Oppsummering

Netlogon Remote Protocol (også kalt MS-NRPC) er et RPC-grensesnitt som brukes eksklusivt av domene tilknyttede enheter. MS-NRPC inneholder en godkjennings metode og en metode for å etablere en sikker Netlogon-kanal. Disse oppdateringene tvinger frem den bestemte virke måten til Netlogon-klienten til å bruke sikker RPC med en sikker RPC-kanal mellom medlems data maskiner og Active Directory (AD) domene kontrollere (DC).

Denne sikkerhets oppdateringen løser sikkerhets problemet ved å håndheve sikker RPC når du bruker den sikreste versjonen av Netlogon i en trinnvis lansering forklart i delen om oppdateringer for sikkerhets problemet med Address Netlogon CVE-2020-1472 . Hvis du vil gi AD-skog beskyttelse, må du oppdatere alle domene domenene dine fordi de vil bruke sikker RPC med sikker pålogging for Netlogon. Dette omfatter skrivebeskyttede domene kontrollere (RODC).

Hvis du vil lære mer om sikkerhets problemet, kan du se CVE-2020-1472.

Gjøre noe

Hvis du vil beskytte miljøet og hindre at du bruker andre aldre, må du gjøre følgende:

Obs! Trinn 1 av installasjon av oppdateringene som ble utgitt 11. august, 2020 eller nyere, løser sikkerhets problemer i CVE-2020-1472 for Active Directory-domener og-klareringer, i tillegg til Windows-enheter. Hvis du vil begrense sikkerhets problemet fullstendig for tredje parts enheter, må du fullføre alle trinnene.

Advarsel Fra og med 2021 blir håndhevelses modus aktivert for alle Windows-domenekontrollere, og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter. På dette tidspunktet vil du ikke kunne deaktivere håndhevelses modus.

  1. Oppdater domene kontrollerne med en oppdatering som ble utgitt 11. august 2020 eller nyere.

  2. Finn hvilke enheter som foretar sårbare tilkoblinger ved å overvåke hendelses logger.

  3. Adresser ikke-kompatible enheter som foretar sårbare tilkoblinger.

  4. Aktiver håndhevelses modus for å adressere CVE-2020-1472 i miljøet ditt.


Obs! Hvis du bruker Windows-2008 R2 SP1, må du ha en Extended Security Update (ESU)-lisens for å kunne installere oppdateringen som løser dette problemet. Hvis du vil ha mer informasjon om ESU-programmet, kan du se vanlige spørsmål om livs syklus – utvidede sikkerhets oppdateringer.

I denne artikkelen:

Tidspunkt for oppdatering av sikkerhets problem for Address-Netlogon CVE-2020-1472

Oppdateringene blir utgitt i to faser: den opprinnelige fasen for oppdateringene som ble utgitt den 11. august 2020, og håndhevelses fasen for oppdateringene som ble utgitt den 9. februar 2021.

11. august 2020 – den første distribusjons fasen

Den første distribusjons fasen starter med oppdateringene som ble utgitt 11. august 2020, og fortsetter med nyere oppdateringer frem til håndhevelses fasen. Disse og oppdateringene gjør endringer i Netlogon-protokollen for å beskytte Windows-enheter som standard. logger hendelser for ikke-kompatible enheter oppdagelse og legger til muligheten for å aktivere beskyttelse for alle domene tilknyttede enheter med eksplisitte unntak. Denne utgaven:

  • Håndhever sikker RPC-bruk for maskin kontoer på Windows-baserte enheter.

  • Håndhever sikker RPC-bruk for klarerings kontoer.

  • Håndhever sikker RPC-bruk for alle Windows-og ikke-Windows-domenekontrollere.

  • Omfatter en ny gruppe policy for å tillate ikke-kompatible enhets kontoer (som bruker sårbare, sikre kanal tilkoblinger i Netlogon). Selv når domene kontrolleren kjører i håndhevelses modus eller etter at håndhevelses fasen starter, vil ikke tillatte enheter bli nektet tilgang.

  • Register nøkkel for FullSecureChannelProtection for å aktivere DC- håndhevelsesklienten for alle maskin kontoer (håndhevelses fasen oppdaterer DCS til DC- håndhevelsesklienten).

