Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Krótki opis

Protokół zdalny Netlogon (nazywany też MS-NRPC) to interfejs RPC używany wyłącznie na urządzeniach przyłączonych do domeny. Usługa MS-NRPC udostępnia metodę uwierzytelniania i metodę ustanawiania bezpiecznego kanału Netlogon. Te aktualizacje wymuszają określone działanie klienta Netlogon w celu używania bezpiecznego interfejsu RPC z bezpiecznym kanałem Netlogon między komputerami Członkowskimi a kontrolerami domeny usługi Active Directory (AD).

W ramach tej aktualizacji zabezpieczeń eliminuje się lukę, wymuszając bezpieczną komunikację RPC podczas korzystania z bezpiecznego kanału Netlogon w ramach zbiorczego rozwiązania omówionego w temacie Omówienie czasu aktualizacji związanych z usterką Netlogon CVE-2020-1472 . Aby zapewnić ochronę lasów usług AD, wszystkie kontrolery domen należy zaktualizować, ponieważ wymuszają bezpieczne wywołania RPC za pomocą bezpiecznego kanału Netlogon. Dotyczy to również kontrolerów domeny tylko do odczytu (RODC).

Aby dowiedzieć się więcej o usterce, zobacz CVE-2020-1472.

Podejmowanie działań

W celu ochrony środowiska i zapobiegania jego awarii należy wykonywać następujące czynności:

Uwaga Krok 1 instalacji aktualizacji opublikowanych 11, 2020 lub nowszej spowoduje zgłoszenie problemu z zabezpieczeniami w sekcji CVE-2020-1472 dla domen i zaufań usługi Active Directory oraz urządzeń z systemem Windows. Aby całkowicie zmniejszyć problem zabezpieczeń dla urządzeń innych firm, konieczne będzie wykonanie wszystkich czynności.

Ostrzeżenie Po uruchomieniu lutego 2021 Tryb wymuszania będzie włączony dla wszystkich kontrolerów domeny systemu Windows, co spowoduje blokowanie zagrożonych połączeń z niezgodnych urządzeń. W tym czasie nie będzie można wyłączyć trybu wymuszania.

  1. Zaktualizuj kontrolery domeny za pomocą aktualizacji opublikowanej 11 sierpnia 2020 lub nowszej.

  2. Sprawdź , które urządzenia nadają niebezpiecznym połączeniom, monitorując dzienniki zdarzeń.

  3. Adresy , które nie są zgodne z urządzeniami powodującymi zagrożenie połączenia.

  4. Włącz Tryb wymuszania pod kątem adresów CVE-2020-1472 w danym środowisku.


Uwaga W przypadku korzystania z systemu Windows Server 2008 R2 z dodatkiem SP1wymagana jest licencja rozszerzonej aktualizacji zabezpieczeń (ESU) w celu pomyślnego zainstalowania dowolnej aktualizacji z rozwiązaniem tego problemu. Aby uzyskać więcej informacji na temat programu EJW, zobacz często zadawane pytania dotyczące cyklu życia usługi — rozszerzone aktualizacje zabezpieczeń.

W tym artykule:

Chronometraż aktualizacji dotyczących luk w zabezpieczeniach usługi Netlogon CVE-2020-1472

Aktualizacje będą udostępniane w dwóch fazach: początkowa faza dotycząca aktualizacji opublikowanych w dniu lub po 11 sierpnia 2020 oraz fazie egzekwowania aktualizacji opublikowanych od 9 lutego 2021.

11 sierpnia 2020 — faza wstępnego wdrożenia

Początkowa faza wdrożenia rozpoczyna się od aktualizacji opublikowanych 11 sierpnia 2020 i kontynuuje pracę od późniejszych aktualizacji do etapu wymuszania. Te i późniejsze aktualizacje wprowadzają zmiany w protokole Netlogon w celu ochrony urządzeń z systemem Windows domyślnie, rejestruje zdarzenia dla niezgodnego odnajdowania urządzeń i dodaje możliwość włączenia ochrony dla wszystkich urządzeń przyłączonych do domeny z użyciem jawnych wyjątków. W tej aktualizacji:

  • Wymusza bezpieczne użycie zdalnego wywoływania procedur dla kont komputera na urządzeniach z systemem Windows.

  • Wymusza bezpieczne użycie zdalnego wywoływania procedur dla kont zaufania.

  • Wymusza bezpieczne użycie zdalnego wywoływania procedur dla wszystkich systemów Windows i kontrolerów domen bez systemu Windows.

  • Program zawiera nowe zasady grupy pozwalające na używanie niezgodnych kont urządzeń (tych, które używają luk w zabezpieczeniach bezpiecznych połączeń Netlogon). Nawet gdy kontrolery domen działają w trybie wymuszania lub po rozpoczęciu fazy wymuszania , dozwolone urządzenia nie odmówiono nawiązywania połączeń.

