Podsumowanie
Protokół zdalny Netlogon (nazywany również MS-NRPC) jest interfejsem RPC używanym wyłącznie przez urządzenia przyłączone do domeny. MS-NRPC zawiera metodę uwierzytelniania oraz metodę ustanawiania bezpiecznego kanału Netlogon. Te aktualizacje wymuszają określone zachowanie klienta usługi Netlogon w celu używania bezpiecznej usługi RPC z bezpiecznym kanałem Netlogon między komputerami członkowskimi a kontrolerami domeny usługi Active Directory (AD).
Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach, wymuszając bezpieczne RPC podczas korzystania z bezpiecznego kanału Netlogon w ramach stopniowego udostępniania opisanego w sekcji Harmonogram aktualizacji w celu wyeliminowania luki w zabezpieczeniach Netlogon CVE-2020-1472 . Aby zapewnić ochronę lasu usługi AD, wszystkie kontrolery domeny muszą zostać zaktualizowane, ponieważ będą one wymuszać bezpieczną usługę RPC za pomocą bezpiecznego kanału Netlogon. Dotyczy to kontrolerów domeny tylko do odczytu (RODC).
Aby dowiedzieć się więcej o luce w zabezpieczeniach, zobacz CVE-2020-1472.
Uwaga
- Podejmij działanie
- Aby chronić środowisko i zapobiegać awariom, należy wykonać następujące czynności:
- ZAKTUALIZUJ kontrolery domeny za pomocą aktualizacji wydanej 11 sierpnia 2020 r. lub nowszej.
- ZNAJDŹ urządzenia, które nawiązują połączenia podatne na zagrożenia, monitorując dzienniki zdarzeń.
- ZAADRESUJ niezgodne urządzenia wykonujące wrażliwe połączenia.
- WŁĄCZ tryb wymuszania, aby rozwiązać problem CVE-2020-1472 w środowisku.
- Wskazówka Krok 1 instalowania aktualizacji wydanych 11 sierpnia 2020 r. lub nowszych rozwiąże problem z zabezpieczeniami występujący w CVE-2020-1472 dla domen i relacji zaufania usługi Active Directory, a także urządzeń z systemem Windows. Aby w pełni ograniczyć problem z zabezpieczeniami w przypadku urządzeń innych firm, należy wykonać wszystkie kroki.
- Ostrzeżenie Począwszy od lutego 2021 r. tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny systemu Windows i będzie blokował wrażliwe połączenia z niezgodnych urządzeń. W tym momencie nie można wyłączyć trybu wymuszania.
Wskazówka Jeśli używasz systemu Windows Server 2008 R2 z dodatkiem SP1, potrzebujesz licencji dodatkowych aktualizacji zabezpieczeń (ESU), aby pomyślnie zainstalować każdą aktualizację rozwiązującą ten problem. Aby uzyskać więcej informacji na temat programu ESU, zobacz Często zadawane pytania dotyczące cyklu życia — dodatkowe aktualizacje zabezpieczeń.
Tematy w tym artykule:
- Podsumowanie
- Czas aktualizacji usuwających lukę w zabezpieczeniach Netlogon CVE-2020-1472
- Wskazówki dotyczące wdrażania — wdrażanie aktualizacji i wymuszanie zgodności
- "Domain controller: Allow vulnerable Netlogon secure channel connections" (Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznych kanałów usługi Netlogon) Zasady grupy
- Błędy dziennika zdarzeń systemu Windows związane z CVE-2020-1472
- Wartość rejestru dla trybu wymuszania
- Urządzenia innych firm implementujące [MS-NRPC]: Netlogon Remote Protocol
- Często zadawane pytania (FAQ)
- Słownik
Czas aktualizacji usuwających lukę w zabezpieczeniach Netlogon CVE-2020-1472
Aktualizacje będą wydawane w dwóch fazach: faza początkowa w przypadku aktualizacji wydanych w dniu 11 sierpnia 2020 r. i faza wymuszania w przypadku aktualizacji wydanych w dniu 9 lutego 2021 r. lub później.
11 sierpnia 2020 r. — faza początkowego wdrożenia
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 11 sierpnia 2020 r. i jest kontynuowana z późniejszymi aktualizacjami aż do fazy wymuszania. Te i nowsze aktualizacje wprowadzają zmiany w protokole Netlogon w celu domyślnej ochrony urządzeń z systemem Windows, rejestrują zdarzenia wykrywania niezgodnych urządzeń i dodają możliwość włączenia ochrony dla wszystkich urządzeń przyłączonych do domeny z jawnymi wyjątkami. W tym wydaniu:
- Wymusza bezpieczne używanie usługi RPC dla kont komputerów na urządzeniach z systemem Windows.
- Wymusza bezpieczne używanie usługi RPC dla kont zaufania.
- Wymusza bezpieczne używanie usługi RPC dla wszystkich kontrolerów domeny z systemem Windows i innych niż Windows.
- Zawiera nowe zasady grupy zezwalające na niezgodne konta urządzeń (te, które używają podatnych na zagrożenia połączeń bezpiecznych kanałów Netlogon). Nawet jeśli kontrolery domeny działają w trybie wymuszania lub po rozpoczęciu fazy wymuszania , dozwolone urządzenia nie zostaną odrzucone na połączenie.
