Resumo
O protocolo remoto Netlogon (também chamado de MS-NRPC) é uma interface RPC que é usada exclusivamente por dispositivos ingressados no domínio. MS-NRPC inclui um método de autenticação e um método de estabelecer um canal seguro de Netlogon. Essas atualizações impõe o comportamento do cliente Netlogon especificado para usar RPC seguro com o canal seguro Netlogon entre os computadores membro e o DC (Active Directory).
Esta atualização de segurança corrige a vulnerabilidade impondo o protocolo de RPC seguro ao usar o canal seguro Netlogon em uma versão em fases explicada na seção intervalos de atualizações para resolver o 2020-1472 Netlogon . Para fornecer a proteção da floresta do AD, todos os DCs devem ser atualizados, uma vez que eles impedirão o RPC seguro com o canal seguro Netlogon. Isso inclui o RODC (controladores de domínio somente leitura).
Para saber mais sobre a vulnerabilidade, confira CVE-2020-1472.
Executar uma ação
Para proteger seu ambiente e evitar paralisações, você deve fazer o seguinte:
Observação A etapa 1 da instalação das atualizações lançadas em 11 de agosto de 2020 ou posterior resolverá o problema de segurança no CVE-2020-1472 para domínios e relações de confiança do Active Directory, bem como dispositivos Windows. Para reduzir completamente o problema de segurança de dispositivos de terceiros, você precisará concluir todas as etapas.
Aviso A partir de fevereiro de 2021, o modo de imposição será habilitado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não compatíveis. Nesse momento, você não poderá desabilitar o modo de imposição.
-
Atualize seus controladores de domínio com uma atualização lançada em 11 de agosto de 2020 ou posterior.
-
Encontre quais dispositivos estão fazendo conexões vulneráveis monitorando os logs de eventos.
-
Solucionar os dispositivos não compatíveis, fazendo conexões vulneráveis.
-
Permita que o modo de imposição enderece de CVE a 2020-1472 em seu ambiente.
Observação Se você estiver usando o Windows Server 2008 R2 SP1, precisará de uma licença de atualização estendida de segurança (ESU) para instalar com sucesso todas as atualizações que abordam esse problema. Para obter mais informações sobre o programa ESU, confira perguntas frequentes sobre as atualizações de segurança estendidas.
Neste artigo:
-
Intervalo de atualizações para resolver a vulnerabilidade de Netlogon CVE-2020-1472
-
Diretrizes de implantação – implemente as atualizações e garanta a conformidade
-
"controlador de domínio: Permitir conexões vulneráveis de canal seguro Netlogon "política de grupo
-
Erros de log de eventos do Windows relacionados a CVE-2020-1472
-
dispositivos de terceiros para implementar [MS-NRPC]: de protocolo remota Netlogon
Intervalo de atualizações para resolver a vulnerabilidade de Netlogon CVE-2020-1472
As atualizações serão lançadas em duas fases: a fase inicial das atualizações lançadas em ou após 11 de agosto de 2020 e a fase de imposição de atualizações lançadas em ou após 9 de fevereiro de 2021.
11 de agosto de 2020 – fase de implantação inicial
A fase inicial da implantação começa com as atualizações lançadas em 11 de agosto de 2020 e continua com as atualizações mais recentes até a fase de imposição. Essas atualizações e versões posteriores alteram o protocolo Netlogon para proteger os dispositivos Windows por padrão, registra eventos para descoberta de dispositivos incompatíveis e adiciona a capacidade de habilitar a proteção para todos os dispositivos que fazem parte de domínio com exceções explícitas. Esta versão:
-
Impõe o uso de RPC seguro a contas de computador em dispositivos baseados no Windows.
-
Impõe o uso de RPC seguro a contas de confiança.
-
Impõe o uso de RPC seguro a todos os Windows e não os DCs do Windows.
-
O inclui uma nova política de grupo para permitir que as contas de dispositivos não compatíveis (aquelas que usam conexões de canal seguro de Netlogon do Netlogon). Mesmo quando os DCs estiverem em execução no modo de imposição ou após o início da fase de imposição , os dispositivos permitidos não serão recusados.
-
Chave do registro FullSecureChannelProtection para habilitar o modo de imposiçãode DC paratodas as contas do computador
-
Inclui os novos eventos quando as contas são negadas ou seriam negadas no modo de imposição de DC (e será continuado na fase de imposição). As identificações de eventos específicas serão explicadas mais adiante neste artigo.
