Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Overzicht

Het externe protocol Netlogon (ook wel MS-NRPCgenoemd) is een RPC-interface die uitsluitend wordt gebruikt door apparaten die lid zijn van een domein. MS-NRPC bevat een verificatiemethode en een methode om een beveiligd Netlogon-kanaal tot stand te brengen. Met deze updates wordt het opgegeven gedrag van de Netlogon-client afgedwongen om veilige RPC te gebruiken met een beveiligd Netlogon-kanaal tussen lidcomputers en Active Directory (AD) domain controller (DC'S).

Met deze beveiligingsupdate wordt het beveiligingslek gedicht door Secure RPC af te dwingen wanneer u het beveiligde Netlogon-kanaal gebruikt in een gefaseerde release die wordt beschreven in de sectie timing van updates voor het beveiligingslek met betrekking tot het Netlogon-CVE-2020-1472 . Als u de beveiliging van een AD-forest wilt bieden, moeten alle Dc's worden bijgewerkt, omdat veilige RPC met een beveiligd Netlogon-kanaal wordt afgedwongen. Dit geldt ook voor alleen-lezen domeincontrollers (RODC).

Zie CVE-2020-1472voor meer informatie over het beveiligingslek.

Actie ondernemen

Ga als volgt te werk om uw omgeving te beschermen en te voorkomen dat uw omgeving wordt verouderd:

Opmerking Stap 1 van de updates die zijn uitgebracht op 11 augustus 2020 of nieuwer, is een beveiligingsprobleem in CVE-2020-1472 voor Active Directory-domeinen en vertrouwensrelaties, evenals Windows-apparaten. Als u het beveiligingsprobleem voor apparaten van derden volledig wilt beperken, moet u alle stappen uitvoeren.

Waarschuwing Vanaf 2021 februari wordt de afdwing modus ingeschakeld op alle Windows-domein controllers en worden kwetsbaarte verbindingen van niet-compatibele apparaten geblokkeerd. Op dat moment kunt u de afdwing modus niet uitschakelen.

  1. Werk uw domein controllers bij met een update die is uitgebracht op 11 augustus 2020 of hoger.

  2. Nagaan welke apparaten kwetsbaar zijn voor het controleren van gebeurtenislogboeken.

  3. Adresseer niet-compatibele apparaten die kwetsbare verbindingen tot stand brengen.

  4. Schakel de handhavingsmodus in op CVE-2020-1472 in uw omgeving.


Opmerking Als u Windows Server 2008 R2 SP1gebruikt, hebt u een licentie voor beveiligingsupdate (ESU) nodig om alle updates te installeren waarmee dit probleem wordt opgelost. Voor meer informatie over het ESU-programma, raadpleegt u Veelgestelde vragen over levenscyclus-uitgebreide beveiligings updates.

In dit artikel:

Timing van updates voor het beveiligingslek met betrekking tot een Netlogon-CVE-2020-1472

De updates worden uitgebracht in twee fasen: de eerste fase voor updates die zijn uitgebracht op of na 11 augustus 2020 en de afdwing fase voor updates die zijn uitgebracht op of na 9 februari 2021.

11 augustus 2020-eerste implementatiefase

De eerste fase van de implementatie begint met de updates die zijn uitgebracht op 11 augustus 2020 en gaat door met latere updates tot de uitvoeringsfase. Met deze en nieuwere updates worden wijzigingen aangebracht in het Netlogon-protocol om Windows-apparaten te beveiligen. in worden gebeurtenissen vastgelegd voor niet-compliant apparaat ontdekking en wordt de mogelijkheid toegevoegd voor het inschakelen van de beveiliging voor alle apparaten die lid zijn van een domein met uitdrukkelijke uitzonderingen. Deze release:

  • Veilige RPC-gebruik afdwingen voor computeraccounts op Windows-apparaten.

  • Veilige RPC-gebruik afdwingen voor vertrouwens accounts.

  • Veilige RPC-gebruik afdwingen voor alle Windows-en niet-Windows-Dc's.

  • Bevat een nieuw Groepsbeleid om niet-compatibele apparaataccount toe te staan (de accounts die gebruikmaken van beveiligde beveiligde kanaal verbindingen). Zelfs wanneer Dc's worden uitgevoerd in de afdwing modus of nadat de uitvoeringsfase is gestart, wordt de verbinding niet geweigerd door toegestane apparaten.

  • FullSecureChannelProtection met registersleutel voor het inschakelen van de handhavingsmodus voor gelijkstroom voor alle computeraccounts (de handhavings fase wordt DCS bijgewerkt naar de afdwing modusDC).