- Klucz rejestru FullSecureChannelProtection w celu włączenia trybu wymuszania kontrolera domeny dla wszystkich kont komputera (faza wymuszania zaktualizuje kontrolery domeny do trybu wymuszania kontrolera domeny).
- Obejmuje nowe zdarzenia, gdy konta są odrzucane lub zostałyby odrzucone w trybie wymuszania kontrolera domeny (i będą kontynuowane w fazie wymuszania). Konkretne identyfikatory zdarzeń zostały wyjaśnione w dalszej części tego artykułu.
Ograniczanie ryzyka polega na zainstalowaniu aktualizacji na wszystkich kontrolerach domen i kontrolerach RODC, monitorowaniu nowych zdarzeń i adresowaniu niezgodnych urządzeń korzystających z podatnych na zagrożenia połączeń bezpiecznego kanału usługi Netlogon. Konta komputerów na niezgodnych urządzeniach mogą korzystać z podatnych na ataki połączeń bezpiecznych kanałów Netlogon; Należy jednak jak najszybciej zaktualizować je do obsługi bezpiecznej usługi RPC dla usługi Netlogon i wymuszonego konta, aby wyeliminować ryzyko ataku.
9 lutego 2021 r. — faza wymuszania
Wydanie z 9 lutego 2021 r. oznacza przejście do fazy wymuszania. Kontrolery domeny będą teraz w trybie wymuszania niezależnie od klucza rejestru trybu wymuszania. To wymaga, aby wszystkie urządzenia z systemem Windows i inne niż Windows używały bezpiecznego protokołu RPC z bezpiecznym kanałem Netlogon lub jawnie zezwalały na konto, dodając wyjątek dla niezgodnego urządzenia. W tym wydaniu:
- Wymusza bezpieczne używanie RPC dla kont komputerów na urządzeniach z systemem innym niż Windows, chyba że zezwalają na to zasady grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon".
- Rejestrowanie zdarzenia o identyfikatorze 5829 zostanie usunięte. Ze względu na odmowę wszystkich zagrożonych połączeń, w dzienniku zdarzeń systemowych będą teraz widoczne tylko identyfikatory zdarzeń 5827 i 5828.
Wskazówki dotyczące wdrażania — wdrażanie aktualizacji i wymuszanie zgodności
Początkowa faza wdrażania będzie składać się z następujących kroków:
- Wdrażanie aktualizacji z 11 sierpnia na wszystkich kontrolerach domeny w lesie.
- (a) monitorować zdarzenia ostrzegawcze i (b) reagować na każde zdarzenie.
- (a) Po rozwiązaniu wszystkich zdarzeń ostrzegawczych można włączyć pełną ochronę, wdrażając tryb wymuszania kontrolera domeny. (b) Wszystkie ostrzeżenia powinny zostać rozwiązane przed aktualizacją fazy wymuszania z 9 lutego 2021 r.
Krok 1: AKTUALIZACJA
Wdrażanie aktualizacji z 11 sierpnia 2020 r.
Wdróż aktualizacje z 11 sierpnia na wszystkich odpowiednich kontrolerach domeny w lesie, w tym na kontrolerach domeny tylko do odczytu (RODC). Po wdrożeniu tej aktualizacji poprawione kontrolery domeny będą:
- Rozpocznij wymuszanie bezpiecznego użycia usługi RPC dla wszystkich kont urządzeń opartych na systemie Windows, kont zaufania i wszystkich kontrolerów domeny.
- Jeśli połączenia zostaną odrzucone, należy zarejestrować identyfikatory zdarzeń 5827 i 5828 w dzienniku zdarzeń systemowych.
- Rejestruj identyfikatory zdarzeń 5830 i 5831 w dzienniku zdarzeń systemowych, jeśli połączenia są dozwolone przez zasady grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon".
- Rejestruj zdarzenie o identyfikatorze 5829 w dzienniku zdarzeń systemowych za każdym razem, gdy jest dozwolone połączenie z bezpiecznym kanałem usługi Netlogon podatne na zagrożenia. Te zdarzenia należy rozwiązać przed skonfigurowaniem trybu wymuszania kontrolera domeny lub przed rozpoczęciem fazy wymuszania 9 lutego 2021 r.
Krok 2a: ZNAJDOWANIE
Wykrywanie niezgodnych urządzeń przy użyciu zdarzenia o identyfikatorze 5829
Po zastosowaniu aktualizacji z 11 sierpnia 2020 r. do kontrolerów domeny można gromadzić zdarzenia w dziennikach zdarzeń kontrolerów domen w celu określenia, które urządzenia w środowisku używają podatnych na zagrożenia połączeń bezpiecznego kanału Netlogon (nazywanych w tym artykule niezgodnymi urządzeniami). Monitoruj poprawione kontrolery domeny pod kątem zdarzeń o identyfikatorze 5829. Zdarzenia będą zawierać informacje umożliwiające identyfikację urządzeń niezgodnych.