  • FullSecureChannelProtection klucz rejestru umożliwiający włączanie trybu wymuszania kontrolerów domen dla wszystkich kont komputera (faza wymuszania spowoduje zaktualizowanie kontrolerów domen do trybu wymuszaniadla kontrolerów domen)

  • Program zawiera nowe zdarzenia w sytuacji, gdy odmówiono kont lub odmówiono ich w trybie wymuszania kontrolera domeny (i będzie kontynuowane w fazie egzekwowania). Identyfikatory poszczególnych zdarzeń opisano w dalszej części tego artykułu.

Ograniczanie polega na instalowaniu aktualizacji na wszystkich kontrolerach domeny i RODCch, monitorowaniu pod kątem nowych zdarzeń i adresowaniu urządzeń niezgodnych z użyciem zagrożonych połączeń bezpiecznego kanału Netlogon. Konta komputera na niezgodnych urządzeniach mogą korzystać z luk w zabezpieczeniach bezpiecznych połączeń usługi Netlogon. należy jednak pamiętać, że powinny one zostać zaktualizowane w celu zapewnienia obsługi bezpiecznej procedury zdalnego wywoływania procedur dla usługi Netlogon i przemuszenia jego przemuszenia w celu usunięcia zagrożenia atakiem.

9 lutego 2021 — faza wymuszania

Wydanie z 9 lutego 2021 oznaczenia przejścia na fazę egzekwowania. Kontrolery domen będą teraz w trybie wymuszania niezależnie od klucza rejestru trybu wymuszania. W takim przypadku wszystkie urządzenia z systemem Windows i innymi urządzeniami z systemem Windows nie umożliwiają używania zabezpieczeń RPC z bezpiecznym kanałem Netlogon lub jawnie zezwalają na to konto, dodając wyjątek dla niezgodnego urządzenia. W tej aktualizacji:

  • Wymusza bezpieczne użycie zdalnego wywoływania procedur dla kont komputera na urządzeniach z systemem innym niż Windows, chyba że zezwalają na to "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

  • Dziennik zdarzeń o IDENTYFIKATORze 5829 zostanie usunięty. Ponieważ odmówiono wszystkim niezagrożonym połączeniom, w dzienniku zdarzeń systemowych będą teraz widoczne tylko identyfikatory zdarzeń 5827 i 5828.

Wskazówki dotyczące wdrażania — wdrażanie aktualizacji i egzekwowanie zgodności

Faza początkowej instalacji obejmuje następujące etapy:

  1. Wdrażanie aktualizacji z sierpnia sierpniudla wszystkich kontrolerów domen w lesie.

  2. (a) Monitoruj zdarzenia ostrzegawczei (b) działają na poszczególnych zdarzeniach.

  3. (a) po rozwiązaniu wszystkich zdarzeń ostrzegawczych możesz włączyć pełną ochronę, wdrażając Tryb wymuszaniakontrolera domeny. (b) wszystkie ostrzeżenia powinny zostać rozwiązane przed aktualizacją fazy wymuszania 9 lutego 2021.

krok 1. aktualizacji

Wdrażanie aktualizacji z 11 sierpnia 2020

Wdróż aktualizacje z sierpnia sierpniu dla wszystkich odpowiednich kontrolerów domen (DCs) w lesie, w tym kontrolerów domeny tylko do odczytu (RODC). Po wdrożeniu tej aktualizacji zaktualizowane aktualizacje kontrolerów domen będą miały następujące zastosowania:

  • Zacznij wymuszać bezpieczne użycie zdalnego wywoływania procedur dla wszystkich kont urządzeń opartych na systemie Windows, zaufanych kont i wszystkich kontrolerów domeny.

  • Jeśli nastąpiło odmowa połączeń, dziennik zdarzeń systemowych zostanie zarejestrowane w dzienniku zdarzeń systemowych 5827 i 5828.

  • Rejestruj identyfikatory zdarzeń 5830 i 5831 w dzienniku zdarzeń systemowych, jeśli dla połączeń zezwalają na "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

  • Rejestruj zdarzenie o IDENTYFIKATORze 5829 w dzienniku zdarzeń systemowych za każdym razem, gdy jest dozwolone zagrożenie połączenia bezpiecznego kanału Netlogon. Te zdarzenia należy uwzględnić przed skonfigurowaniem trybu wymuszania kontrolera domeny lub przed rozpoczęciem fazy wymuszania 9 lutego 2021.

 

krok 2A: Znajdowanie

Wykrywanie niezgodnych urządzeń przy użyciu identyfikatora zdarzenia 5829

Po 11 sierpnia 2020 aktualizacji dla kontrolerów domen, zdarzenia mogą być zbierane w dzienniku zdarzeń kontrolerów domen, aby sprawdzić, które urządzenia w danym środowisku używają zagrożonych połączeń bezpiecznego kanału Netlogon (zwanych na urządzeniach niezgodnych z tym artykułem). Monitoruj poprawione kontrolery domen dla zdarzeń o IDENTYFIKATORze zdarzeń 5829. Zdarzenia te będą obejmować ważne informacje dotyczące identyfikowania urządzeń niezgodnych.