  • Omfatter nye hendelser når kontoer nektes eller bli nektet i DC- håndhevelsesklienten (og vil fortsette i håndhevelses fasen). De spesifikke hendelses-ID-ene beskrives senere i denne artikkelen.

Begrenselse består av å installere oppdateringen på alle DCer og RODCer, overvåking av nye hendelser og å løse ikke-kompatible enheter som bruker sårbare Netlogon Secure kanal-tilkoblinger. Maskin kontoer på ikke-kompatible enheter kan ha tillatelse til å bruke sårbare, sikre kanal tilkoblinger i Netlogon. de bør imidlertid oppdateres for å støtte sikker RPC for Netlogon og kontoen håndheves så snart som mulig for å fjerne risikoen for angrep.

9. februar 2021 – håndhevelses fasen

9. februar 2021-utgivelsen merker overgangen til håndhevelses fasen. Domene kontrolleren er nå i håndhevelses modus , uavhengig av register nøkkelen for håndhevelses modus. Dette krever at alle Windows-og ikke-Windows-enheter bruker sikker RPC med sikker-kanal for Netlogon eller eksplisitt tillater kontoen ved å legge til et unntak for den ikke-kompatible enheten. Denne utgaven:

Distribusjons retnings linjer – Distribuer oppdateringer og gjennomfør samsvar

Den opprinnelige distribusjons fasen vil bestå av følgende trinn:

  1. Distribuere oppdateringen fra august lansert 11til alle domene domenene i skogen.

  2. (a)- skjerm for advarslerog (b) som opptrer på hver hendelse.

  3. (a) når alle advarsler er behandlet, kan fullstendig beskyttelse aktiveres ved distribusjon av DC- håndhevelsesklienten. (b) alle advarsler skal løses før oppdateringen fra 9. februar 2021-håndhevelses fasen.

trinn 1: Oppdater

Distribuer 11. august 2020-oppdateringer

Distribuer oppdateringene for august lansert 11 til alle gjeldende domene kontrollere (DCs) i skogen, inkludert skrivebeskyttede domene kontrollere (RODCer). Når du har distribuert denne oppdaterings pakken, vil DCs gjøre følgende:

  • Begynn å håndheve sikker RPC-bruk for alle Windows-baserte enhets kontoer, klarerings kontoer og alle DCs-er.

  • Loggfør hendelse-ID-en 5827 og 5828 i system hendelses loggen, hvis tilkoblinger nektes.

  • Logge hendelses-ID 5830 og 5831 i system hendelses loggen, hvis-tilkoblinger tillates av «domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

  • Loggfør hendelse-ID 5829 i system hendelses loggen når en sårbar sikker kanal tilkobling til Netlogon er tillatt. Disse hendelsene skal adresseres før modus for DC- håndhevelse er konfigurert eller før håndhevelses fasen starter 9. februar 2021.

 

trinn 2a: FINNE

Oppdage ikke-kompatible enheter ved hjelp av hendelses-ID 5829

Etter at oppdateringene fra 11. august 2020 ble tatt i bruk på DCs, kan hendelser bli hentet inn i STRØMme-hendelseslogger for å finne ut hvilke enheter i miljøet som bruker sårbare, sikre kanal tilkoblinger for Netlogon (kalt ikke-kompatible enheter i denne artikkelen). Overvåke oppdatert DCs for hendelses-ID 5829-hendelser. Hendelsene vil inkludere relevant informasjon for å identifisere de ikke-kompatible enhetene.

Hvis du vil overvåke hendelser, kan du bruke tilgjengelige hendelses overvåkings program eller ved å bruke et skript til å overvåke DCs.  Hvis du vil se et eksempel skript som du kan tilpasse til miljøet ditt, kan du se skript til å hjelpe deg med å overvåke hendelses-IDer relatert til Netlogon-oppdateringer for CVE-2020-1472

trinn 2b: ADRESSE

Adressere hendelses-ID 5827 og 5828

Støttet versjon av Windows som er fullstendig oppdatert, skal som standard ikke bruke sårbare, sikre kanal tilkoblinger i Netlogon. Hvis én av disse hendelsene er loggført i system hendelses loggen for en Windows-enhet:

  1. Kontroller at enheten kjører en støttet versjon av Windows.

  2. Forsikre deg om at enheten er fullstendig oppdatert.

  3. Kontroller om domene medlem: Krypter digitalt eller signer sikre kanal data (alltid) er satt til aktivert.

For andre enheter som virker som domene kontroller, vil disse hendelsene bli loggført i system hendelses loggen når du bruker sårbare, sikre kanal tilkoblinger for Netlogon. Hvis én av disse hendelsene logges:

  • Anbefalt Arbeide med enhets produsenten (OEM) eller program vare leverandøren for å få støtte for sikker RPC med netlogon sikker kanal

    1. Hvis den ikke-kompatible domene kontrolleren støtter sikker RPC med sikker RPC med netlogon-sikker kanal, kan du aktivere sikker RPC på DC.

    2. Hvis den ikke-kompatible domene kontrolleren støtter for øyeblikket sikker RPC, kan du arbeide med enhets produsenten (OEM) eller program vare leverandøren for å få en oppdatering som støtter sikker RPC med sikker-kanal for Netlogon.

    3. Avslutt den ikke-kompatible domene kontrolleren.

  • Sårbare Hvis en ikke-kompatibel domene kontroller ikke støtter sikker RPC med sikker nett kanal med netlogon før domene kontrolleren er i håndhevelses modus, kan du legge til domene kontrolleren ved hjelp av domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon "-gruppe policy beskrevet nedenfor.

Advarsel Hvis du lar DCs bruke sårbare tilkoblinger av gruppe policyen, vil skogen bli sårbar for angrep. Slutt målet skal være å adressere og fjerne alle kontoer fra denne gruppe policyen.

 

Adresserer hendelse 5829

Hendelses-ID 5829 genereres når det er tillatt med en sårbar forbindelse under den opprinnelige distribusjons fasen. Disse tilkoblingene blir nektet når DCs er i håndhevelses modus. I disse hendelsene fokuserer du på maskin navnet, domenet og OS-versjonene som er identifisert for å finne de ikke-kompatible enhetene, og hvordan de må adresseres.

Måter å løse ikke-kompatible enheter på:

  • Anbefalt Arbeid med enhets produsenten (OEM) eller program vare leverandøren for å få støtte for sikker RPC med sikker pålogging – sikker kanal:

    1. Hvis den ikke-kompatible enheten støtter sikker RPC med sikker-RPC med netlogon-sikker kanal, kan du aktivere sikker RPC på enheten.

    2. Hvis den ikke-kompatible enheten ikke støtter sikker RPC med sikker pålogging til Netlogon, kan du arbeide med enhets produsenten eller program vare leverandøren for å få en oppdatering som gjør at sikker RPC med netlogon sikker kanal er aktivert.

    3. Kasser den ikke-kompatible enheten.

  • Sårbare Hvis en enhet som ikke er kompatibel, ikke kan støtte sikker RPC med sikker pålogging med netlogon før DCs er i håndhevelses modus, kan du legge til enheten ved hjelp av domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon "-gruppe policy beskrevet nedenfor.

Advarsel Hvis du gjør det mulig for enhets kontoer å bruke sårbare tilkoblinger av gruppe policyen, vil disse AD-kontoene være sårbare. Slutt målet skal være å adressere og fjerne alle kontoer fra denne gruppe policyen.

 

Tillate sårbare tilkoblinger fra tredje parts enheter

Bruk «domene kontroller: Tillat sårbare tilkoblinger til Netlogon – gruppe policy til å legge til ikke-kompatible kontoer. Dette bør bare betraktes som en kort tids løsning før ikke-kompatible enheter er behandlet som beskrevet ovenfor. Obs! Å tillate sårbare tilkoblinger fra ikke-kompatible enheter kan ha ukjent sikkerhets påvirkning og burde ha vært tillatt med forsiktighet.

  1. Opprettet en sikkerhets gruppe (r) for-kontoer som skal ha tillatelse til å bruke en sårbar sikker kanal for pålogging.