  • Bevat nieuwe gebeurtenissen als accounts worden geblokkeerd of in de handhavingsmodus van de DC worden geweigerd (en in de handhavings fasewordt voortgezet). De specifieke gebeurtenis-Id's worden verderop in dit artikel beschreven.

De beperking bestaat uit het installeren van de update voor alle Dc's en RODC'S, het controleren op nieuwe gebeurtenissen en het adresseren van niet-compatibele apparaten die kwetsbare beveiligde kanaal verbindingen met Netlogon gebruiken. Computeraccounts op apparaten die niet compatibel zijn, kunnen beveiligde kanaal verbindingen van Netlogon gebruiken. ze moeten echter wel worden bijgewerkt om de beveiliging van RPC voor Netlogon te ondersteunen en het account wordt zo snel mogelijk afgedwongen om het risico van een aanval te verwijderen.

9 februari 2021-afdwing fase

De release van 9 februari 2021 geeft de overgang naar de handhavings fase. De Dc's bevinden zich nu in de afdwing modus , ongeacht de registratiesleutel voor de afdwing modus. Hiervoor moeten alle Windows-en niet-Windows-apparaten veilige RPC met een beveiligd Netlogon-kanaal gebruiken of het account expliciet toelaten door een uitzondering toe te voegen aan het niet-compatibele apparaat. Deze release:

Implementatierichtlijnen-updates implementeren en naleving afdwingen

De eerste fase van de implementatie bestaat uit de volgende stappen:

  1. De 11 augustus-updates implementerenvoor alle dc's in het forest.

  2. (a)- monitor voor waarschuwingsgebeurtenissenen (b) bij elke gebeurtenis.

  3. (a) als alle waarschuwingsgebeurtenissen zijn geadresseerd, kan volledige bescherming worden ingeschakeld door de afdwing modusDC te implementeren. (b) alle waarschuwingen moeten worden opgelost voordat 9 februari 2021 de handhavings fase wordt bijgewerkt.

stap 1: bijwerken

Augustus 11 augustus 2020 updates

Implementeer de updates voor 11 augustus voor alle toepasbare domeincontrollers (Dc's) in het forest, met inbegrip van alleen-lezen domeincontrollers (RODC'S). Na de implementatie van deze update-DCs wordt het volgende:

  • Gebruik het afdwingen van veilig RPC-gebruik voor alle Windows-apparaataccount, vertrouwens accounts en alle Dc's.

  • Logboekgebeurtenis-Id's 5827 en 5828 in het gebeurtenislogboek van het systeem als er verbindingen zijn geweigerd.

  • Logboekgebeurtenis-Id's 5830 en 5831 in het systeemgebeurtenislogboek, indien verbindingen zijn toegestaan door ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

  • Logboekgebeurtenis-ID 5829 in het systeemgebeurtenislogboek als een beveiligingsrisico voor beveiligde toegang tot een beveiligd kanaal is toegestaan. Deze gebeurtenissen moeten worden geadresseerd voordat de handhavingsmodus voor DC is geconfigureerd of voordat de handhavings fase begint op 9 februari 2021.

 

stap 2a: zoeken

Apparaten detecteren die niet compatibel zijn met gebeurtenis-ID 5829

Na 11 augustus zijn er 2020 updates toegepast op Dc's. u kunt gebeurtenissen in de DC-gebeurtenislogboeken verzamelen om te bepalen welke apparaten in uw omgeving kwetsbare Netlogon-kanaal verbindingen (ook wel niet-compatibele apparaten genoemd) gebruiken. Controleer de gepatcheerde Dc's voor gebeurtenis-ID 5829-gebeurtenissen. De gebeurtenissen bevatten relevante informatie om de niet-compatibele apparaten te identificeren.

Gebruik beschikbare software voor gebeurtenis bewaking of met behulp van een script voor het controleren van uw Dc's om te controleren op gebeurtenissen.  Voor een voorbeeldscript dat u aan uw omgeving kunt aanpassen, raadpleegt u script voor hulp bij het controleren van gebeurtenis-id's voor Netlogon-updates voor CVE-2020-1472

stap 2b: ADRES

Adresserings gebeurtenis-Id's 5827 en 5828

Standaard worden ondersteunde versies van Windows die volledig zijn bijgewerkt, niet gebruikt voor beveiligde beveiligde kanaal verbindingen. Als een van deze gebeurtenissen wordt geregistreerd in het systeemgebeurtenislogboek voor een Windows-apparaat:

  1. Controleer of op het apparaat een ondersteunde versie van Windowswordt uitgevoerd.

  2. Controleer of het apparaat volledig is bijgewerkt.

  3. Controleer of domeinlid: Beveiligde kanaal gegevens digitaal coderen of ondertekenen (always) is ingesteld op ingeschakeld.