Aby monitorować zdarzenia, użyj dostępnego oprogramowania do monitorowania zdarzeń lub za pomocą skryptu do monitorowania kontrolerów domeny. Aby zapoznać się z przykładowym skryptem, który można dostosować do używanego środowiska, zobacz Skrypt ułatwiający monitorowanie identyfikatorów zdarzeń związanych z aktualizacjami usługi Netlogon dotyczącymi luki CVE-2020-1472
Krok 2b: ADRES
Adresowanie identyfikatorów zdarzeń 5827 i 5828
Domyślnie obsługiwane wersje systemu Windows , które zostały w pełni zaktualizowane, nie powinny używać podatnych na zagrożenia połączeń bezpiecznych kanałów usługi Netlogon. Jeśli jedno z tych zdarzeń zostało zarejestrowane w dzienniku zdarzeń systemowych dla urządzenia z systemem Windows:
- Upewnij się, że na urządzeniu jest uruchomiona obsługiwana wersja systemu Windows.
- Upewnij się, że urządzenie jest w pełni zaktualizowane.
- Upewnij się, że element członkowski domeny: szyfruj cyfrowo lub podpisuj bezpieczne dane kanału (zawsze) jest ustawiony na Włączone.
W przypadku urządzeń z systemem innym niż Windows działających jako kontrolery domeny te zdarzenia będą rejestrowane w dzienniku zdarzeń systemowych podczas korzystania z podatnych na zagrożenia połączeń bezpiecznego kanału Netlogon. Jeśli jedno z tych zdarzeń jest rejestrowane w dzienniku:
Zalecana Skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby uzyskać pomoc techniczną dla bezpiecznego protokołu RPC z bezpiecznym kanałem Netlogon
- Jeśli niezgodny kontroler domeny obsługuje bezpieczną usługę RPC z bezpiecznym kanałem Netlogon, włącz bezpieczną usługę RPC na kontrolerze domeny.
- Jeśli niezgodne kontroler domeny nie obsługuje obecnie bezpiecznej usługi RPC, skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby uzyskać aktualizację obsługującą bezpieczną usługę RPC za pomocą bezpiecznego kanału Netlogon.
- Wycofaj niezgodny kontroler domeny.
Podatny na zagrożenia Jeśli niezgodny kontroler domeny nie może obsługiwać bezpiecznej usługi RPC za pomocą bezpiecznego kanału usługi Netlogon, zanim kontrolery domeny przejdą w tryb wymuszania, dodaj kontroler domeny przy użyciu zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału usługi Netlogon" opisanych poniżej.
Uwaga
Ostrzeżenie Zezwolenie kontrolerom domeny na korzystanie z wrażliwych połączeń przez zasady grupy spowoduje, że las będzie podatny na ataki. Ostatecznym celem powinno być zajęcie się tymi zasadami grupy i usunięcie ich z nich.
Adresowanie wydarzenia 5829
Zdarzenie o identyfikatorze 5829 jest generowane, gdy połączenie podatne na zagrożenia jest dozwolone w początkowej fazie wdrażania. Te połączenia zostaną odrzucone, gdy kontrolery domeny są w trybie wymuszania. W takich zdarzeniach należy skoncentrować się na nazwie komputera, domenie i zidentyfikowanych wersjach systemu operacyjnego, aby określić niezgodne urządzenia i sposób, w jaki należy się nimi zająć.
Sposoby postępowania z niezgodnymi urządzeniami:
Zalecana Skontaktuj się z producentem urządzenia (OEM) lub dostawcą oprogramowania, aby uzyskać pomoc techniczną dla bezpiecznej usługi RPC z bezpiecznym kanałem Netlogon:
- Jeśli niezgodne urządzenie obsługuje bezpieczną usługę RPC z bezpiecznym kanałem Netlogon, włącz bezpieczną usługę RPC na urządzeniu.
- Jeśli niezgodne urządzenie NIE obsługuje obecnie bezpiecznej usługi RPC z bezpiecznym kanałem Netlogon, skontaktuj się z producentem urządzenia lub dostawcą oprogramowania, aby uzyskać aktualizację umożliwiającą włączenie bezpiecznego protokołu RPC z bezpiecznym kanałem Netlogon.
- Wycofaj niezgodne urządzenie.
Podatny na zagrożenia Jeśli niezgodne urządzenie nie może obsługiwać bezpiecznej usługi RPC za pomocą bezpiecznego kanału Netlogon, zanim kontrolery domeny przejdą w tryb wymuszania, dodaj urządzenie przy użyciu zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" opisanych poniżej.
Uwaga
Ostrzeżenie Zezwolenie kontom urządzeń na korzystanie z połączeń podatnych na zagrożenia przez zasady grupy narazi te konta usługi AD na ryzyko. Ostatecznym celem powinno być zajęcie się tymi zasadami grupy i usunięcie ich z nich.
Zezwalanie na połączenia podatne na zagrożenia z urządzeń innych firm
Użyj zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" , aby dodać niezgodne konta. Takie rozwiązanie należy traktować jedynie jako krótkoterminowe rozwiązanie problemu urządzeń niezgodnych z przepisami w sposób opisany powyżej. Wskazówka Zezwalanie na połączenia podatne na ataki z niezgodnych urządzeń może mieć nieznany wpływ na bezpieczeństwo i należy na nie zezwalać z zachowaniem ostrożności.