  2. Gå til konfigurasjon for data maskin > Windows-innstillinger > sikkerhets innstillinger > lokale policyer > sikkerhets alternativer i gruppe policy

  3. Søk etter domene kontroller: Tillat sårbare sikker kanal tilkoblinger for Netlogon ".

  4. Hvis Administrator gruppen eller en gruppe som ikke er laget spesielt for bruk med denne gruppe policyen, er til stede, fjerner du den.

  5. Legg til en sikkerhets gruppe som er spesielt laget for å brukes med denne gruppe policyen, til sikkerhets beskrive ren med tillatelse til å gi tillatelse. Obs! DENY-tillatelsen oppfører seg på samme måte som hvis kontoen ikke ble lagt til, det vil si. kontoene har ikke tillatelse til å gjøre sårbare Netlogon-sikre kanaler.

  6. Når sikkerhets gruppen (e) er lagt til, må gruppe policyen rep likere til hver domene kontroller.

  7. Med jevne mellomrom, kan du overvåke hendelser 5827, 5828 og 5829 for å finne ut hvilke kontoer som bruker sårbare sikre kanal tilkoblinger.

  8. Legg til disse maskin kontoene i sikkerhets gruppen (e) om nødvendig. Anbefalt Fremgangs måte Bruk sikkerhets grupper i gruppe policyen og Legg til kontoer i gruppen, slik at medlemskap rep like res via normalt AD-replikering. Dette unngår hyppige oppdateringer av gruppe policy og Rep like Rings forsinkelser.

Når alle ikke-kompatible enheter er behandlet, kan du flytte DCs til håndhevelses modus (se neste avsnitt).

Advarsel Hvis du gjør det mulig for DCs å bruke sårbare tilkoblinger for klarerings kontoer av gruppe policyen, vil skogen være sårbar for angrep. Klarerte kontoer kalles vanligvis etter det klarerte domenet, for eksempel: Domene KONTROLLEREN i domenet – a har en klarering med en domene kontroller i domenet b. Internt er domene kontrolleren i domenet – a har en klarerings konto kalt «Domain-b $», som representerer klarerings objektet for domene-b. Hvis domene KONTROLLEREN i domenet – a ønsker å vise skogen for å få sjansen til å angripe angrep ved å tillate sårbare Netts IDene for sikker kanal fra domene-b-klarerings kontoen, kan en administrator bruke Add-adgroupmember – identitet navnet Security Group "– Members" Domain-b $ "til å legge til klarerings kontoen i sikkerhets gruppen.

 

trinn 3a: AKTIVERE

Gå til modus for aktivering i forkant av fasen i 2021-håndhevelsen

Når alle ikke-kompatible enheter har blitt behandlet, enten ved å aktivere sikker RPC eller ved å tillate sårbare tilkoblinger med «domene kontroller: Tillat sårbare tilkoblinger til sikker tilkobling til Netlogon "gruppe policy, sett register nøkkelen FullSecureChannelProtection til 1.

Obs! Hvis du bruker domene kontroller: Tillat sårbare tilkoblinger til Netlogon-domenekontrollere for gruppepolicyer, og pass på at gruppe policyen er rep lik ert og brukt på alle DCs før du setter register nøkkelen FullSecureChannelProtection.

Når register nøkkelen FullSecureChannelProtection er distribuert, vil DCs være i håndhevelses modus. Denne innstillingen krever at alle enheter som bruker Netlogon sikker kanal enten:

Advarsel Tredje parts kunder som ikke har støtte for sikker RPC med sikker RPC med sikker RPC med sikker tilkobling til Netlogon, blir nektet når register nøkkelen DC- håndhevelse er distribuert, noe som kan forstyrre produksjons tjenestene.

 

trinn 3b: Håndhevelses fase

Distribuere oppdateringer for februar 9 2021

Distribusjon av oppdateringer som ble utgitt 9. februar 2021 eller nyere, aktiverer STRØMme håndhevelses modus. Modus for DC- håndhevelse er når alle Netlogon-tilkoblinger enten kreves for å bruke sikker RPC eller kontoen må ha blitt lagt til i domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy. For øyeblikket er ikke register nøkkelen FullSecureChannelProtection lenger nødvendig og vil ikke lenger støttes.