W celu monitorowania zdarzeń Użyj dostępnego oprogramowania do monitorowania zdarzeń lub za pomocą skryptu do monitorowania kontrolerów domeny. Przykładowy skrypt, który można dostosować do środowiska, zawiera artykuł skrypt ułatwiający monitorowanie identyfikatorów zdarzeń związanych z aktualizacjami usługi Netlogon dla usługi CVE-2020-1472 .

krok 2B: adresów

Adresowanie identyfikatorów zdarzeń 5827 i 5828

Domyślnie w pełni Zaktualizowano obsługiwane wersje systemu Windows , które nie powinny być używane w celu używania zagrożonych połączeń bezpiecznego kanału Netlogon. Jeśli jedno z tych zdarzeń jest rejestrowane w dzienniku zdarzeń systemowych dla urządzenia z systemem Windows:

  1. Upewnij się, że na urządzeniu działa obsługiwane wersje systemu Windows.

  2. Upewnij się, że urządzenie zostało w pełni zaktualizowane.

  3. Upewnij się, że członka domeny: Cyfrowe szyfrowanie lub podpisywanie danych bezpiecznego kanału (zawsze) jest ustawione jako włączone.

W przypadku urządzeń z systemem innym niż Windows, takich jak kontroler domeny, te zdarzenia będą rejestrowane w dzienniku zdarzeń systemowych podczas korzystania z zagrożonych połączeń usługi Netlogon w bezpiecznym kanale Netlogon. Jeśli jest rejestrowane jedno z następujących zdarzeń:

  • Zalecany Korzystanie z usługi w celu uzyskania pomocy technicznej dotyczącej bezpiecznej obsługi RPC za pomocą bezpiecznego kanału Netlogon od producenta lub dostawcy oprogramowania.

    1. Jeśli interfejs zabezpieczeń usługi, który nie jest zgodny z usługą, obsługuje zabezpieczoną funkcję RPC za pomocą bezpiecznego kanału usługi Netlogon, Włącz bezpieczne wywoływanie RPC na kontrolerze domeny.

    2. Jeśli sterownik nie zgodny z usługą nie jest obecnie obsługiwany w ramach zabezpieczonego interfejsu przekierowania, należy współdziałać z producentem urządzenia (OEM) lub dostawcą oprogramowania w celu uzyskania aktualizacji obsługującej bezpieczne wywoływanie RPC za pomocą bezpiecznego kanału Netlogon.

    3. Wycofanie niezgodnego kontrolera domeny.

  • Narażone Jeśli kontroler domeny bez zgodnych kontrolerów domeny nie obsługuje bezpiecznego wywoływania procedur usługi RPC za pomocą bezpiecznego kanału usługi Netlogon przed przejściem do trybu wymuszaniakontrolerów domen, Dodaj kontroler domeny za pomocą "kontroler domeny: Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon " opisano poniżej.

Ostrzeżenie Dzięki temu, że kontrolery domen będą korzystać z zagrożonych połączeń przez zasady grupy, nastąpi zagrożenie atakami. Celem końca powinno być naliczenie i usunięcie wszystkich kont z tych zasad grupy.

 

Zdarzenie adresowe 5829

Identyfikator zdarzenia 5829 jest generowany, gdy dla początkowej fazy wdrożenia jest dozwolone połączenie narażone na ataki. Te połączenia zostaną odrzucone, gdy kontrolery domen znajdują się w trybie wymuszania. W tych wydarzeniach fokus znajduje się na nazwie komputera, domenie i wersji systemu operacyjnego zidentyfikowanych w celu sprawdzenia, jakie urządzenie nie jest zgodne z systemem, oraz tego, jak należy zalogować.

Sposoby adresowania niezgodnych urządzeń:

  • Zalecany W celu uzyskania pomocy technicznej dotyczącej bezpiecznych funkcji zdalnego interfejsu logowania w bezpiecznym kanale Netlogon współpracują z producentem urządzeń (OEM) lub dostawcą oprogramowania.

    1. Jeśli niezgodne urządzenie obsługuje bezpieczne wywoływanie RPC za pomocą bezpiecznego kanału Netlogon, Włącz bezpieczne wywoływanie RPC na urządzeniu.

    2. Jeśli na niezgodnym urządzeniu nie jest obecnie obsługiwana bezpieczna usługa RPC z bezpiecznym kanałem Netlogon, popracuj z producentem urządzenia lub dostawcą oprogramowania, aby uzyskać aktualizację umożliwiającą włączenie bezpiecznej obsługi RPC za pomocą bezpiecznego kanału Netlogon.

    3. Wycofaj niezgodne urządzenie.

  • Narażone Jeśli na niezgodnym urządzeniu nie można obsłużyć bezpiecznego zdalnego interfejsu usługi przy użyciu bezpiecznego kanału usługi Netlogon przed przeprowadzeniem trybu egzekwowaniakontrolerów domen, Dodaj urządzenie przy użyciu "kontroler domeny: Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon " opisano poniżej.

Ostrzeżenie W przypadku kont urządzeń, które mogą korzystać z tych połączeń, te konta usługi AD będą zagrożone. Celem końca powinno być naliczenie i usunięcie wszystkich kont z tych zasad grupy.