- Utworzono grupy zabezpieczeń dla kont, które będą mogły korzystać z podatnego na ataki bezpiecznego kanału Netlogon.
- W zasady grupy przejdź do pozycji Konfiguracja > komputera, Ustawienia > systemu Windows, Ustawienia > zabezpieczeń, Zasady > lokalne, Opcje zabezpieczeń
- Wyszukaj frazę "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału usługi Netlogon".
- Jeśli istnieje grupa Administrator lub jakakolwiek grupa, która nie została utworzona specjalnie do użytku z tą zasady grupy, należy ją usunąć.
- Dodaj grupę zabezpieczeń przeznaczoną specjalnie do użycia z tymi zasady grupy do deskryptora zabezpieczeń z uprawnieniem "Zezwalaj". Wskazówka Uprawnienie "Odmów" działa tak samo, jak gdyby konto nie zostało dodane, tzn. konta nie będą mogły tworzyć podatnych na ataki bezpiecznych kanałów Netlogon.
- Po dodaniu grup zabezpieczeń zasady grupy muszą zostać zreplikowane do każdego kontrolera domeny.
- Okresowo monitoruj zdarzenia 5827, 5828 i 5829, aby określić, które konta używają podatnych na zagrożenia połączeń bezpiecznych kanałów.
- W razie potrzeby dodaj te konta komputerów do grup zabezpieczeń. Najważniejsze wskazówki Użyj grup zabezpieczeń w zasadach grupy i dodaj konta do grupy, aby członkostwo było replikowane za pomocą normalnej replikacji usługi AD. Pozwala to uniknąć częstych aktualizacji zasad grupy i opóźnień replikacji.
Po zajęciu się wszystkimi niezgodnymi urządzeniami można przenieść kontrolery domeny do trybu wymuszania (zobacz następną sekcję).
Uwaga
Ostrzeżenie Zezwolenie kontrolerom domeny na używanie wrażliwych połączeń dla kont zaufania przez zasady grupy sprawi, że las będzie podatny na ataki. Konta powiernicze są zwykle nazwane zgodnie z zaufaną domeną, np.: Kontroler domeny w domenie a ma zaufanie z kontrolerem domeny w domenie b. Wewnętrznie kontroler domeny w domenie a ma konto zaufania o nazwie "domain-b$", które reprezentuje obiekt zaufania dla domeny b. Jeśli kontroler domeny w domenie-a chce narazić las na ryzyko ataku, zezwalając na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon z konta zaufania domeny-b, administrator może użyć polecenia Add-adgroupmember –identity "Nazwa grupy zabezpieczeń" -members "domain-b$", aby dodać konto zaufania do grupy zabezpieczeń.
Krok 3a: WŁĄCZANIE
Przechodzenie do trybu wymuszania przed fazą wymuszania z lutego 2021 r.
Po zajęciu się wszystkimi niezgodnymi urządzeniami, włączając bezpieczną usługę RPC lub zezwalając na połączenia podatne na zagrożenia za pomocą zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon", ustaw klucz rejestru FullSecureChannelProtection na wartość 1.
Wskazówka Jeśli używasz zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon", przed ustawieniem klucza rejestru FullSecureChannelProtection upewnij się, że zasady grupy zostały zreplikowane i zastosowane do wszystkich kontrolerów domeny.
Po wdrożeniu klucza rejestru FullSecureChannelProtection kontrolery domeny będą w trybie wymuszania. To ustawienie wymaga, aby wszystkie urządzenia korzystające z bezpiecznego kanału usługi Netlogon:
- Używaj bezpiecznego RPC.
- Są dozwolone w zasadach grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon".
Uwaga
Ostrzeżenie Klienci innych firm, którzy nie obsługują bezpiecznych połączeń bezpiecznego kanału RPC z usługą Netlogon, zostaną odrzuceni po wdrożeniu klucza rejestru trybu wymuszania kontrolera domeny, co może zakłócić działanie usług produkcyjnych.
Krok 3b: Faza wymuszania
Wdrażanie aktualizacji z 9 lutego 2021 r.
Wdrażanie aktualizacji wydanych 9 lutego 2021 r. lub nowszych spowoduje włączenie trybu wymuszania kontrolera domeny. Tryb wymuszania kontrolera domeny występuje wtedy, gdy wszystkie połączenia Netlogon są wymagane do używania bezpiecznej usługi RPC lub konto musi zostać dodane do zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". W tej chwili klucz rejestru FullSecureChannelProtection nie jest już potrzebny i nie będzie już obsługiwany.
