Opprinnelig publiseringsdato: 13. august 2025 kl.
KB-ID: 5066014
I denne artikkelen:
Oppsummering
CVE-2025-49716 løser et sikkerhetsproblem som kan føre til tjenestenekt der eksterne ikke-godkjente brukere kan foreta en rekke Netlogon-baserte eksterne prosedyrekall (RPC) som til slutt bruker alt minne på en domenekontroller (DC). For å redusere dette sikkerhetsproblemet ble det gjort en kodeendring i Windows Sikkerhet-oppdateringen for mai 2025 for Windows Server 2025, og Windows Sikkerhet Oppdateringer for juli 2025 for alle andre serverplattformer fra Windows Server 2008SP2 til Windows Server 2022, inkludert. Denne oppdateringen inkluderer en endring av sikkerhetsherding i Microsoft RPC Netlogon-protokollen. Denne endringen forbedrer sikkerheten ved å stramme inn tilgangskontroller for et sett med eksterne prosedyrekallforespørsler (RPC). Når denne oppdateringen er installert, tillater ikke lenger Active Directory-domenekontrollere anonyme klienter å aktivere noen RPC-forespørsler via Netlogon RPC-serveren. Disse forespørslene er vanligvis relatert til plasseringen av domenekontrolleren.
Etter denne endringen kan noen filer & print service-programvare påvirkes, inkludert Samba. Samba har gitt ut en oppdatering for å imøtekomme denne endringen. Se Samba 4.22.3 - Produktmerknader for mer informasjon.
For å imøtekomme scenarioer der berørt tredjepartsprogramvare ikke kan oppdateres, lanserte vi ytterligere konfigurasjonsfunksjonalitet i august 2025 Windows Sikkerhet Update. Denne endringen implementerer en registernøkkelbasert veksleknapp mellom standard håndhevelsesmodus, en overvåkingsmodus som loggfører endringer, men som ikke vil blokkere uautoriserte Netlogon RPC-kall, og en deaktivert modus (anbefales ikke.)
Utfør handling
Hvis du vil beskytte miljøet og unngå avbrudd, må du først oppdatere alle enheter som er vert for Active Directory-domenekontrolleren eller LDS Server-rollen, ved å installere de nyeste Windows-oppdateringene. Datamaskiner som har oppdateringer for 8. juli 2025 eller nyere Windows Sikkerhet Oppdateringer (eller Windows Server 2025 DCs med oppdateringer for mai), er som standard sikre og godtar ikke uautoriserte Netlogon-baserte RPC-kall som standard. Datamaskiner som har 12. august 2025 eller nyere Windows Sikkerhet Oppdateringer godtar ikke uautoriserte Netlogon-baserte RPC-kall som standard, men kan konfigureres til å gjøre dette midlertidig.
-
Overvåk miljøet for tilgangsproblemer. Hvis det oppstår, må du bekrefte om endringene i Netlogon RPC-herding er hovedårsaken.
-
Hvis bare oppdateringer for juli er installert, aktiverer du detaljert Netlogon-logging ved hjelp av kommandoen "Nltest.exe /dbflag:0x2080ffff", og deretter overvåker du de resulterende loggene for oppføringer som ligner på følgende linje. Feltene OpNum og Method kan variere, og representere operasjonen og RPC-metoden som ble blokkert:
06/23 10:50:39 [KRITISK] [5812] NlRpcSecurityCallback: avviser et uautorisert RPC-kall fra [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Hvis Windows-oppdateringer for august eller senere er installert, kan du se etter Security-Netlogon Event 9015 på PC-ene for å finne ut hvilke RPC-kall som blir avvist. Hvis disse samtalene er kritiske, kan du sette DC i overvåkingsmodus eller deaktivert modus midlertidig mens du feilsøker.
-
Gjør endringer slik at appen bruker godkjente Netlogon RPC-anrop eller kontakt programvareleverandøren for mer informasjon.
-
-
Hvis du setter DCs i overvåkingsmodus, kan du overvåke for Security-Netlogon Event 9016 for å finne ut hvilke RPC-kall som vil bli avvist hvis du aktiverte håndhevelsesmodus. Gjør deretter endringer slik at appen bruker godkjente Netlogon RPC-anrop eller kontakt programvareleverandøren for mer informasjon.