 

Zezwalanie na zagrożone połączenia z urządzeń innych firm

Użyj "kontroler domeny: zasady grupy pozwalające na dodanie niezgodnych kont Powinno to być uznawane za krótkoterminowe, dopóki nie zostaną zaadresowane niezgodne urządzenia zgodnie z powyższym opisem. Uwaga Dołączanie do niezgodnych urządzeń zabezpieczeń połączeń z niezgodnymi urządzeniami może mieć nieznany wpływ na bezpieczeństwo.

  1. Utworzono grupy zabezpieczeń dla kont, które będą mogły używać zagrożonego kanału Netlogon.

  2. W zasadach grupy przejdź do obszaru Konfiguracja komputera, > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń

  3. Wyszukaj "kontroler domeny: Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon ".

  4. Jeśli grupa administrator usługi lub Grupa, której nie utworzono specjalnie na potrzeby korzystania z tych zasad grupy, jest dostępna, usuń ją.

  5. Dodaj grupę zabezpieczeń specjalnie przeznaczoną do użycia z tymi zasadami grupy do deskryptora zabezpieczeń za pomocą uprawnienia Zezwalaj. Uwaga Uprawnienie "odmowa" działa tak samo, jak gdyby konto nie zostało dodane, tj. te konta nie będą mogły tworzyć luk w zabezpieczeniach kanałów Netlogon.

  6. Po dodaniu grup zabezpieczeń usługi zasady grupy muszą zostać zreplikowane na każdym kontrolerze domeny.

  7. Od czasu do czasu Monitoruj zdarzenia 5827, 5828 i 5829, aby sprawdzić, które konta korzystają z zagrożonych połączeń bezpiecznych kanałów.

  8. Dodaj te konta komputera do odpowiednich grup zabezpieczeń, stosownie do potrzeb. Najlepsze rozwiązanie Za pomocą grup zabezpieczeń w zasadach grupy Dodaj konta do grupy, aby członkostwo było replikowana za pośrednictwem zwykłej replikacji AD. Pozwoli to uniknąć częstej aktualizacji zasad grupy i opóźnień replikacji.

Gdy wszystkie niezgodne urządzenia zostały rozwiązane, możesz przenieść kontrolery domen do trybu wymuszania (zobacz następną sekcję).

Ostrzeżenie W celu zapewnienia, że kontrolery domen będą korzystać z niebezpiecznych połączeń dla kont zaufania przez zasady grupy, zapewni to atak na ataki. Konta zaufania zwykle nazywane są domenami zaufanymi, na przykład: KONTROLER domeny w domenie — ma zaufanie do kontrolera domeny w domenie-b. Wewnętrznie, kontroler domeny w domenie — ma konto zaufania o nazwie "domena-b $", które reprezentuje obiekt zaufania dla domeny-b. Jeśli kontroler domeny w domenie-a chce uwidocznić Las w celu ataku za pośrednictwem zabezpieczeń usługi Netlogon na bezpiecznym kanale Netlogon, administrator może użyć funkcji Add-ADGroupMember — tożsamości "Nazwa grupy zabezpieczeń" — członkowie "domena-b $" w celu dodania konta zaufania do grupy zabezpieczeń.

 

kroku 3a: Włączanie

Przechodzenie do trybu wymuszania przed fazą lutego 2021 roku egzekwowania

Gdy wszystkie niezgodne urządzenia zostały zaadresowane do usługi, Włącz bezpieczną komunikację RPC lub w celu dołączenia do niego zagrożonych połączeń z "kontroler domeny: Zezwalaj na działanie zabezpieczeń usługi Netlogon w bezpiecznym kanale Netlogon "zasady grupy, Ustaw klucz rejestru FullSecureChannelProtection na 1.

Uwaga Jeśli używasz kontrolera domeny ej, wykonaj następujące czynności: Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon "zasady grupy, upewnij się, że zasady grupy zostały zreplikowane i zastosowane do wszystkich kontrolerów domen przed ustawieniem klucza rejestru FullSecureChannelProtection.

W przypadku wdrożenia klucza rejestru FullSecureChannelProtections kontrolery domen będą znajdować się w trybie wymuszania. To ustawienie wymaga, aby wszystkie urządzenia używające bezpiecznego kanału Netlogon:

  • Użyj bezpiecznego zdalnego wywoływania procedur.

  • Są dozwolone w "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Ostrzeżenie Klienci innych firm, które nie obsługują zabezpieczonego zdalnego wywoływania procedur przy użyciu bezpiecznych połączeń usługi Netlogon, będą odmawiane w przypadku wdrożenia klucza rejestru trybu wymuszania kontrolera domeny, który może zakłócać działanie usług produkcyjnych.