"Domain controller: Allow vulnerable Netlogon secure channel connections" (Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznych kanałów usługi Netlogon) Zasady grupy
Najlepszym rozwiązaniem jest użycie grup zabezpieczeń w zasadach grupy, dzięki czemu członkostwo będzie replikowane za pomocą normalnej replikacji usługi AD. Pozwala to uniknąć częstych aktualizacji zasad grupy i opóźnień replikacji.
| Ścieżka zasad i nazwa ustawienia | Opis |
|---|---|
| Ścieżka zasady: Konfiguracja > komputera Ustawienia > systemu Windows Ustawienia zabezpieczeń Zasady >> lokalne Opcje zabezpieczeń Nazwa ustawienia: Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału usługi Netlogon Wymagany ponowny rozruch? Nie |
To ustawienie zabezpieczeń określa, czy kontroler domeny pomija bezpieczną usługę RPC dla połączeń bezpiecznego kanału usługi Netlogon dla określonych kont komputerów. Te zasady powinny być stosowane do wszystkich kontrolerów domeny w lesie przez włączenie zasad w jednostce organizacyjnej kontrolerów domeny. Po skonfigurowaniu listy tworzenia połączeń podatnych na zagrożenia (listy dozwolonych):
Ustawienie domyślne: te zasady nie są skonfigurowane. Żadne komputery ani konta powiernicze nie są jawnie wykluczone z wymuszania bezpiecznych połączeń kanałów RPC za pomocą usługi Netlogon. Ta zasada jest obsługiwana w systemie Windows Server 2008 R2 z dodatkiem SP1 i nowszych. |
Błędy dziennika zdarzeń systemu Windows związane z CVE-2020-1472
Istnieją trzy kategorie zdarzeń:
1. Zdarzenia rejestrowane w przypadku odmowy połączenia z powodu próby nawiązania połączenia z bezpiecznym kanałem usługi Netlogon zawierającej luki:
- 5827 (konta komputerów) — błąd
- Błąd 5828 (konta zaufania)
2. Zdarzenia rejestrowane, gdy połączenie jest dozwolone, ponieważ konto zostało dodane do zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon":
- 5830 (konta komputerów) Ostrzeżenie
- 5831 (rachunki powiernicze) Ostrzeżenie
3. Zdarzenia rejestrowane, gdy połączenie jest dozwolone w wersji początkowej, które zostaną odrzucone w trybie wymuszania kontrolera domeny:
- 5829 (konta komputerów) Ostrzeżenie
Identyfikator zdarzenia: 5827
Zdarzenie o identyfikatorze 5827 zostanie zarejestrowane, gdy zostanie odrzucone połączenie bezpiecznego kanału usługi Netlogon z konta komputera.
| Dziennik zdarzeń | System |
|---|---|
| Źródło zdarzenia | NETLOGON (LOGOWANIEDO SIECI) |
| Identyfikator zdarzenia | 5827 |
| Poziom | Błąd |
| Tekst komunikatu zdarzenia | Usługa Netlogon odmówiła połączenia z bezpiecznym kanałem Netlogon z konta komputera. Maszyna SamAccountName: Domena: Typ konta: System operacyjny maszyny: Kompilacja systemu operacyjnego komputera: Dodatek Service Pack dla systemu operacyjnego komputera: Aby uzyskać więcej informacji o przyczynach odrzucenia, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485. |
Identyfikator zdarzenia: 5828
Zdarzenie o identyfikatorze 5828 zostanie zarejestrowane, gdy zostanie odrzucone połączenie bezpiecznego kanału usługi Netlogon z konta zaufanego.
| Dziennik zdarzeń | System |
|---|---|
| Źródło zdarzenia | NETLOGON (LOGOWANIEDO SIECI) |
| Identyfikator zdarzenia | 5828 |
| Poziom | Błąd |
| Tekst komunikatu zdarzenia | Usługa Netlogon odmówiła połączenia z bezpiecznym kanałem Netlogon zawierającego lukę przy użyciu konta zaufania. Typ konta: Nazwa zaufania: Zaufaj obiektowi docelowemu: Adres IP klienta: Aby uzyskać więcej informacji o przyczynach odrzucenia, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485. |
Identyfikator zdarzenia: 5829
Zdarzenie o identyfikatorze 5829 będzie rejestrowane tylko podczas początkowej fazy wdrażania, gdy jest dozwolone połączenie bezpiecznego kanału usługi Netlogon z konta komputera podatne na zagrożenia.
Po wdrożeniu trybu wymuszania kontrolera domeny lub po rozpoczęciu fazy wymuszania wraz z wdrożeniem aktualizacji z 9 lutego 2021 r. te połączenia zostaną odrzucone i zostanie zarejestrowane zdarzenie o identyfikatorze 5827. Dlatego ważne jest, aby monitorować zdarzenie 5829 podczas początkowej fazy wdrażania i działać przed fazą wymuszania, aby uniknąć przestojów.
| Dziennik zdarzeń | System |
|---|---|
| Źródło zdarzenia | NETLOGON (LOGOWANIEDO SIECI) |
| Identyfikator zdarzenia | 5829 |
| Poziom | Ostrzeżenie |
| Tekst komunikatu zdarzenia | Usługa Netlogon zezwalała na lukę w bezpiecznym połączeniu z kanałem Netlogon. Ostrzeżenie: to połączenie zostanie odrzucone po zwolnieniu fazy wymuszania. Aby dowiedzieć się więcej na temat fazy działań dyscyplinarnych, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485. Maszyna SamAccountName: Domena: Typ konta: System operacyjny maszyny: Kompilacja systemu operacyjnego komputera: Dodatek Service Pack dla systemu operacyjnego komputera: |
Identyfikator zdarzenia: 5830
Zdarzenie o identyfikatorze 5830 zostanie zarejestrowane, gdy połączenie z kontem komputera bezpiecznego kanału usługi Netlogon jest dozwolone przez zasady grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału usługi Netlogon".