«Domene kontroller: Tillat sårbare tilkoblinger til sikker tilkobling til Netlogon "gruppe policy

Anbefalt Fremgangs måte er å bruke sikkerhets grupper i gruppe policyen, slik at medlemskap rep like res via normalt AD-replikering. Dette unngår hyppige oppdateringer av gruppe policy og Rep like Rings forsinkelser.

Policy bane og innstillings navn

Beskrivelse

Policy bane: Konfigurasjon av data maskinen > innstillinger for Windows > sikkerhets innstillinger > lokale policyer > sikkerhets alternativer

Innstillings navn: domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon

Må du starte maskinen på nytt? Nei

Denne sikkerhets innstillingen fastslår om domene kontrolleren omgår Secure RPC for Netlogon-tilkoblinger for sikker kanal for angitte maskin kontoer.

Denne policyen skal gjelde for alle domene kontrollere i en skog ved å aktivere policyen på domene kontrollere OU.

Når listen Opprett sårbare tilkoblinger (tillatelses listen) er konfigurert:

  • Får Domene kontrolleren tillater at den angitte gruppen/kontoen bruker en sikker Netlogon-kanal uten sikker RPC.

  • DENY Denne innstillingen er den samme som standard virke måte. Domene kontrolleren krever at de angitte gruppene/kontoene bruker en sikker nett kanal med sikker RPC.

Advarsel Hvis du aktiverer denne policyen, eksponeres domene tilknyttede enheter og Active Directory-skog, noe som kan føre til at du kan få sjansen til det. Denne policyen skal brukes som et midlertidig mål for tredje parts enheter når du distribuerer oppdateringer. Når en tredje parts enhet er oppdatert til å støtte ved hjelp av sikker RPC med sikker pålogging for Netlogon, bør kontoen fjernes fra Opprett sårbare tilkoblinger-listen. Gå til https://go.microsoft.com/fwlink/?linkid=2133485 for å få en bedre forståelse av risikoen for konfigurering av kontoer som skal ha tillatelse til å bruke sårbare, sikre kanal tilkoblinger for Netlogon.

Innstillingen Denne policyen er ikke konfigurert. Ingen maskiner eller klarerings kontoer er eksplisitt unntat fra Secure RPC med sikker tilkobling til Netlogon.

Denne policyen støttes i Windows-2008 R2 SP1 og nyere versjoner.

Feil relatert til Windows-hendelseslogger relatert til CVE-2020-1472

Det finnes tre kategorier av hendelser:

1 Hendelser som logges når en tilkobling nektes fordi sikker kanal tilkobling til Netlogon ble forsøkt:

  • 5827 (maskin kontoer)-feil

  • 5828 (klarerings kontoer)-feil

2. Hendelser som logges når en tilkobling er tillatt fordi kontoen ble lagt til i domene kontroller: Tillat sårbare tilkoblinger til sikker tilkobling til Netlogon "for gruppe policy:

  • 5830 (maskin kontoer) – advarsel

  • 5831 (klarerings kontoer) – advarsel

3. Hendelser som logges når det er tillatt å koble til en tilkobling i den første versjonen som vil bli nektet i modusen DC- håndhevelse:

  • 5829 (maskin kontoer) – advarsel

Hendelses-ID 5827

Hendelses-ID 5827 logges når en sårbar sikker tilkoblings kanal tilkobling til en maskin konto blir avslått.

Hendelses Logg

System

Hendelseskilde

LØSNING

Hendelses-ID

5827

Nivå

Feil

Hendelses meldings tekst

Netlogon-tjenesten avslo en sårbar sikker kanal tilkobling for Netlogon fra en maskin konto.

Maskin SamAccountName:

Domene:

Kontotype:

Operativ system for operativ system:

Operativsystem Opera ting system versjon:

Machine Opera ting system Service Pack:

Hvis du vil ha mer informasjon om hvorfor dette ble nektet, kan du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Hendelses-ID 5828

Hendelses-ID 5828 logges når en sårbar sikker nettverks kanal tilkobling fra en klarerings konto blir nektet.

Hendelses Logg

System

Hendelseskilde

LØSNING

Hendelses-ID

5828

Nivå

Feil

Hendelses meldings tekst

Netlogon-tjenesten avslo en sårbar sikker kanal tilkobling for Netlogon ved hjelp av en klarerings konto.