Obs!: På Windows 2008 SP2- og Windows 2008 R2-servere vil disse hendelsene vises i systemhendelsesloggene som henholdsvis Netlogon Events 5844 og 5845 for håndhevelsesmodus og overvåkingsmodus.
Tidsberegning for Windows-oppdateringer
Disse Windows-oppdateringene ble utgitt i flere faser:
-
Første endring på Windows Server 2025 (13. mai 2025) – den opprinnelige oppdateringen som ble herdet mot uautoriserte Netlogon-baserte RPC-samtaler, ble inkludert i mai 2025 Windows Sikkerhet-oppdateringen for Windows Server 2025.
-
Innledende endringer på andre serverplattformer (8. juli 2025) – oppdateringene som ble herdet mot uautoriserte Netlogon-baserte RPC-oppkall for andre serverplattformer, ble inkludert i juli 2025-Windows Sikkerhet Oppdateringer.
-
Tillegg av overvåkingsmodus og deaktivert modus (12. august 2025) – Håndhevelse som standard med et alternativ for overvåkings- eller deaktivert modus ble inkludert i august 2025-Windows Sikkerhet Oppdateringer.
-
Fjerning av overvåkingsmodus og deaktivert modus (TBD) – På et senere tidspunkt kan overvåkings- og deaktiverte moduser bli fjernet fra operativsystemet. Denne artikkelen oppdateres når ytterligere detaljer bekreftes.
Veiledning for distribusjon
Hvis du distribuerer Windows Sikkerhet Oppdateringer for august og vil konfigurere DC-ene i overvåkings- eller deaktivert modus, distribuerer du registernøkkelen nedenfor med den riktige verdien. Det kreves ingen omstart.
|
Path |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Registerverdi |
DCLocatorRPCSecurityPolicy |
|
Verditype |
REG_DWORD |
|
Verdidata |
0 – Deaktivert modus1 – overvåkingsmodus2 – håndhevelsesmodus (standard) |
Obs!: Uautoriserte forespørsler tillates i både overvåkings- og deaktivert modus.
Nylig lagt til hendelser
August 12, 2025 Windows Sikkerhet Oppdateringer vil også legge til nye hendelseslogger på Windows Server 2012 til Windows Server 2022 domenekontrollere:
|
Hendelseslogg |
Microsoft-Windows-Security-Netlogon/Operational |
|
Hendelsestype |
Informasjon |
|
Hendelses-ID |
9015 |
|
Hendelsestekst |
Netlogon nektet et RPC-anrop. Policyen er i fremtvingingsmodus. Klientinformasjon: Metodenavn: %method% Metodeopnum: %opnum% Klientadresse: <IP-adresse> Klientidentitet: <oppringer-SID-> Hvis du vil ha mer informasjon, kan du se https://aka.ms/dclocatorrpcpolicy. |
|
Hendelseslogg |
Microsoft-Windows-Security-Netlogon/Operational |
|
Hendelsestype |
Informasjon |
|
Hendelses-ID |
9016 |
|
Hendelsestekst |
Netlogon tillot en RPC-samtale som normalt ville ha blitt nektet. Policyen er i overvåkingsmodus. Klientinformasjon: Metodenavn: %method% Metodeopnum: %opnum% Klientadresse: <IP-adresse> Klientidentitet: <oppringer-SID-> Hvis du vil ha mer informasjon, kan du se https://aka.ms/dclocatorrpcpolicy. |
Obs!: På Windows 2008 SP2- og Windows 2008 R2-servere vil disse hendelsene vises i systemhendelsesloggene som henholdsvis Netlogon Events 5844 og 5845 for håndhevelses- og overvåkingsmoduser.
Vanlige spørsmål
DC-ene som ikke er oppdatert med 8. juli 2025 Windows Sikkerhet Oppdateringer eller nyere, vil fremdeles tillate uautoriserte Netlogon-baserte RPC-kall & ikke loggfører hendelser relatert til dette sikkerhetsproblemet.
DCer som oppdateres med 8. juli 2025 Windows Sikkerhet Oppdateringer, tillater ikke uautoriserte Netlogon-baserte RPC-kall, men loggfører ikke en hendelse når et slikt anrop blokkeres.
Som standard vil DCer som oppdateres med 12. august 2025 Windows Sikkerhet Oppdateringer eller nyere, ikke tillate uautoriserte Netlogon-baserte RPC-kall, og loggfører en hendelse når et slikt anrop blokkeres.
Nei.