Voor niet-Windows-apparaten die worden gebruikt als een DC, worden deze gebeurtenissen geregistreerd in het logboek van het systeemgebeurtenis wanneer beveiligingslekken beveiligde kanaal verbindingen worden gebruikt. Als een van deze gebeurtenissen wordt geregistreerd:

  • Aanbevolen Werk met de apparaatfabrikant (OEM) of de softwareleverancier voor ondersteuning voor beveiligde RPC met beveiligd Netlogon-kanaal

    1. Als de niet-compliante DC ondersteuning biedt voor beveiligde RPC met beveiligd Netlogon kanaal, moet u Secure RPC inschakelen op de DC.

    2. Als de niet-compliante DC momenteel geen ondersteuning biedt voor beveiligde RPC, werkt u met de apparaatfabrikant (OEM) of de softwareleverancier om een update te verkrijgen die ondersteuning biedt voor beveiligde RPC met beveiligd Netlogon kanaal.

    3. Gebruik de niet-compliante DC.

  • Kwetsbaar Als een niet-compliante DC geen ondersteuning biedt voor beveiligde RPC met beveiligd Netlogon kanaal voordat de Dc's zich in de afdwing modusbevinden, voegt u de DC toe met behulp van de domeincontroller voor de '. Beveiligde beveiligde kanaal verbindingen voor beveiligde verbindingen toelaten ' Groepsbeleid dat hieronder wordt beschreven.

Waarschuwing Door Dc's toe te staan kwetsbare verbindingen te gebruiken door het Groepsbeleid, is het forest kwetsbaar voor aanvallen. Het doel van het doel is om alle accounts van dit groepsbeleid te adresseren en te verwijderen.

 

Adresserings gebeurtenis 5829

Gebeurtenis-ID 5829 wordt gegenereerd wanneer gedurende de eerste fase van de implementatie een kwetsbare verbinding is toegestaan. Deze verbindingen worden geweigerd wanneer Dc's zich in de afdwing modusbevinden. De focus is op de computernaam, domein-en besturingssysteemversies die zijn geïdentificeerd om de niet-compliante apparaten te bepalen en om te bepalen hoe ze moeten worden geadresseerd.

Manieren om niet-compatibele apparaten op te lossen:

  • Aanbevolen Werk met de apparaatfabrikant (OEM) of de softwareleverancier voor ondersteuning voor beveiligde RPC met beveiligd Netlogon-kanaal:

    1. Als het niet-compliante apparaat ondersteuning biedt voor het beveiligen van RPC met een beveiligd Netlogon-kanaal, moet u Secure RPC inschakelen op het apparaat.

    2. Als het niet-compatibele apparaat op dit moment geen ondersteuning biedt voor beveiligde RPC met beveiligd Netlogon kanaal, werkt u met de fabrikant van het apparaat of de softwareleverancier om een update te verkrijgen waarmee veilige RPC met beveiligd Netlogon-kanaal kan worden ingeschakeld.

    3. Het niet-compatibele apparaat wordt buiten gebruik gesteld.

  • Kwetsbaar Als een niet-compatibel apparaat geen ondersteuning biedt voor beveiligde RPC met een beveiligd Netlogon-kanaal voordat Dc's zich in de nalevingsmodusbevinden, voegt u het apparaat toe met behulp van de domeincontroller ' '. Beveiligde beveiligde kanaal verbindingen voor beveiligde verbindingen toelaten ' Groepsbeleid dat hieronder wordt beschreven.

Waarschuwing Als u wilt toestaan dat voor het gebruik van een apparaataccount risicovolle verbindingen worden gebruikt door het Groepsbeleid, worden deze AD-accounts risico voor hen. Het doel van het doel is om alle accounts van dit groepsbeleid te adresseren en te verwijderen.

 

Kwetsbare verbindingen van apparaten van derden toestaan

Gebruik de ' domeincontroller: Beveiliging van het groepsbeleid met een kwetsbaar beveiligings niveau voor beveiligde verbindingen met niet-compatibele accounts toelaten. Dit kan alleen als een oplossing op korte termijn worden beschouwd als niet-compatibele apparaten worden geadresseerd zoals hierboven is beschreven. Opmerking Het toestaan van kwetsbare verbindingen van niet-compatibele apparaten heeft mogelijk te maken met onbekende beveiligings effecten.

  1. Er is een beveiligingsgroep (en) gemaakt voor accounts die gebruik kunnen maken van een kwetsbaar beveiligingskanaal voor Netlogon.

  2. Ga in Groepsbeleid naar configuratie van computer > Windows-instellingen > Beveiligingsinstellingen > lokaal beleid > beveiligingsopties

  3. Zoek naar ' domeincontroller: Beveiligde beveiligde kanaal verbindingen voor Netlogon toelaten '.

  4. Als de groep beheerders of een groep die niet specifiek is gemaakt voor gebruik met dit groepsbeleid aanwezig is, moet u deze verwijderen.