Kontotype:

Klarerings navn:

Klarert mål:

Klientens IP-adresse:

Hvis du vil ha mer informasjon om hvorfor dette ble nektet, kan du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Hendelses-ID 5829

Hendelses-ID 5829 vil bare bli loggført i den opprinnelige distribusjons fasennår en data maskin som er beskyttet mot beskyttet Netlogon er tillatt.

Når DC- håndhevelsesklienten er distribuert eller når håndhevelses fasen starter med distribusjonen av oppdateringene datert 9. februar 2021, vil disse tilkoblingene bli nektet og hendelses-ID 5827 blir logget. Dette er grunnen til at det er viktig å overvåke for hendelse 5829 under den første distribusjons fasen og gjøre deg klar til å unngå aldre.

Hendelses Logg

Maskin

Hendelses kilde

LØSNING

Hendelses-ID

5829

Kompatibilitetsnivå

Åtvaring

Hendelses meldings tekst

Netlogon-tjenesten tillot sikker kanal tilkobling til Netlogon.  

Advarsel! Denne tilkoblingen blir nektet når håndhevelses fasen lanseres. Hvis du vil vite mer om håndhevelses fasen, kan du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Maskin SamAccountName:  

Domene:  

Konto type:  

Operativ system for operativ system:  

Operativsystem Opera ting system versjon:  

Machine Opera ting system Service Pack:  

Hendelses-ID 5830

Hendelses-ID 5830 logges når en data maskin konto tilkobling for sikker pålogging er tillatt av «domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

Hendelses Logg

System

Hendelseskilde

LØSNING

Hendelses-ID

5830

Nivå

Advarsel

Hendelses meldings tekst

Netlogon-tjenesten tillot sikker kanal tilkobling til Netlogon fordi maskin kontoen er tillatt i «domene kontroller». Tillat sårbare tilkoblinger til sikker kanal for Netlogon».

Advarsel! Hvis du bruker sårbare og sikre kanaler i sikker pålogging, vil de domene tilknyttede enhetene bli utsatt for angrep. Hvis du vil beskytte enheten mot angrep, kan du fjerne en maskin konto fra domene kontroller: Tillat sårbare tilkoblinger til Netlogon sikker kanal (gruppe policy) etter at en tredje parts Netlogon-klient har blitt oppdatert. Hvis du vil vite mer om hvordan du konfigurerer maskin kontoer til å få tillatelse til å bruke sårbare, sikre kanal tilkoblinger fra Netlogon, kan du gå til https://go.Microsoft.com/fwlink/?LinkId=2133485.

Maskin SamAccountName:

Domene:

Kontotype:

Operativ system for operativ system:

Operativsystem Opera ting system versjon:

Machine Opera ting system Service Pack:

 

Hendelses-ID 5831

Hendelses-ID 5831 logges når en beskyttet pålogging sikker kanal tilkobling for sikker pålogging er tillatt av «domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

Hendelses Logg

System

Hendelseskilde

LØSNING

Hendelses-ID

5831

Nivå

Advarsel

Hendelses meldings tekst

Netlogon-tjenesten tillot sikker kanal tilkobling til Netlogon fordi klarerings kontoen er tillatt i «domene kontroller». Tillat sårbare tilkoblinger til sikker kanal for Netlogon».

Advarsel! Hvis du bruker sårbare og sikre kanaler i sikker pålogging, vises Active Directory-skoger til angrep. Hvis du vil beskytte Active Directory-skoger fra angrep, må alle klarere bruke sikker RPC med sikker pålogging til Netlogon. Fjerne en klarerings konto fra domene kontroller: Tillat sårbare tilkoblinger til Netlogon-domenekontrollere» når du bruker en tredje parts Netlogon-klient på domene kontrollerne, er det oppdatert. Gå til https://go.Microsoft.com/fwlink/?LinkId=2133485for å få en bedre forståelse av hvordan du kan konfigurere klarerings kontoer til å bruke sårbare, sikre kanal tilkoblinger for Netlogon.

Kontotype:

Klarerings navn:

Klarert mål:

Klientens IP-adresse:

Register verdi for håndhevelses modus

Advarsel det kan oppstå alvorlige problemer hvis du endrer registeret på feil måte ved å bruke register redigering eller en annen metode. Disse problemene kan føre til at du må installere operativ systemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Endre registeret på eget ansvar. 