 

kroku 3B: fazy egzekwowania

Wdrażanie aktualizacji z 9 lutego 2021

Wdrożenie aktualizacji opublikowanych 9 lutego 2021 lub nowszej spowoduje włączenie trybu wymuszaniakontrolera domeny. Tryb wymuszania kontrolera domeny jest używany, gdy wszystkie połączenia Netlogon są wymagane do korzystania ze bezpiecznej usługi RPC lub konto zostało dodane do "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon. W tej chwili klucz rejestru FullSecureChannelProtection nie jest już potrzebny i nie będzie już obsługiwany.

"Kontroler domeny: Zasady grupy Zezwalaj na zagrożone połączenia w bezpiecznym kanale Netlogon

Najlepszym rozwiązaniem jest użycie grup zabezpieczeń w zasadach grupy, aby członkostwo zostało zreplikowane za pośrednictwem zwykłej replikacji AD. Pozwoli to uniknąć częstej aktualizacji zasad grupy i opóźnień replikacji.

Ścieżka zasad i Nazwa ustawienia

Opis

Ścieżka zasad: Konfiguracja komputera > ustawień systemu Windows > ustawień zabezpieczeń > zasad lokalnych > opcje zabezpieczeń

Nazwa ustawienia: kontroler domeny: Zezwalaj na zagrożone połączenia Netlogon w bezpiecznym kanale Netlogon

Ponowne uruchamianie wymagane? Nie

To ustawienie zabezpieczeń decyduje o tym, czy kontroler domeny nie pomija zabezpieczeń RPC dla połączeń bezpiecznych dla usługi Netlogon dla określonych kont na komputerze.

Te zasady należy stosować do wszystkich kontrolerów domeny w lesie, włączając zasady na jednostce organizacyjnej Kontrolery domeny.

Po skonfigurowaniu listy tworzenie połączeń z lukami (Zezwalaj na listę połączeń):

  • Umożliwiał Kontroler domeny zezwoli określonej grupie/kont na korzystanie z bezpiecznego kanału usługi Netlogon bez zabezpieczania zdalnego wywoływania procedur.

  • Odrzuca To ustawienie jest takie samo jak zachowanie domyślne. Kontroler domeny będzie wymagać podanej grupy/kont do używania bezpiecznego kanału usługi Netlogon ze bezpiecznym RPC.

Ostrzeżenie Włączenie tych zasad spowoduje udostępnienie urządzeń przyłączonych do domeny i lasu usługi Active Directory, co mogłoby powodować zagrożenie. Te zasady należy stosować jako tymczasowe środki dla urządzeń innych firm podczas wdrażania aktualizacji. Gdy urządzenie innego dostawcy zostanie zaktualizowane w celu zapewnienia obsługi protokołu RPC za pomocą bezpiecznych kanałów Netlogon, należy je usunąć z listy tworzenie połączeń ze zagrożeniami. Aby lepiej zrozumieć ryzyko konfigurowania kont w celu używania luk w zabezpieczeniach bezpiecznych połączeń Netlogon, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485.

Domyślny Te zasady nie są skonfigurowane. Żadne komputery ani konta zaufania nie są jawnie wyłączone ze bezpiecznej usługi RPC za pomocą wymuszania połączeń bezpiecznego kanału Netlogon.

Te zasady są obsługiwane w systemie Windows Server 2008 R2 z dodatkiem SP1 lub nowszym.

Błędy dziennika zdarzeń systemu Windows dotyczące usługi CVE-2020-1472

Istnieją trzy kategorie zdarzeń:

1. Zdarzenia zarejestrowane, gdy nastąpiło odmowa połączenia w związku z tym, że podjęto próbę nawiązania połączenia bezpiecznego kanału Netlogon:

  • 5827 (konta komputerów) — błąd

  • 5828 (konta zaufania)

2. Zdarzenia zarejestrowane, gdy połączenie jest dozwolone, ponieważ konto zostało dodane do "kontroler domeny: Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon "zasad grupy:

  • 5830 (konta komputerów)

  • 5831 (konta zaufania)

3. Zdarzenia zarejestrowane, gdy w początkowym wydaniu nastąpiło odmowa połączenia w trybie wymuszaniakontrolera domeny:

  • 5829 (konta komputerów)

Identyfikator zdarzenia 5827

Zdarzenie o IDENTYFIKATORze 5827 będzie rejestrowane, gdy zostanie odmowa zagrożonego połączenia Netlogon za pomocą bezpiecznego kanału z kontem komputera.

Dziennik zdarzeń

System

Źródło zdarzenia

ZAWARTOŚĆ

Identyfikator zdarzenia

5827

Poziom

Błąd

Tekst komunikatu o zdarzeniu

Usługa Netlogon odmówiła zagrożonego połączenia Netlogon Netlogon z konta komputera.

SamAccountName komputera:

Domena:

Typ konta:

System operacyjny komputera:

Kompilacja system operacyjny na komputerze:

Dodatek Service Pack systemu operacyjnego komputera:

Aby uzyskać więcej informacji o tym, dlaczego odmówiono tego odmowy, odwiedź stronę https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Identyfikator zdarzenia 5828

Zdarzenie o identyfikatorze 5828 będzie rejestrowane po odmowie odmowy usterce bezpiecznego kanału usługi Netlogon z poziomu konta zaufania.