| Dziennik zdarzeń | System |
|---|---|
| Źródło zdarzenia | NETLOGON (LOGOWANIEDO SIECI) |
| Identyfikator zdarzenia | 5830 |
| Poziom | Ostrzeżenie |
| Tekst komunikatu zdarzenia | Usługa Netlogon zezwoliła na połączenie z zabezpieczonym bezpiecznym kanałem Netlogon, ponieważ konto komputera jest dozwolone w zasadach grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". Ostrzeżenie: Korzystanie z podatnych na ataki bezpiecznych kanałów usługi Netlogon narazi urządzenia przyłączone do domeny na atak. Aby chronić urządzenie przed atakiem, usuń konto komputera z zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" po zaktualizowaniu klienta Netlogon innej firmy. Aby lepiej zrozumieć ryzyko związane z konfigurowaniem kont komputerów w celu zezwolenia na korzystanie z podatnych na zagrożenia połączeń bezpiecznych kanałów Netlogon, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485. Maszyna SamAccountName: Domena: Typ konta: System operacyjny maszyny: Kompilacja systemu operacyjnego komputera: Dodatek Service Pack dla systemu operacyjnego komputera: |
Identyfikator zdarzenia: 5831
Zdarzenie o identyfikatorze 5831 zostanie zarejestrowane, gdy podatne na zagrożenia połączenie z kontem zaufania bezpiecznego kanału Netlogon jest dozwolone przez zasady grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon".
| Dziennik zdarzeń | System |
|---|---|
| Źródło zdarzenia | NETLOGON (LOGOWANIEDO SIECI) |
| Identyfikator zdarzenia | 5831 |
| Poziom | Ostrzeżenie |
| Tekst komunikatu zdarzenia | Usługa Netlogon zezwalała na lukę w bezpiecznym kanale połączenia Netlogon, ponieważ konto zaufania jest dozwolone w zasadach grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". Ostrzeżenie: Użycie podatnych na ataki bezpiecznych kanałów usługi Netlogon narazi lasy usługi Active Directory na atak. Aby chronić lasy usługi Active Directory przed atakami, wszystkie relacje zaufania muszą używać bezpiecznej usługi RPC z bezpiecznym kanałem Netlogon. Usuń konto zaufania z zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" po zaktualizowaniu klienta Netlogon innej firmy na kontrolerach domeny. Aby lepiej zrozumieć ryzyko związane z konfigurowaniem kont powierniczych w celu zezwolenia na korzystanie z podatnych na zagrożenia połączeń bezpiecznych kanałów Netlogon, odwiedź stronę https://go.microsoft.com/fwlink/?linkid=2133485. Typ konta: Nazwa zaufania: Zaufaj obiektowi docelowemu: Adres IP klienta: |
Wartość rejestru dla trybu wymuszania
Uwaga
Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Ich usunięcie może wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Zmodyfikuj rejestr na własne ryzyko.
Aktualizacje z 11 sierpnia 2020 r. wprowadzają następujące ustawienie rejestru, aby wcześnie włączyć tryb wymuszania. Będzie to włączone niezależnie od ustawienia rejestru w fazie wymuszania począwszy od 9 lutego 2021 r.:
| Podklucz rejestru | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|---|---|
| Value (Wartość) | FullSecureChannelProtection |
| Typ danych | REG_DWORD |
| Dane | 1 – To włącza tryb wymuszania. Kontrolery domeny będą blokować podatne na zagrożenia połączenia bezpiecznego kanału Netlogon, chyba że konto jest dozwolone na liście Utwórz wrażliwe połączenie w zasadach grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". 0 — kontrolery domeny umożliwią połączenia bezpiecznego kanału usługi Netlogon z urządzeń z systemem innym niż Windows. Ta opcja zostanie wycofana w wersji w fazie wymuszania. |
| Wymagany ponowny rozruch? | Nie |
Urządzenia innych firm implementujące [MS-NRPC]: Netlogon Remote Protocol
Wszyscy klienci i serwery innych firm muszą używać bezpiecznego RPC z bezpiecznym kanałem Netlogon. Skontaktuj się z producentem urządzenia (OEM) lub dostawcami oprogramowania, aby ustalić, czy ich oprogramowanie jest zgodne z najnowszym protokołem Netlogon Remote Protocol.
Aktualizacje protokołu można znaleźć w witrynie dokumentacji protokołu systemu Windows.