11. august 2020-oppdateringene som presenterer følgende register innstilling for å aktivere håndhevelses modus tidlig. Dette aktiveres uansett hvilken register innstilling det har i håndhevelses fasen som starter den 9. februar 2021: 

Register undernøkkel

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Verdi

FullSecureChannelProtection

Datatype

REG_DWORD

Data

1 – Dette aktiverer håndhevelses modus. Domene kontrollere hindrer sårbare nett tilkoblinger i sikker kanal, med mindre kontoen tillates av listen opprette sårbare tilkoblinger i domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.  

0 – DCs vil tillate sårbare nett BAS lagde kanal tilkoblinger fra ikke-Windows-enheter. Dette alternativet vil bli avskrevet i håndhevelses fasen lansering.

Må du starte maskinen på nytt?

Nei

 

Tredje parts enheter som implementerer [MS-NRPC]: Netlogon Remote Protocol

Alle tredje parts klienter eller-servere må bruke sikker RPC med den sikre nett kanalen for pålogging. Kontakt produsenten av enheten eller program varen for å finne ut om program varen er kompatibel med den nyeste eksterne påloggings protokollen. 

Protokoll oppdateringene finner du på dokumentasjons nettstedet for Windows-protokollen

Vanlige spørsmål

  • Windows & tredje parts domene tilknyttede enheter som har maskin kontoer i Active Directory (AD)

  • Windows & tredje parts domene kontrollere i klarerte & klarerende domener som har klarerte kontoer i AD

Tredje parts enheter kan være ikke-kompatible. Hvis en tredje parts løsning opprettholder en maskin konto i AD, kan du kontakte leverandøren for å finne ut om du er berørt.

Forsinkelser i AD-og SYSVOL-replikering eller program feil for gruppe policy på godkjenning av domene kontrolleren kan forårsake endringer i gruppe policyen domene kontroller: Tillat sårbare tilkoblinger til sikker kanal til Netlogon-gruppe til å være borte, og resultatet blir nektet. 

Fremgangs måten nedenfor kan hjelpe deg med å feilsøke problemet:

Støttet versjon av Windows som er fullstendig oppdatert, skal som standard ikke bruke sårbare, sikre kanal tilkoblinger i Netlogon. Hvis hendelses-ID 5827 logges i system hendelses loggen for en Windows-enhet:

  1. Kontroller at enheten kjører en støttet versjon av Windows.

  2. Forsikre deg om at enheten er fullstendig oppdatert fra Windows Update.

  3. Kontroller om domene medlem: Krypter digitalt eller signer sikre kanal data (alltid) er satt til aktivert i et gruppe policy objekt som er koblet til OU for alle domene kontrollerne, for eksempel standard gruppe policy objekt.

Ja, de skal oppdateres, men de er ikke spesielt sårbare for CVE-2020-1472.

Nei, domene kontrolleren er den eneste rollen som er berørt av CVE-2020-1472 , og kan oppdateres uavhengig av ikke-domenekontrollere Windows-servere og andre Windows-enheter.

Windows-2008 SP2 er ikke sårbart for dette bestemte, fordi det ikke bruker AES for sikker RPC.

Ja, du må ha utvidet sikkerhets oppdatering (ESU) for å installere oppdateringene for å få adressen til CVE-2020-1472 for Windows-servert 2008 R2 SP1.

Ved å distribuere oppdateringene fra 11. august 2020 eller nyere til alle domene kontrollere i miljøet ditt.

Kontroller at ingen av enhetene er lagt til i domene kontrolleren: Tillat sårbare tilkoblinger til Netlogon-domenekontrollere»-gruppe policy har Enterprise-administrator eller tilgang til domene administrator tilgang, som for eksempel SCCM eller Microsoft Exchange.  Obs! Hvilken som helst enhet i tillatelses listen vil ha tillatelse til å bruke sårbare tilkoblinger og kan vise miljøet til angrepet.

Hvis du installerer oppdateringer som ble utgitt 11. august 2020 eller nyere på domene kontrollerne, beskytter de Windows-baserte maskin kontoene, klarerings kontoene og domene kontroller kontoene. 