Dziennik zdarzeń

System

Źródło zdarzenia

ZAWARTOŚĆ

Identyfikator zdarzenia

5828

Poziom

Błąd

Tekst komunikatu o zdarzeniu

Usługa Netlogon odmówiła zagrożonego połączenia Netlogon Netlogon przy użyciu konta zaufania.

Typ konta:

Nazwa zaufania:

Element docelowy zaufania:

Adres IP klienta:

Aby uzyskać więcej informacji o tym, dlaczego odmówiono tego odmowy, odwiedź stronę https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Identyfikator zdarzenia 5829

Zdarzenie o IDENTYFIKATORze 5829 będzie rejestrowane tylko podczas etapu wstępnego wdrożenia, jeśli jest dozwolone zagrożenie połączenia z bezpiecznym kanałem Netlogon z konta komputera.

Gdy Tryb wymuszania kontrolera domeny jest wdrożony lub po rozpoczęciu fazy egzekwowania wdrożenia aktualizacji z 9 lutego 2021 te połączenia zostaną odrzucone, a identyfikator zdarzenia 5827 będzie rejestrowany. Dlatego ważne jest monitorowanie zdarzeń 5829 podczas etapu wstępnego wdrożenia i działania przed rozpoczęciem fazy wymuszania w celu uniknięcia awarii.

Dziennik zdarzeń

Komputerze

Źródło zdarzenia

ZAWARTOŚĆ

Identyfikator zdarzenia

5829

Poziom

Generowane

Tekst komunikatu o zdarzeniu

Usługa Netlogon może uzyskać dostęp do zagrożonego połączenia Netlogon w bezpiecznym kanale.  

Ostrzeżenie: Po wydaniu fazy egzekwowania tego połączenia zostanie odrzucona. Aby lepiej zrozumieć fazę egzekwowania, odwiedź stronę https://go.Microsoft.com/fwlink/?LinkId=2133485.  

SamAccountName komputera:  

Domena:  

Typ konta:  

System operacyjny komputera:  

Kompilacja system operacyjny na komputerze:  

Dodatek Service Pack systemu operacyjnego komputera:  

Identyfikator zdarzenia 5830

Zdarzenie o IDENTYFIKATORze 5830 będzie rejestrowane, gdy zagrożone połączenie z kontem komputera z bezpiecznymi kanałami Netlogon będzie dozwolone przez "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Dziennik zdarzeń

System

Źródło zdarzenia

ZAWARTOŚĆ

Identyfikator zdarzenia

5830

Poziom

Ostrzeżenie

Tekst komunikatu o zdarzeniu

Usługa Netlogon zezwoli usterce na bezpieczny kanał usługi Netlogon, ponieważ konto komputera jest dozwolone na kontrolerze domeny: Zasady grupy Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon.

Ostrzeżenie: Korzystanie z luk w zabezpieczeniach bezpiecznych kanałów usługi Netlogon spowoduje ujawnienie urządzeniom przyłączonym do domeny. Aby chronić urządzenie przed atakiem, Usuń konto komputera z usługi "kontroler domeny: Po zaktualizowaniu klienta Netlogon Netlogon za pomocą zasad grupy Zezwalaj na zabezpieczone połączenia w bezpiecznym kanale Netlogon. Aby lepiej zrozumieć ryzyko konfigurowania kont komputera w celu używania luk w zabezpieczeniach bezpiecznych połączeń Netlogon, odwiedź stronę https://go.Microsoft.com/fwlink/?LinkId=2133485.

SamAccountName komputera:

Domena:

Typ konta:

System operacyjny komputera:

Kompilacja system operacyjny na komputerze:

Dodatek Service Pack systemu operacyjnego komputera:

 

Identyfikator zdarzenia 5831

Zdarzenie o IDENTYFIKATORze 5831 będzie rejestrowane, gdy zagrożone połączenie z kontem zaufania usługi Netlogon jest dozwolone przez "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Dziennik zdarzeń

System

Źródło zdarzenia

ZAWARTOŚĆ

Identyfikator zdarzenia

5831

Poziom

Ostrzeżenie

Tekst komunikatu o zdarzeniu

Usługa Netlogon zezwoli usterce na bezpieczny kanał usługi Netlogon, ponieważ konto zaufania jest dozwolone na kontrolerze domeny: Zasady grupy Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon.

Ostrzeżenie: Za pomocą zagrożonych zabezpieczonych kanałów Netlogon usługa będzie aktywnie uwidaczniać lasy z usługą Active Directory. W celu ochrony lasów usługi Active Directory przed atakami wszystkie zaufania muszą używać zabezpieczonego zdalnego interfejsu logowania w bezpiecznym kanale Netlogon. Usuwanie konta zaufania z poziomu "kontroler domeny: Po zaktualizowaniu klienta Netlogon za pomocą usługi Netlogon na temat zabezpieczeń usługi Netlogon na karcie usługa Netlogon należy uwzględnić zasady grupy. Aby lepiej zrozumieć ryzyko konfiguracji kont zaufania w celu używania luk w zabezpieczeniach bezpiecznych połączeń usługi Netlogon, odwiedź stronę https://go.Microsoft.com/fwlink/?LinkId=2133485.