Często zadawane pytania (FAQ)
1. Co wykorzystuje bezpieczny kanał Netlogon?
- Urządzenia przyłączone do domeny innych firm z systemem Windows &, które mają konta komputerów w usłudze Active Directory (AD)
- Windows Server & kontrolerów domeny innych firm w zaufanych & zaufanych domenach, które mają zaufane konta w usłudze AD
2. Czy może to mieć wpływ na rozwiązania innych firm?
Urządzenia innych firm mogą być niezgodne. Jeśli rozwiązanie innej firmy utrzymuje konto komputera w usłudze AD, skontaktuj się z dostawcą, aby ustalić, czy problem dotyczy Ciebie.
3. Dlaczego mój kontroler domeny blokuje konta skonfigurowane w zasadach grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon"?
Opóźnienia w replikacji usług AD i Sysvol lub awarie aplikacji zasad grupy na uwierzytelniającym kontrolerze domeny mogą spowodować, że zmiany zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" będą nieobecne, co spowoduje odmowę konta.
Poniższe kroki mogą pomóc w rozwiązaniu tego problemu:
Jeśli zasady zostały skonfigurowane tak, aby zawierały grupę i wprowadzono zmiany członkostwa w grupie w celu dodania konta, sprawdź, czy kontroler domeny, który odmówił połączenia, replikował zmiany członkostwa w grupie lokalnie. Wskazówka Nie zaleca się dodawania kont bezpośrednio do zasad grupy.
Jeśli wprowadzono zmianę w zasadach i dodano nowe konto lub grupę, sprawdź, czy zmiana zasad została zreplikowana i zastosowana: Uruchom polecenia gpupdate /force i gpresult /h
Aby uzyskać więcej informacji dotyczących rozwiązywania problemów z aplikacjami zasady grupy i zależnymi składnikami pokrewnymi, zobacz następujące artykuły:
4. Mam identyfikator zdarzenia 5827 dla urządzenia z systemem Windows. Wydawało mi się, że powiedziałeś, że system Windows nie jest dotknięty problemem?
Domyślnie obsługiwane wersje systemu Windows , które zostały w pełni zaktualizowane, nie powinny używać podatnych na zagrożenia połączeń bezpiecznych kanałów usługi Netlogon. Jeśli w dzienniku zdarzeń systemowych dla urządzenia z systemem Windows zarejestrowano zdarzenie o identyfikatorze 5827:
- Upewnij się, że na urządzeniu jest uruchomiona obsługiwana wersja systemu Windows.
- Upewnij się, że urządzenie zostało w pełni zaktualizowane za pomocą usługi Windows Update.
- Upewnij się, że element członkowski domeny: Szyfruj cyfrowo lub podpisuj dane bezpiecznego kanału (zawsze) jest ustawione na wartość Włączone w obiekcie zasad grupy połączonym z jednostką organizacyjną dla wszystkich kontrolerów domeny, takich jak domyślny obiekt zasad grupy kontrolerów domeny.
5. Czy stacje robocze i urządzenia końcowe również muszą zostać zaktualizowane?
Tak, należy je zaktualizować, ale nie są one szczególnie narażone na CVE-2020-1472.
6. Czy serwery z systemem Windows inne niż kontrolery domen stałych lub inne urządzenia z systemem Windows muszą zostać zaktualizowane za pomocą aktualizacji wydanych 11 sierpnia 2020 r. lub nowszych przed zaktualizowaniem kontrolerów domeny?
Nie, kontrolery domeny są jedyną rolą, na którą ma wpływ luka CVE-2020-1472 i mogą być aktualizowane niezależnie od serwerów z systemem Windows innych niż kontrolery domeny i innych urządzeń z systemem Windows.
7. Dlaczego system Windows Server 2008 z dodatkiem SP2 nie został zaktualizowany w celu wyeliminowania luki CVE-2020-1472?
System Windows Server 2008 z dodatkiem SP2 nie jest podatny na ten konkretny model CVE, ponieważ nie używa algorytmu AES dla usługi Secure RPC.
8. Czy potrzebuję aktualizacji ESU dla systemu Windows Server 2008 R2 z dodatkiem SP1 w celu rozwiązania problemu CVE-2020-1472?
Tak, potrzebujesz dodatkowych aktualizacji zabezpieczeń (ESU), aby zainstalować aktualizacje rozwiązujące problem CVE-2020-1472 dla systemu Windows Server 2008 R2 z dodatkiem SP1.
9. Jak mogę zapewnić, że moje kontrolery domeny są chronione?
Wdrażając aktualizacje z 11 sierpnia 2020 r. lub nowsze na wszystkich kontrolerach domeny w środowisku.
Upewnij się, że żadne z urządzeń dodanych do zasady grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" nie ma usług uprawnień administratora przedsiębiorstwa lub administratora domeny, takich jak SCCM lub Microsoft Exchange. Wskazówka Każde urządzenie znajdujące się na liście dozwolonych będzie mogło korzystać z podatnych na ataki połączeń i może narazić Twoje środowisko na atak.
10. Jeśli wdrożyłem aktualizacje na wszystkich kontrolerach domeny, czy moje przedsiębiorstwo jest chronione przed CVE-2020-1472?
Zainstalowanie aktualizacji wydanych 11 sierpnia 2020 r. lub nowszych na kontrolerach domeny chroni konta komputerów oparte na systemie Windows, konta powiernicze i konta kontrolera domeny.