  5. Voeg een beveiligingsgroep toe die specifiek is bedoeld voor gebruik met dit groepsbeleid voor de beveiligingsdescriptor met de machtiging toestaan. Opmerking De machtiging ' weigeren ' werkt op dezelfde manier als het account niet is toegevoegd, dat wil zeggen: het is niet toegestaan dat de accounts beveiligde beveiligde kanalen voor Netlogon aanvallen maken.

  6. Nadat de beveiligingsgroep (en) is toegevoegd, moet het groepsbeleid worden gerepliceerd naar elke DC.

  7. Controleer regelmatig de gebeurtenissen 5827, 5828 en 5829 om te bepalen in welke accounts een beveiligingsrisico voor beveiligde kanalen wordt gebruikt.

  8. Voeg deze computeraccounts toe aan de beveiligingsgroep (en) als dat nodig is. Aanbevolen procedure Gebruik beveiligingsgroepen in het Groepsbeleid en voeg accounts toe aan de groep, zodat het lidmaatschap wordt gerepliceerd via de normale AD-replicatie. Hiermee worden frequente updates van Groepsbeleid en replicatievertragingen voorkomen.

Als alle niet-compatibele apparaten zijn geadresseerd, kunt u uw Dc's naar de afdwing modus verplaatsen (zie volgende sectie).

Waarschuwing Het forest kan door Dc's worden gebruikt om kwetsbare verbindingen te gebruiken voor de vertrouwens accounts van het Groepsbeleid. Vertrouwens accounts worden meestal aangeduid als een vertrouwd domein, bijvoorbeeld: De DC in domein a heeft een vertrouwensrelatie met een DC in domein-b. Intern heeft de domeincontroller in domein a een vertrouwensaccount met de naam ' Domain-b $ ' voor het vertrouwensobject voor domein-b. Als de domeincontroller in domein a het forest blootstelt aan risico van een aanval door beveiligde beveiligde kanaal verbindingen voor de Netlogon via het vertrouwensaccount van domein b mogelijk te maken, kan een beheerder de naam van de beveiligingsgroep adgroupmember, de leden "domein-b $", toevoegen aan de beveiligingsgroep.

 

stap 3a: inschakelen

Naar de handhavingsmodus voor de handhavings fase februari 2021

Nadat alle apparaten die niet compatibel zijn, zijn geadresseerd met behulp van veilige RPC of door risico gevoelige verbindingen met de ' domeincontroller toe te staan: Beveiligde beveiligde kanaal verbindingen voor Netlogon toelaten "voor Groepsbeleid stelt u de registersleutel FullSecureChannelProtection in op 1.

Opmerking Als u de domeincontroller van de gebruikt: Beveiligde beveiligde kanaal verbindingen voor beveiligde verbindingen voor groepsbeleid toelaten. Controleer of het Groepsbeleid is gerepliceerd en toegepast op alle Dc's voordat u de registersleutel FullSecureChannelProtection instelt.

Wanneer de registersleutel FullSecureChannelProtection wordt geïmplementeerd, worden Dc's in de afdwing modusuitgevoerd. Voor deze instelling moeten alle apparaten met beveiligd Netlogon-kanaal:

Waarschuwing Klanten van derden die geen ondersteuning bieden voor het beveiligen van RPC met Netlogon-beveiligde kanaal verbindingen, worden geweigerd wanneer de registersleutel voor de handhavingsmodus voor DC wordt geïmplementeerd.

 

stap 3b: voor uitvoeringsfase

9 februari 2021 updates installeren

Bij de implementatie van updates die zijn uitgebracht op 9 februari 2021 of later, wordt de handhavingsmodusvoor gelijkstroom ingeschakeld. De handhavingsmodus voor gelijkstroom bewerkingen wordt uitgevoerd wanneer alle Netlogon-verbindingen zijn vereist voor het gebruik van veilige RPC of het account moet zijn toegevoegd aan de ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon- Op dit moment is de registersleutel FullSecureChannelProtection niet meer nodig en wordt deze niet meer ondersteund.

' Domeincontroller: Een kwetsbaar beveiligingsniveau voor beveiligde kanalen voor Netlogon toelaten

Het is raadzaam om beveiligingsgroepen in het groepsbeleid te gebruiken, zodat het lidmaatschap wordt gerepliceerd via de normale AD-replicatie. Hiermee worden frequente updates van Groepsbeleid en replicatievertragingen voorkomen.