Typ konta:

Nazwa zaufania:

Element docelowy zaufania:

Adres IP klienta:

Wartość rejestru dla trybu wymuszania

Ostrzeżenie nieprawidłowe zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody. W przypadku tych problemów może być konieczne ponowne zainstalowanie systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Modyfikuj rejestr na własną odpowiedzialność. 

W przypadku aktualizacji z 11 sierpnia 2020 wprowadzamy następujące ustawienia rejestru umożliwiające wczesne Włączanie trybu wymuszania. Zostanie ono włączone bez względu na ustawienie rejestru w fazie egzekwowania rozpoczynającym się od 9 lutego 2021: 

Podklucz rejestru

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Wartość

FullSecureChannelProtection

Typ danych

REG_DWORD

Dane

1 — umożliwia włączenie trybu wymuszania. Kontroler domeny usługi będzie odmówiony na podstawie zagrożonych połączeń usługi Netlogon usługi, chyba że jest to dozwolone na liście tworzenie połączeń zagrożonych na "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.  

0 — kontrolery domen będą umożliwiały dostęp do bezpiecznych połączeń usługi Netlogon na urządzeniach innych niż komputery z systemem Windows. Ta opcja zostanie zaniechana w ramach etapu wymuszania.

Ponowne uruchamianie wymagane?

Nie

 

Urządzenia innych firm wdrażające [MS-NRPC]: Protokół zdalny Netlogon

Wszyscy klienci lub serwery innych firm muszą używać zabezpieczeń RPC w bezpiecznym kanale Netlogon. Skontaktuj się z producentami lub producentami oprogramowania, aby sprawdzić, czy posiadane oprogramowanie jest zgodne z najnowszym protokołem zdalnym Netlogon. 

Aktualizacje protokołu znajdują się w witrynie dokumentacji protokołu Windows

Często zadawane pytania

  • System Windows & urządzenia z przyłączonymi domenami innych firm, które zawierają konta na komputerze w usłudze Active Directory (AD)

  • Windows Server & kontrolerów domeny innych firm w zaufanych & ufających domenach, które mają konta zaufania w usłudze AD

Urządzenia innych firm mogą nie być zgodne. Jeśli Twoje rozwiązanie innego dostawcy obsługuje konto komputera w usłudze AD, skontaktuj się z dostawcą, aby sprawdzić, czy ma to wpływ.

Opóźnienia w replikacji AD i folderu SYSVOL błędy aplikacji zasady grupy na potrzeby uwierzytelniania kontrolerów domen mogą powodować zmiany w zasadach grupy "kontroler domeny: Zezwalaj na nieobecność zasady grupy dla połączeń bezpiecznych kanałów Netlogon 

Poniższa procedura może pomóc w rozwiązaniu problemu:

Domyślnie w pełni Zaktualizowano obsługiwane wersje systemu Windows , które nie powinny być używane w celu używania zagrożonych połączeń bezpiecznego kanału Netlogon. Jeśli zdarzenie o IDENTYFIKATORze 5827 jest rejestrowane w dzienniku zdarzeń systemowych dla urządzenia z systemem Windows:

  1. Upewnij się, że na urządzeniu działa obsługiwane wersje systemu Windows.

  2. Upewnij się, że urządzenie zostało w pełni zaktualizowane za pośrednictwem usługi Windows Update.

  3. Upewnij się, że członka domeny: Cyfrowe szyfrowanie lub podpisywanie danych w bezpiecznym kanale (zawsze) jest ustawione na wartość włączone w obiekcie zasad grupy połączonym z jednostką organizacyjną dla wszystkich kontrolerów domen, na przykład obiektów zasad grupy domyślnego kontrolerów domeny.

Tak, powinny zostać zaktualizowane, ale nie są szczególnie narażone na działanie CVE-2020-1472.

Nie, do kontrolerów domen należą jedyne role objęte standardem CVE-2020-1472 , które mogą być aktualizowane niezależnie od serwerów i innych urządzeń z systemem Windows bez kontrolerów domeny.

System Windows Server 2008 z dodatkiem SP2 nie jest narażony na ten konkretny problem, ponieważ nie używa algorytmu AES w celu zabezpieczenia zdalnego wywoływania procedur.

Tak, aby zainstalować aktualizacje pod kątem aktualizacji pod kątem CVE-2020-1472 dla systemu Windows Server 2008 R2 z dodatkiem SP1, potrzebna jest rozszerzona aktualizacja zabezpieczeń (EJW) .

Wdrożenie aktualizacji 11 sierpnia 2020 lub nowszej dla wszystkich kontrolerów domeny w środowisku usługi.

Upewnij się, że żadne z urządzeń dodanych do kontrolera domeny nie są dodawane: zasady grupy pozwalające na podwyższenie poziomu zabezpieczeń połączenia w bezpiecznym kanale Netlogon — administratora korporacyjnego lub programu Microsoft Exchange. Uwaga Każde urządzenie na liście dozwolonych będzie mogło używać połączeń z lukami i może narazić Twoje środowisko na ataki.