A mitigação consiste em instalar a atualização em todos os DCs e RODCs, monitorar os novos eventos e resolver dispositivos não compatíveis que estão usando conexões de canal seguro de Netlogon. As contas de computador em dispositivos incompatíveis podem ter permissão para usar as conexões de canal seguro do Netlogon no entanto, eles devem ser atualizados para oferecer suporte a RPC seguro para Netlogon e a conta imposta assim que possível para remover o risco de ataque.
9 de fevereiro de 2021 – fase de imposição
A versão 9 de fevereiro de 2021 indica a transição para a fase de imposição. Os DCs estarão no modo de imposição independentemente da chave do registro do modo de imposição. Isso exige que todos os dispositivos Windows e não Windows usem o Protocolo RPC seguro com o canal seguro Netlogon ou que tenham permissão explícita para a conta adicionando uma exceção para o dispositivo não compatível. Esta versão:
-
Impõe o uso de RPC seguro a contas de computador em dispositivos não baseados no Windows, a menos que seja permitido por "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
-
O registro em log da ID de evento 5829 será removido. Uma vez que todas as conexões vulneráveis são negadas, você verá somente as identificações de evento 5827 e 5828 no log de eventos do sistema.
Diretrizes de implantação – implemente as atualizações e garanta a conformidade
A fase de implantação inicial consistirá nas seguintes etapas:
-
Implantar as atualizações de agosto 11em todos os DCS da floresta.
-
(a) após todos os eventos de aviso terem sido resolvidos, a proteção total pode ser habilitada pela implantação do modo de imposiçãode DC. (b) todos os avisos devem ser resolvidos antes da atualização da fase de imposição de 9 de fevereiro de 2021.
etapa 1: ATUALIZAR
Implantação de 11 de agosto de 2020 atualizações
Implante as atualizações de agosto 11 em todos os controladores de domínio (DCs) aplicáveis na floresta, incluindo controladores de domínio somente leitura (RODCs). Depois de implantar essa atualização, os DCs corrigidos serão:
-
Começar a impor o uso de RPC seguro a todas as contas de dispositivos baseadas no Windows, contas de confiança e todos os DCs.
-
Registre as identificações de evento 5827 e 5828 no log de eventos do sistema, caso as conexões sejam negadas.
-
Registre as identificações de evento 5830 e 5831 no log de eventos do sistema, se as conexões forem permitidas por "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
-
Log a ID de evento 5829 no log de eventos do sistema sempre que for permitida uma conexão de canal seguro de Netlogon vulnerável. Esses eventos devem ser resolvidos antes que o modo de imposição de DC seja configurado ou antes que a fase de imposição comece em 9 de fevereiro de 2021.
Etapa da 2a: Localizar
Detecção de dispositivos não compatíveis usando a ID de evento 5829
Após as 11 de agosto de 2020 atualizações terem sido aplicadas aos DCs, os eventos podem ser coletados nos logs de eventos DC para determinar quais dispositivos em seu ambiente estão usando as conexões de canal seguro Netlogon de Netlogon (chamadas de dispositivos não compatíveis neste artigo). Monitorar os DCs corrigidos para eventos de ID de evento 5829. Os eventos incluirão informações relevantes para identificar os dispositivos incompatíveis.
Para monitorar eventos, use o software de monitoramento de eventos disponíveis ou o usando um script para monitorar seus DCs. Para obter um script de exemplo que você pode adaptar ao seu ambiente, confira script para ajudar no monitoramento de IDs de eventos relacionados a atualizações de Netlogon para CVE-2020-1472
etapa 2B, : Endereço
Endereços de evento 5827 e 5828
Por padrão, as versões com suporte do Windows que foram totalmente atualizadas não devem estar usando as conexões de canal seguro do Netlogon. Se um desses eventos for registrado no log de eventos do sistema para um dispositivo Windows:
-
Confirme se o dispositivo está executando uma versão com suporte do Windows.
-
Verifique se o dispositivo está totalmente atualizado.
-
Verifique se o membro do domínio: Criptografar ou assinar digitalmente os dados do canal seguro (sempre) está definido como habilitado.
Para dispositivos que não são Windows, atuando como um DC, esses eventos serão registrados no log de eventos do sistema ao usar conexões de canal seguro de Netlogon vulneráveis. Se um desses eventos for registrado:
-
Recomendado Trabalhar com o fabricante do dispositivo ou o fornecedor do software para obter suporte para RPC seguro com o canal seguro Netlogon
-
Se o DC não compatível der suporte a RPC seguro com o canal seguro Netlogon, habilite o RPC seguro no DC.
-
Se o DC não compatível não oferecer suporte a RPC seguro, trabalhe com o fabricante do dispositivo ou o fornecedor do software para obter uma atualização compatível com o Secure RPC com o canal de segurança Netlogon.
-
Desativar o DC não compatível.