Pad naar beleid en naam van instelling

Omschrijving

Pad naar beleid: Computer configuratie > Windows-instellingen > beveiligingsinstellingen > lokaal beleid > beveiligingsopties

Naam van instelling: domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon toelaten

Opnieuw opstarten vereist? Nee

Met deze beveiligingsinstelling wordt bepaald of de domeincontroller veilige RPC voor beveiligde kanaal verbindingen voor Netlogon voor de opgegeven computeraccounts negeert.

Dit beleid moet worden toegepast op alle domeincontrollers in een forest door het beleid in te schakelen voor de organisatie-eenheid domeincontrollers.

Wanneer de lijst met de lijst met toegestane verbindingen maken is geconfigureerd:

  • Hebben De domeincontroller staat toe dat voor de opgegeven groep/accounts een beveiligd Netlogon-kanaal wordt gebruikt zonder dat RPC wordt beveiligd.

  • Weigeren Dit is hetzelfde als het standaardgedrag. De domeincontroller vereist dat voor de opgegeven groep/accounts een beveiligd Netlogon-kanaal wordt gebruikt met veilige RPC.

Waarschuwing Als u dit beleid inschakelt, worden uw apparaten met een domein en het Active Directory-forest weergegeven. Hierdoor kunnen ze risico lopen. Dit beleid moet worden gebruikt als tijdelijke eenheid voor apparaten van derden bij het implementeren van updates. Als een apparaat van derden wordt bijgewerkt tot ondersteuning voor het gebruik van veilige RPC met beveiligde kanalen voor Netlogon, wordt het account verwijderd uit de lijst met beveiligde verbindingen maken. Ga naar https://go.microsoft.com/fwlink/?linkid=2133485 voor meer informatie over het risico dat accounts worden geconfigureerd om kwetsbare Netlogon-beveiligde kanaal verbindingen te kunnen gebruiken.

Standaard Dit beleid is niet geconfigureerd. Er worden geen machines of vertrouwens accounts gebruikt voor het beveiligen van RPC met Netlogon Secure Channel-verbindingen afdwingen.

Dit beleid wordt ondersteund op Windows Server 2008 R2 SP1 en hoger.

Windows-gebeurtenislogboek fouten gerelateerd aan CVE-2020-1472

Er zijn drie categorieën met gebeurtenissen:

1. Vastgelegde gebeurtenissen als een verbinding wordt geweigerd omdat er een beveiligingsprobleem is opgetreden met een beveiligd Netlogon-kanaal:

  • Fout 5827 (computeraccounts)

  • Fout 5828 (vertrouwens accounts)

2. Vastgelegde gebeurtenissen als een verbinding is toegestaan, omdat het account is toegevoegd aan de domeincontroller van ': Kwetsbare beveiligde kanaal verbindingen voor Netlogon toelaten "voor Groepsbeleid:

  • Waarschuwing voor 5830 (computeraccounts)

  • Waarschuwings-5831 (vertrouwens accounts)

3. Gebeurtenissen die worden geregistreerd als een verbinding is toegestaan in de initiële release en die wordt geweigerd in de handhavingsmodusvoor gelijkstroom:

  • Waarschuwing voor 5829 (computeraccounts)

Gebeurtenis-ID 5827

Gebeurtenis-ID 5827 wordt geregistreerd wanneer een beveiligingsprobleem met een beveiligd Netlogon-kanaal van een computeraccount wordt geweigerd.

Gebeurtenislogboek

Systeem

Gebeurtenisbron

AANMELDING

Gebeurtenis-id

5827

Niveau

Fout

Berichttekst voor gebeurtenis

De Netlogon-service heeft een beveiligde Netlogon-kanaalverbinding van een computeraccount geweigerd.

Computer-SamAccountName:

Domein:

Accounttype:

Machine besturingssysteem:

Build van het machine besturingssysteem:

Service Pack voor machine Operating System:

Ga naar https://go.Microsoft.com/fwlink/?LinkId=2133485voor meer informatie over de reden waarom dit is geweigerd.

 

Gebeurtenis-ID 5828

Gebeurtenis-ID 5828 wordt geregistreerd wanneer een beveiligingsprobleem met een beveiligd Netlogon-kanaal van een vertrouwensaccount wordt geweigerd.

Gebeurtenislogboek

Systeem

Gebeurtenisbron

AANMELDING

Gebeurtenis-id

5828

Niveau

Fout

Berichttekst voor gebeurtenis

De Netlogon-service heeft een beveiligde Netlogon-beveiligde kanaalverbinding geweigerd met een vertrouwensaccount.

Accounttype:

Naam van vertrouwensrelatie:

Doel vertrouwen:

IP-adres van client:

Ga naar https://go.Microsoft.com/fwlink/?LinkId=2133485voor meer informatie over de reden waarom dit is geweigerd.