Konta komputerów usługi Active Directory dla urządzeń innych firm przyłączonych do domeny nie są chronione, dopóki nie zostanie wdrożony tryb wymuszania. Konta komputerów nie są również chronione, jeśli zostaną dodane do zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału usługi Netlogon".
11. Jak mogę zapewnić, że tożsamości urządzeń przyłączonych do domeny systemu Windows są chronione?
Upewnij się, że wszystkie kontrolery domeny w środowisku mają zainstalowane aktualizacje z 11 sierpnia 2020 r. lub nowsze.
Wszystkie tożsamości urządzeń, które zostały dodane do zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" będą podatne na ataki.
12. Jak mogę zapewnić, że tożsamości urządzeń przyłączonych do domeny innych firm są chronione?
Upewnij się, że wszystkie kontrolery domeny w środowisku mają zainstalowane aktualizacje z 11 sierpnia 2020 r. lub nowsze.
Włącz tryb wymuszania, aby odmówić wrażliwych połączeń z niezgodnych tożsamości urządzeń innych firm.
Wskazówka Po włączeniu trybu wymuszania tożsamości urządzeń innych firm, które zostały dodane do zasady grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon" będą nadal narażone i mogą umożliwić osobie atakującej nieautoryzowany dostęp do sieci lub urządzeń.
13. Co to jest tryb egzekwowania?
Tryb wymuszania informuje kontrolery domeny, aby nie zezwalały na połączenia Netlogon z urządzeń, które nie używają bezpiecznej usługi RPC, chyba że te konta urządzeń zostały dodane do zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon".
Aby uzyskać więcej informacji, zobacz sekcję Wartość rejestru dla trybu wymuszania .
14. Jakie konta komputerów należy dodać do zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon"?
Do zasad grupy powinny zostać dodane tylko konta komputerów, których nie można zabezpieczyć przez włączenie usługi Secure RPC w bezpiecznym kanale Netlogon. Zaleca się zapewnienie zgodności tych urządzeń lub ich wymianę w celu ochrony środowiska.
15. Co osoba atakująca może zrobić z kontami komputerów należącymi do zasad grupy "Kontroler domeny: Zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon"?
Osoba atakująca może przejąć tożsamość komputera usługi Active Directory dowolnego konta komputera dodanego do zasad grupy, a następnie wykorzystać wszelkie uprawnienia, jakie posiada tożsamość komputera.
16. Dlaczego warto dodać konto komputera do zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon"?
Jeśli masz urządzenie innej firmy, które nie obsługuje usługi Secure RPC dla bezpiecznego kanału Netlogon i chcesz włączyć tryb wymuszania, musisz dodać konto komputera dla tego urządzenia do zasad grupy. Nie jest to zalecane i może spowodować, że Twoja domena będzie potencjalnie podatna na zagrożenia. Zaleca się używanie tych zasad grupy, aby dać czas na aktualizację lub wymianę wszelkich urządzeń innych firm, aby były zgodne.
17. Kiedy chcę włączyć tryb wymuszania?
Tryb wymuszania powinien zostać włączony tak szybko, jak to możliwe. Wszystkie urządzenia innych firm należy rozwiązać, określając je jako zgodne lub dodając je do zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". Wskazówka Każde urządzenie znajdujące się na liście dozwolonych będzie mogło korzystać z podatnych na ataki połączeń i może narazić Twoje środowisko na atak.
Słownik
| Termin | Definicja |
|---|---|
| AD | Active Directory |
| Prąd stały | Kontroler domeny |
| Tryb wymuszania | Klucz rejestru umożliwiający włączenie trybu wymuszania przed 9 lutego 2021 r. |
| Faza wymuszania | Faza rozpoczynająca się aktualizacjami z 9 lutego 2021 r., w której tryb wymuszania będzie włączony na wszystkich kontrolerach domeny systemu Windows, niezależnie od ustawienia rejestru. Kontrolery domeny będą odrzucać wrażliwe połączenia ze wszystkich niezgodnych urządzeń, chyba że zostaną one dodane do zasad grupy "Kontroler domeny: zezwalaj na podatne na zagrożenia połączenia bezpiecznego kanału Netlogon". |
| Faza początkowego wdrożenia | Faza rozpoczynająca się od aktualizacji z 11 sierpnia 2020 r. i kontynuowana z późniejszymi aktualizacjami do fazy wymuszania. |
| konto komputera | Nazywany również obiektem komputera lub komputerem usługi Active Directory. Pełną definicję można znaleźć w glosariuszu MS-NPRC . |
| MS-NRPC | Microsoft Netlogon Remote ProtoCol |
| Urządzenie niezgodne | Niezgodne urządzenie to takie, które korzysta z podatnego na zagrożenia połączenia bezpiecznego kanału Netlogon. |
| Kontroler RODC | Kontrolery domeny tylko do odczytu |
| Połączenie podatne na ataki | Połączenie podatne na ataki to połączenie bezpiecznego kanału Netlogon, które nie używa bezpiecznej usługi RPC. |