-
-
Vulnerável Se um DC não compatível não puder dar suporte a RPC seguro com o canal seguro Netlogon antes que os controladores de domínio estejam no modo de imposição, adicione o DC usando o "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo descrita abaixo.
Aviso Permitir que os DCs usem conexões vulneráveis pela política de grupo tornarão a floresta vulnerável a ataques. A meta final deve ser resolver e remover todas as contas desta política de grupo.
Evento de endereçamento 5829
A ID de evento 5829 é gerada quando uma conexão vulnerável é permitida durante a fase de implantação inicial. Essas conexões serão negadas quando os DCs estiverem no modo de imposição. Nestes eventos, destaque o nome do computador, as versões do domínio e do sistema operacional identificadas para determinar os dispositivos não compatíveis e como eles precisam ser resolvidos.
As maneiras de resolver dispositivos não compatíveis:
-
Recomendado Trabalhe com o fabricante do dispositivo ou o fornecedor do software para obter suporte para RPC seguro com o canal seguro Netlogon:
-
Se o dispositivo não compatível der suporte a RPC seguro com o canal seguro Netlogon, habilite o RPC seguro no dispositivo.
-
Se o dispositivo não compatível não oferecer suporte a RPC seguro com o canal seguro Netlogon, trabalhe com o fabricante do dispositivo ou o fornecedor do software para obter uma atualização que permita o protocolo seguro RPC com o canal de segurança Netlogon ser habilitado.
-
Desativar o dispositivo não compatível.
-
-
Vulnerável Se um dispositivo não compatível não oferecer suporte a RPC seguro com o canal seguro Netlogon, antes que os DCs estejam no modo de imposição, adicione o dispositivo usando o "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo descrita abaixo.
Aviso Para permitir que as contas de dispositivos usem conexões vulneráveis pela política de grupo, essas contas do AD serão afetadas. A meta final deve ser resolver e remover todas as contas desta política de grupo.
Permitindo conexões vulneráveis de dispositivos de terceiros
Use o "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo para adicionar contas não compatíveis. Isso só deve ser considerado um recurso de curto prazo até que os dispositivos não compatíveis sejam tratados conforme descrito acima. Observação A permissão de conexão vulnerável de dispositivos não compatíveis pode ter um impacto de segurança desconhecido e deve ser permitida com cautela.
-
Um ou mais grupos de segurança criados por contas que poderão usar um canal seguro de Netlogon vulnerável.
-
Na política de grupo, vá para configuração do computador > configurações do Windows > configurações de segurança > políticas locais > opções de segurança
-
Pesquise "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis ".
-
Se o grupo administrador ou se um grupo não criado especificamente para uso com essa política de grupo estiver presente, remova-o.
-
Adicione um grupo de segurança especificamente criado para ser usado com essa política de grupo para o descritor de segurança com a permissão "permitir". Observação A permissão "negar" se comporta da mesma forma que se a conta não foi adicionada, ou seja, as contas não serão permitidas para tornar canais protegidos de segurança do Netlogon.
-
Depois que o grupo de segurança é adicionado, a política de grupo deve ser replicada para cada DC.
-
Periodicamente, monitora os eventos 5827, 5828 e 5829 para determinar quais contas estão usando conexões de canal seguro.
-
Adicione essas contas ao grupo de segurança conforme necessário. Melhor prática Use grupos de segurança na política de grupo e adicione contas ao grupo para que a associação seja replicada por meio da replicação normal do AD. Isso impede as atualizações frequentes de política de grupo e os atrasos de replicação.
Após a correção de todos os dispositivos incompatíveis, você pode mover os DCs para o modo de imposição (consulte a próxima seção).
Aviso Permitir que os DCs usem conexões vulneráveis para contas de confiança pela política de grupo tornará a floresta vulnerável a ataques. As contas de confiança geralmente são chamadas de domínio confiável, por exemplo: O DC no domínio-a tem uma confiança com um DC no domínio b. Internamente, o DC no domínio-a tem uma conta de confiança chamada "domínio-b $", que representa o objeto de confiança para domínio b. Se o DC no domínio a desejar expor a floresta ao risco de ataque, permitindo o acesso vulnerável a conexões de canal seguro de Netlogon da conta de confiança do domínio b, um administrador poderá usar Add-adgroupmember – Identity "nome do grupo de segurança", Domain-b $ ", para adicionar a conta de confiança ao grupo de segurança.
etapa da 3A: HABILITAR o
Migrar para o modo de imposição no adiantamento da fase de imposição de fevereiro de 2021
Após a entrega de todos os dispositivos incompatíveis, habilite o RPC seguro ou o, permitindo conexões vulneráveis com o controlador de domínio: Permitir conexões de canal seguro Netlogon vulnerável "política de grupo, defina a chave de registro FullSecureChannelProtection como 1.
