēmas. Ja rodas kļūda, pārbaudiet, vai Netlogon RPC rūdīšanas izmaiņas ir saknes iemesls.
-
Ja ir instalēti tikai jūlija atjauninājumi, iespējojiet verbose Netlogon reģistrēšanu, izmantojot komandu "Nltest.exe /dbflag:0x2080ffff" un pēc tam pārraugiet iegūtos žurnālus ierakstiem, kas atkārtoti iespējo šo rindiņu. Lauki OpNum un Metode var atšķirties un atspoguļot darbību un RPC metodi, kas tika bloķēta:
23.06.10:50:39 [KRITISKI] [5812] NlRpcSecurityCallback: nesankcionēta RPC zvana noraidīšana no [IPAddr] OpNum:34 metode:DsrGetDcNameEx2
-
Ja ir instalēti augusta vai jaunāki Windows atjauninājumi, meklējiet Security-Netlogon 9015 jūsu DC, lai noteiktu, kādi RPC izsaukumi tiek noraidīti. Ja šie zvani ir kritiski svarīgi, varat īslaicīgi iestatīt DC audita režīmā vai atspējotajā režīmā, kad problēmu novēršanas laikā rodas problēmas.
-
Veiciet tādas izmaiņas, ka lietojumprogramma izmanto autentificētu Netlogon RPC zvanus, vai sazinieties ar programmatūras piegādātāju, lai iegūtu papildinformāciju.
-
-
Ja ievietosiet DC audita režīmā, pārraugiet savu Security-Netlogon 9016, lai noteiktu, kuri RPC izsaukumi tiks noraidīti, ja esat ieslēdzis ieviešanas režīmu. Pēc tam veiciet izmaiņas tā, ka lietojumprogramma izmanto autentificētus Netlogon RPC zvanus, vai sazinieties ar programmatūras piegādātāju, lai saņemtu papildinformāciju.
Piezīme.: Windows 2008 SP2 un Windows 2008 R2 serveros šie notikumi tiks skatīti sistēmas notikumu žurnālos kā Netlogon Events 5844 un 5845, kas paredzēts ieviešanas režīmam un audita režīmam.
Windows atjauninājumu hronometrāža
Šie Windows atjauninājumi tika izlaisti vairākos posmos:
-
Sākotnējā izmaiņa 2025 Windows Server gada 13. maijā (2025. gada 13. maijs) — sākotnējais atjauninājums, kas rūka pret neautentificētiem Netlogon veidotiem RPC izsaukumi, tika iekļauts 2025. gada Windows drošība maija atjauninājumā sistēmai Windows Server 2025.
-
Sākotnējās izmaiņas citās serveru platformās (2025. gada 8. jūlijs) — atjauninājumi, kas rūka pret neautentificētiem Netlogon rpc izsaukumus citām serveru platformām, tika iekļauti 2025. gada Windows drošība Atjauninājumi. jūlijā.
-
Audita režīma un atspējošanas režīma pievienošana (2025. gada 12. augusts) — pēc noklusējuma ieviešana ar audita vai atspējoto režīmu opciju tika iekļauta 2025. gada Windows drošība Atjauninājumi.
-
Audita režīma un atspējotā režīma (DISABLED Mode — TBD) noņemšana — vēlāk audita un atspējotie režīmi var tikt noņemti no OS. Šis raksts tiks atjaunināts, kad tiks apstiprināta papildinformācija.
Izvietošanas norādījumi
Ja izvietojat augusta Windows drošība Atjauninājumi un vēlaties konfigurēt datorus audita vai atspējošanas režīmā, izvietojiet tālāk esošo reģistra atslēgu ar atbilstošo vērtību. Restartēšana nav nepieciešama.
|
Ceļu |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Reģistra vērtība |
DCLocatorRPCSecurityPolicy |
|
Vērtības tips |
REG_DWORD |
|
Vērtības dati |
0 - Atspējots režīms1 - Audita režīms2 - Ieviešanas režīms (noklusējums) |
Piezīme.: Neautentificēti pieprasījumi tiks atļauti gan audita, gan atspējotā režīmā.
Tikko pievienoti notikumi
2025. gada 12. Windows drošība Atjauninājumi augustam tiks pievienotas arī jauni notikumu žurnāli Windows Server 2012 Windows Server 2022 domēnu kontrolleros:
|
Notikumu žurnāls |
Microsoft-Windows-Security-Netlogon/Operational |
|
Notikuma tips |
Informācija |
|
Notikuma ID |
9015 |
|
Notikuma teksts |
Netlogon noraidīja RPC zvanu. Politika ir ieviesta režīmā. Klienta informācija: Metodes nosaukums: %method% Metodes opnum: %opnum% Klienta adrese: <IP adrese> Klienta identitāte: <zvanītāja SID> Papildinformāciju skatiet rakstā https://aka.ms/dclocatorrpcpolicy. |
|
Notikumu žurnāls |
Microsoft-Windows-Security-Netlogon/Operational |
|
Notikuma tips |
Informācija |
|
Notikuma ID |
9016 |
|
Notikuma teksts |
Netlogon atļāva RPC zvanu, kas parasti tika noraidīts. Politika ir audita režīmā. Klienta informācija: Metodes nosaukums: %method% Metodes opnum: %opnum% Klienta adrese: <IP adrese> Klienta identitāte: <zvanītāja SID> Papildinformāciju skatiet rakstā https://aka.ms/dclocatorrpcpolicy. |
Piezīme.: Sistēmā Windows 2008 SP2 un Windows 2008 R2 serveros šie notikumi tiks skatīti sistēmas notikumu žurnālos kā Netlogon Events 5844 un 5845, tikai ieviešanas un audita režīmiem.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
DC, kas nav atjaunināti ar 2025. gada 8. jūlija Windows drošība Atjauninājumi vai jaunāku versiju, joprojām ļaus neautentificētus Netlogon tipa RPC izsaukumus & ne reģistrēt notikumus, kas saistīti ar šo ievainojamību.
DC, kas ir atjaunināti ar 2025. gada 8. jūliju Windows drošība Atjauninājumi neļaus neautentificētiem Netlogon rpc izsaukumus, bet nepieteiks notikumu, ja šāds zvans tiks bloķēts.
Pēc noklusējuma DC, kas tiek atjaunināti ar 2025. gada 12. augusta Windows drošība Atjauninājumi vai jaunāku versiju, neatļaus neautentificētus RPC zvanus, kuru pamatā ir Netlogon, un reģistrēs notikumu, kad šāds zvans tiek bloķēts.
Nē.