Kontoer i Active Directory-datamaskiner for domener som er knyttet til tredje parts enheter, er ikke beskyttet frem til håndhevelses modus er distribuert. Maskin kontoer er heller ikke beskyttet hvis de er lagt til på domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

Forsikre deg om at alle domene kontrollere i miljøet har installert oppdateringene fra 11. august 2020 eller nyere.

Eventuelle enhets identiteter som har blitt lagt til i domene kontroller: Tillat sårbare tilkoblinger til sikker tilkobling til Netlogon "gruppe policy vil være sårbare for angrep.   

Forsikre deg om at alle domene kontrollere i miljøet har installert oppdateringene fra 11. august 2020 eller nyere. 

Aktiver håndhevelses modus for å nekte sårbare tilkoblinger fra ikke-kompatible tredje parts enhets identiteter.

Obs! Hvis du har aktivert aktiverings modus, blir eventuelle tredje parts enhets identiteter som har blitt lagt til i domene kontroller: Tillat sårbare tilkoblinger til sikker tilkobling til Netlogon»-gruppe policy vil fremdeles være sårbare og kan tillate en angriper uautorisert tilgang til nettverket eller dine enheter.

Håndhevelses modus forteller domene kontrollerne om å ikke tillate Netlogon-tilkoblinger fra enheter som ikke bruker sikker RPC med mindre det er lagt til en enhets konto i «domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

Hvis du vil ha mer informasjon, kan du se Register verdi for håndhevelses modus -delen.

Bare maskin kontoer for enheter som ikke kan gjøres sikre ved å aktivere sikker RPC på den sikre data maskinens sikker kanal skal legges til i gruppe policyen. Det anbefales å gjøre disse enhetene kompatible eller erstatte disse enhetene for å beskytte miljøet.

En angriper kan ta over en Active Directory-maskinnavn for en maskin konto som er lagt til i gruppe policyen og deretter dra nytte av tillatelser som maskin identiteten har.

Hvis du har en tredje parts enhet som ikke støtter sikker RPC for sikker pålogging for Netlogon, og du vil aktivere håndhevelses modus, må du legge til maskin kontoen for enheten i gruppe policyen. Dette anbefales ikke, og kan forlate domenet i en potensielt sårbar tilstand.  Det anbefales å bruke denne gruppe policyen til å gi tid til å oppdatere eller erstatte eventuelle tredje parts enheter for å gjøre dem kompatible.

Håndhevelses modus skal aktiveres så snart som mulig. Det må være en tredje parts enhet, enten ved å gjøre dem kompatible med, eller ved å legge dem til «domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy. Obs! Hvilken som helst enhet i tillatelses listen vil ha tillatelse til å bruke sårbare tilkoblinger og kan vise miljøet til angrepet.

 

Ordliste

Element

Definer

SPESIELL

Active Directory

DC

Domene kontroller

Håndhevelses modus

Register nøkkelen som gjør det mulig å aktivere håndhevelses modus foran 9. februar 2021.

Håndhevelses fasen

Fase som begynner med 9. februar 2021 oppdateringene der håndhevelses modus aktiveres på alle Windows-domenekontrollere uansett register innstilling. DCs vil nekte sårbare tilkoblinger fra alle ikke-kompatible enheter, med mindre de legges til i domene kontroller: Tillat sårbare tilkoblinger til sikker kanal for Netlogon-for gruppe policy.

Den første distribusjons fasen

Fase som begynner med 11. august 2020-oppdateringene og fortsetter med nyere oppdateringer frem til håndhevelses fasen.

maskin konto

Kalles også Active Directory-datamaskin eller-data maskin objekt.  Hvis du vil se hele definisjonen, kan du se MS-NPRC-ord listen .

MS-NRPC

Microsoft Netlogon Remote ProtoCol

Ikke-kompatibel enhet

En ikke-kompatibel enhet er en som bruker en sårbar sikker kanal tilkobling for Netlogon.

RODC

skrivebeskyttede domene kontrollere

Sårbare tilkoblingen

En sårbar kobling er en sikker kanal tilkobling til Netlogon som ikke bruker sikker RPC.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×