Instalowanie aktualizacji opublikowanych 11, 2020 i nowszych na kontrolerach domen chroni konta komputera na komputerze z systemem Windows, konta zaufania i konta kontrolerów domeny. 

Konta na urządzeniu z usługą Active Directory dla domeny dołączone do urządzeń innych firm nie są chronione do czasu wdrożenia trybu wymuszania. Konta komputera nie są również chronione, jeśli są dodawane do kontrolera domeny ": Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Upewnij się, że wszystkie kontrolery domeny w danym środowisku zainstalowali aktualizacje z sierpnia 11, 2020 lub nowszym.

Wszystkie tożsamości urządzeń, które zostały dodane do kontrolera domeny ": Zezwalaj na ataki za pośrednictwem usługi Netlogon za pośrednictwem usługi zasady grupy będą narażone na ataki.   

Upewnij się, że wszystkie kontrolery domeny w danym środowisku zainstalowali aktualizacje z sierpnia 11, 2020 lub nowszym. 

Włączanie trybu wymuszania w celu odblokowania zagrożonych połączeń od tożsamości urządzeń innych firm, które nie są zgodne.

Uwaga W przypadku włączenia trybu wymuszania wszystkie tożsamości urządzeń innych firm, które zostały dodane do kontrolera domeny ". Zezwalaj na działanie zagrożonych połączeń w bezpiecznym kanale Netlogon " zasad grupy nadal będą narażone na działanie usługi i może pozwolić osobie atakującej na nieautoryzowany dostęp do Twojej sieci lub urządzeń.

Tryb wymuszania instruuje kontrolery domen, aby nie umożliwiały połączeń Netlogon z urządzeń, które nie używają bezpiecznego zdalnego wywołania procedury, o ile nie zostały one dodane do "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Aby uzyskać więcej informacji, zobacz sekcję wartość rejestru dla trybu wymuszania .

Tylko konta komputerów dla urządzeń, które nie mogą zostać zabezpieczone przez włączenie zabezpieczeń RPC w bezpiecznym kanale Netlogon należy dodać do zasad grupy. Zaleca się, aby te urządzenia były zgodne lub zastąpiony tymi urządzeniami w celu ochrony środowiska.

Osoba atakująca może przejąć kontrolę nad komputerem na komputerze z usługą Active Directory, a następnie użyć wszystkich uprawnień do tożsamości komputera.

Jeśli masz urządzenie innych firm, które nie obsługuje zabezpieczeń RPC dla bezpiecznego kanału Netlogon i chcesz włączyć tryb wymuszania, należy dodać konto komputera dla tego urządzenia do zasad grupy. Nie jest to zalecane i może opuścić domenę w stanie zagrożonym. Zaleca się, aby w tych zasadach grupy zezwolić na zaktualizowanie lub zastąpienie jakichkolwiek urządzeń innych firm w celu zapewnienia zgodności z innymi urządzeniami.

Tryb wymuszania należy włączyć tak szybko, jak to możliwe. Każde urządzenie innego dostawcy będzie musiało zostać zaadresowane do usługi za zgodne lub przez dodanie ich do "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon. Uwaga Każde urządzenie na liście dozwolonych będzie mogło używać połączeń z lukami i może narazić Twoje środowisko na ataki.

 

Terminów

Czynnik

Definicji

Active

Usługa Active Directory

SIECIACH

Kontroler domeny

Tryb wymuszania

Klucz rejestru pozwalający włączyć Tryb wymuszania z góry 9 lutego 2021.

Faza egzekwowania

Faza rozpoczynająca się od 9 lutego 2021 aktualizacji, w przypadku których Tryb wymuszania będzie włączony dla wszystkich kontrolerów domeny systemu Windows, niezależnie od ustawień rejestru. Kontrolery domen będą odrzucać zagrożenia narażone na ataki ze wszystkich niezgodnych urządzeń, o ile nie zostaną dodane do "kontroler domeny: Zezwalaj nazasady grupy dotyczące zabezpieczeń bezpiecznych połączeń kanału Netlogon.

Faza początkowa wdrożenia

Faza rozpoczynająca się od 11 sierpnia 2020 aktualizacji i kontynuuje pracę z nowszymi aktualizacjami do czasu zakończenia fazy wymuszania.

konto komputera

Nazywany także komputerem usługi Active Directory lub obiektem komputera.  Aby uzyskać pełną definicję, zobacz słownik MS-NPRC .

MS — NRPC

Protokół zdalny Netlogon firmy Microsoft

Niezgodne urządzenie

Niezgodne urządzenie to urządzenie używające zagrożonego połączenia Netlogon w bezpiecznym kanale.

KONTROLERA

kontrolery domeny tylko do odczytu

Połączenie narażone

Połączenie narażone na działanie usługi to połączenie z bezpiecznym kanałem Netlogon, które nie korzysta z zabezpieczeń RPC.
Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×