 

Gebeurtenis-ID 5829

Gebeurtenis-ID 5829 wordt alleen tijdens de eerste implementatiefasegeregistreerd als een beveiligings verbinding voor een beveiligd Netlogon-kanaal van een computeraccount is toegestaan.

Wanneer de handhavingsmodus van de DC wordt geïmplementeerd of wanneer de uitvoeringsfase begint met de implementatie van de updates van 9 februari 2021, worden deze verbindingen geweigerd en wordt gebeurtenis-id 5827 geregistreerd. Daarom is het belangrijk om te controleren op gebeurtenis 5829 tijdens de eerste implementatiefase en voorafgaand aan de uitvoeringsfase om te voorkomen dat er geen verstoringen worden uitgevoerd.

Gebeurtenislogboek

Er

Gebeurtenisbron

AANMELDING

Gebeurtenis-ID

5829

Niveau

Waarschuwingen

Berichttekst voor gebeurtenis

De Netlogon-service heeft een beveiligde Netlogon-beveiligde kanaalverbinding toegestaan.  

Waarschuwing: Deze verbinding wordt geweigerd zodra de handhavings fase wordt uitgebracht. Ga naar https://go.Microsoft.com/fwlink/?LinkId=2133485voor meer informatie over de handhavings fase.  

Computer-SamAccountName:  

Domein:  

Account type:  

Machine besturingssysteem:  

Build van het machine besturingssysteem:  

Service Pack voor machine Operating System:  

Gebeurtenis-ID 5830

Gebeurtenis-ID 5830 wordt geregistreerd wanneer een beveiligingsprobleem met een beveiligingskoppeling van een computeraccount van een Netlogon-account wordt toegestaan door ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

Gebeurtenislogboek

Systeem

Gebeurtenisbron

AANMELDING

Gebeurtenis-id

5830

Niveau

Waarschuwing

Berichttekst voor gebeurtenis

De Netlogon-service heeft een beveiligde Netlogon-beveiligde kanaalverbinding toegestaan, omdat het computeraccount is toegestaan in de domeincontroller: Groepsbeleid beveiligde toegang tot beveiligde kanalen voor Netlogon toelaten.

Waarschuwing: Als u kwetsbare beveiligde kanalen voor Netlogon gebruikt, worden de apparaten die lid zijn van het domein beschikbaar voor aanvallen. Als u uw apparaat tegen een aanval wilt beveiligen, verwijdert u een computeraccount uit ' domeincontroller: Groepsbeleid beveiligde beveiligde kanaal verbindingen voor Netlogon toelaten nadat de Netlogon-client van derden is bijgewerkt. Ga naar https://go.Microsoft.com/fwlink/?LinkId=2133485voor meer informatie over het risico dat computeraccounts worden geconfigureerd voor het gebruik van beveiligde kanaal verbindingen van Netlogon.

Computer-SamAccountName:

Domein:

Accounttype:

Machine besturingssysteem:

Build van het machine besturingssysteem:

Service Pack voor machine Operating System:

 

Gebeurtenis-ID 5831

Gebeurtenis-ID 5831 wordt geregistreerd wanneer een beveiligingsprobleem met een beveiligingsaccount van een beveiligde verbinding tussen het beveiligde kanaal van Netlogon en een domeincontroller met ' wordt toegestaan: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

Gebeurtenislogboek

Systeem

Gebeurtenisbron

AANMELDING

Gebeurtenis-id

5831

Niveau

Waarschuwing

Berichttekst voor gebeurtenis

De Netlogon-service heeft een beveiligde Netlogon-beveiligde kanaalverbinding toegestaan, omdat het vertrouwensaccount is toegestaan in de domeincontroller: Groepsbeleid beveiligde toegang tot beveiligde kanalen voor Netlogon toelaten.

Waarschuwing: Als u kwetsbare beveiligde kanalen voor Netlogon gebruikt, worden Active Directory-forests kwetsbaar voor aanvallen. Als u uw Active Directory-forests tegen aanvallen wilt beveiligen, moeten alle vertrouwensrelaties veilige RPC met beveiligd Netlogon kanaal gebruiken. Een vertrouwensaccount verwijderen uit ' domeincontroller: Open beveiligde kanaal verbindingen met een beveiligde verbinding voor Groepsbeleid nadat de Netlogon-client van derden op de domeincontrollers is bijgewerkt. Ga naar https://go.Microsoft.com/fwlink/?LinkId=2133485voor meer informatie over het risico dat u vertrouwens accounts configureert voor het gebruik van beveiligde kanaal verbindingen van Netlogon.

Accounttype:

Naam van vertrouwensrelatie:

Doel vertrouwen:

IP-adres van client:

Registerwaarde voor de afdwing modus

waarschuwing er kunnen ernstige problemen optreden als u het register onjuist wijzigt via de Register-editor of met behulp van een andere methode. Bij deze problemen moet u mogelijk het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Het wijzigen van het register is op eigen risico. 

De updates van 11 augustus 2020 introduceren de volgende registerinstelling om de handhavingsmodus vroeg in te schakelen. Dit wordt ingeschakeld, ongeacht de registerinstelling in de afdwing fase op 9 februari 2021: 

Registersubsleutel

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Waarde

FullSecureChannelProtection

Gegevenstype

REG_DWORD

Gegevens

1: Hiermee wordt de uitvoeringsmodus ingeschakeld. Dc's onthoudt beveiligde beveiligde kanaal verbindingen van het-domein, tenzij het account wordt toegestaan door de lijst met kwetsbare verbindingen maken in de domeincontroller voor de ' '. Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-  

0 – DCs biedt beveiligde Netlogon-kanaal verbindingen van niet-Windows-apparaten mogelijk. Deze optie wordt afgeschaft in de release van de handhavings fase.

Opnieuw opstarten vereist?

Nee

 

Apparaten van derden die [MS-NRPC] implementeren: Extern protocol van Netlogon

Alle clients of servers van derden moeten veilige RPC met het beveiligde beveiligde kanaal van Netlogon gebruiken. Neem contact op met de fabrikant van het apparaat (OEM'S) of softwareleveranciers om te bepalen of hun software compatibel is met het laatste externe Netlogon-protocol. 

De protocol updates vindt u op de documentatie site van het Windows-protocol

Veelgestelde vragen

  • Windows &-apparaten die lid zijn van derden en die computeraccounts hebben in Active Directory (AD)

  • Windows Server & domeincontrollers van derden in vertrouwde & vertrouwende domeinen met vertrouwens accounts in Active Directory

Apparaten van derden zijn mogelijk niet compatibel. Neem contact op met de leverancier om te bepalen of u van belang bent als uw oplossing voor derden een computeraccount bij Active Directory houdt.

Vertragingen in AD-en SYSVOL-replicatie of fout-en groeps beleidstoepassings fouten in de verifiërende DC veroorzaken mogelijk de wijzigingen in het groeps beleid van de domeincontroller. Beveiligde beveiligde kanaal verbindingen voor beveiligde verbindingen toelaten " voor Groepsbeleid niet aanwezig en wordt het account geweigerd. 

De volgende stappen kunnen helpen om het probleem op te lossen:

Standaard worden ondersteunde versies van Windows die volledig zijn bijgewerkt, niet gebruikt voor beveiligde beveiligde kanaal verbindingen. Als gebeurtenis-ID 5827 wordt geregistreerd in het systeemgebeurtenislogboek voor een Windows-apparaat:

  1. Controleer of op het apparaat een ondersteunde versie van Windowswordt uitgevoerd.

  2. Controleer of het apparaat volledig is bijgewerkt via Windows Update.

  3. Controleer of domeinlid: Gegevens in beveiligd kanaal digitaal coderen of ondertekenen (always) wordt ingesteld op ingeschakeld in een GROEPSBELEIDOBJECT dat is gekoppeld aan de organisatie-eenheid voor alle Dc's, zoals het groepsbeleidsobject Standaarddomeincontrollers.

Ja, ze moeten worden bijgewerkt, maar zijn niet specifiek vatbaar voor CVE-2020-1472.

Nee, DCs is de enige rol die wordt beïnvloed door CVE-2020-1472 en kan onafhankelijk worden bijgewerkt van niet-dc's Windows-servers en andere Windows-apparaten.

Windows Server 2008 SP2 is niet kwetsbaar voor dit specifieke CVE, omdat deze geen gebruikmaakt van AES voor Secure RPC.

Ja, u hebt een uitgebreide beveiligings update (ESU) nodig om de updates te installeren voor het adres CVE-2020-1472 voor Windows Server 2008 R2 SP1.

Door de updates van 11 augustus 2020 of nieuwer te installeren voor alle domeincontrollers in uw omgeving.

Zorg ervoor dat er geen apparaten zijn toegevoegd aan de ' domeincontroller: Kwetsbare beveiligde kanaal verbindingen voor Netlogon toelaten ' Groepsbeleid de bevoegdheden van de beheerders beheerders of domeinbeheerders van beheerders of domeinbeheerders hebben, zoals SCCM of Microsoft Exchange.  Opmerking Op elk apparaat in de lijst toestaan kunt u kwetsbare verbindingen gebruiken. de aanval kan worden blootgesteld aan uw omgeving.

Bij de installatie van de updates die zijn uitgebracht op 11 augustus 2020 of later op de domeincontrollers, worden de op Windows gebaseerde computeraccounts, de accounts voor vertrouwens accounts en domeincontroller beschermd. 

Active Directory-accounts voor een domein dat is toegevoegd aan een ander apparaat, worden niet beschermd tot de afdwing modus wordt geïmplementeerd. Computeraccounts worden ook niet beschermd als deze worden toegevoegd aan de ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

Zorg ervoor dat alle domeincontrollers in uw omgeving de updates voor 11 augustus 2020 of hoger hebben geïnstalleerd.

Alle apparaat-identiteiten die zijn toegevoegd aan de ' domeincontroller: Kwetsbare beveiligde kanaal verbindingen voor Netlogon toelaten " voor Groepsbeleid is kwetsbaar voor aanvallen.   

Zorg ervoor dat alle domeincontrollers in uw omgeving de updates voor 11 augustus 2020 of hoger hebben geïnstalleerd. 

Schakel de afdwing modus in om kwetsbare verbindingen voor niet-compatibele apparaat-identiteiten van derden te weigeren.

Opmerking Wanneer de handhavingsmodus is ingeschakeld, zijn alle apparaat-identiteiten van derden die zijn toegevoegd aan de domeincontroller van de ' '. Kwetsbare Netlogon-beveiligde kanaal verbindingen toelaten " voor Groepsbeleid is nog steeds kwetsbaar en kan een kwaadwillende gebruiker toegang geven tot uw netwerk of apparaten.

In de handhavingsmodus wordt op de domeincontrollers ingesteld dat er geen Netlogon-verbindingen mogen worden uitgevoerd vanaf apparaten die geen beveiligde RPC gebruiken, tenzij dit apparaataccount is toegevoegd aan ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

Zie voor meer informatie de sectie registerwaarde voor de handhavingsmodus .

Alleen computeraccounts voor apparaten die niet veilig kunnen worden gemaakt door Secure RPC in te schakelen, moeten worden toegevoegd aan het Groepsbeleid. U wordt aangeraden deze apparaten compatibel te maken of deze apparaten te vervangen om uw omgeving te beveiligen.

Een kwaadwillende gebruiker kan een Active Directory-machine-identiteit overnemen van een computeraccount dat is toegevoegd aan het Groepsbeleid. vervolgens worden alle machtigingen gebruikt die voor de machine-identiteit gelden.

Als u een apparaat van derden hebt dat geen ondersteuning biedt voor beveiligde RPC voor het beveiligde beveiligde kanaal van Netlogon en u de handhavingsmodus wilt inschakelen, moet u het computeraccount voor dat apparaat toevoegen aan het Groepsbeleid. Dit wordt niet aanbevolen en kan uw domein mogelijk kwetsbaar maken.  U wordt aangeraden dit groepsbeleid te gebruiken om te zorgen dat u de tijd hebt om apparaten van derden bij te werken of te vervangen om ze compatibel te maken.

De afdwing modus moet zo snel mogelijk worden ingeschakeld. Alle apparaten van derden moeten worden geadresseerd door ze compatibel te maken of door ze toe te voegen aan ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-Opmerking Op elk apparaat in de lijst toestaan kunt u kwetsbare verbindingen gebruiken. de aanval kan worden blootgesteld aan uw omgeving.

 

Woordenlijst

Overeenkomst

Inhoudsindexdefinitie

TOEPASSINGS

Active Directory

DC'S

Domein controller

Afdwing modus

De registersleutel waarmee u de handhavingsmodus van 9 februari 2021 kunt inschakelen.

Afdwing fase

Fase die begint met de updates voor 9 februari 2021 waar de handhavingsmodus wordt ingeschakeld op alle Windows-domein controllers, ongeacht de registerinstelling. Dc's ontzegt kwetsbare verbindingen van alle niet-compatibele apparaten, tenzij ze worden toegevoegd aan de ' domeincontroller: Beveiligde toegang tot beveiligde kanaal verbindingen voor Netlogon-

Fase van de eerste implementatie

Fase die begint met de updates van 11 augustus 2020 en gaat door met latere updates tot de handhavings fase.

computeraccount

Wordt ook wel een Active Directory-computer of een computerobject genoemd.  Zie de woordenlijst MS-NPRC voor volledige definitie.

MS-NRPC

Microsoft Netlogon-extern ProtoCol

Niet-compatibel apparaat

Een niet-compatibel apparaat is een apparaat dat gebruikmaakt van een beveiligde Netlogon-kanaalverbinding.

CONTROLLER

alleen-lezen domeincontrollers

Kwetsbare verbinding

Een kwetsbare verbinding is een Netlogon-beveiligde kanaalverbinding waarin geen beveiligde RPC wordt gebruikt.
Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×