Observação Se você estiver usando o "controlador de domínio: Permitir conexões de canal seguro Netlogon vulnerável "política de grupo, certifique-se de que a política de grupo tenha sido replicada e aplicada a todos os DCs antes de definir a chave do registro FullSecureChannelProtection.
Quando a chave do registro FullSecureChannelProtection for implantada, os DCs estarão no modo de imposição. Essa configuração requer todos os dispositivos que usam o Netlogon de segurança Netlogon:
-
Use RPC seguro.
-
São permitidos no "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
Aviso Os clientes de terceiros que não oferecem suporte a RPC seguro com as conexões de canal seguro Netlogon serão negados quando a chave de registro do modo de imposição do DC for implantada, o que pode interromper serviços de produção.
etapa 3B: Fase de imposição
Implantação de 9 de fevereiro de 2021 atualizações
A implantação de atualizações lançada em 9 de fevereiro de 2021 ou posterior habilitará o modo de imposiçãode DC. O modo de imposição de DC é quando todas as conexões Netlogon são necessárias para usar RPC seguro ou a conta deve ter sido adicionada à "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. No momento, a chave do registro FullSecureChannelProtection não é mais necessária e não terá mais suporte.
"Controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo
Melhor prática é usar grupos de segurança na política de grupo para que a associação seja replicada por meio da replicação normal do AD. Isso impede as atualizações frequentes de política de grupo e os atrasos de replicação.
|
Nome do caminho e da configuração da política |
Descrição |
|
Caminho da política: Configuração de computador > configurações do Windows > configurações de segurança > políticas locais > opções de segurança É necessário reiniciar? Não |
Essa configuração de segurança determina se o controlador de domínio ignorará a RPC seguro para as conexões de canal seguro Netlogon para contas de computador especificadas. Essa política deve ser aplicada a todos os controladores de domínio de uma floresta, habilitando a política na UO Controladores de domínio. Quando a lista criar conexão vulnerável (lista de permissões) estiver configurada:
Aviso Habilitar essa política exibirá os dispositivos associados a um domínio e a floresta do Active Directory, o que pode colocá-los em risco. Essa política deve ser usada como uma medida temporária para dispositivos de terceiros durante a implantação de atualizações. Depois de um dispositivo de terceiros ser atualizado para oferecer suporte ao uso de RPC seguro com canais de segurança Netlogon, a conta deve ser removida da lista criar conexões vulneráveis. Para entender melhor o risco de configurar as contas que podem ser usadas para usar conexões de canal seguro do Netlogon, Acesse https://go.microsoft.com/fwlink/?linkid=2133485. Padrão Essa política não está configurada. Nenhuma máquina ou conta de confiança está explicitamente isenta do RPC seguro com a imposição de conexões de canal seguro Netlogon. Essa política tem suporte no Windows Server 2008 R2 SP1 e posterior. |
Erros de log de eventos do Windows relacionados a CVE-2020-1472
Há três categorias de eventos:
1. Eventos registrados quando uma conexão é negada porque houve tentativa de conexão de canal seguro do Netlogon vulnerável:
-
Erro 5827 (contas da máquina)
-
Erro 5828 (contas de confiança)
2. Eventos registrados quando uma conexão é permitida porque a conta foi adicionada ao "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo:
-
5830 (contas de computador) aviso
-
5831 (contas de confiança) aviso
3. Eventos registrados quando uma conexão é permitida na versão inicial que será negada no modo de imposiçãode DC:
-
5829 (contas de computador) aviso
ID de evento 5827
A ID de evento 5827 será registrada quando uma conexão de canal seguro de Netlogon vulnerável de uma conta de computador for negada.
|
Log de eventos |
Sistema |
|
Fonte de eventos |
IDÊNTICO |
|
ID de evento |
5827 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
O serviço Netlogon negou uma conexão de canal seguro de Netlogon vulnerável de uma conta de máquina. SamAccountName do computador: Domínio: Tipo de Conta: Sistema operacional do computador: Build do sistema operacional do computador: Service Pack do sistema operacional do computador: Para obter mais informações sobre o motivo da negação, visite https://go.Microsoft.com/fwlink/?linkid=2133485. |
ID de evento 5828
A ID de evento 5828 será registrada quando uma conexão de canal seguro de Netlogon vulnerável de uma conta de confiança for negada.
|
Log de eventos |
Sistema |
|
Fonte de eventos |
IDÊNTICO |
|
ID de evento |
5828 |
|
Nível |
Erro |
|
Texto da mensagem de evento |
O serviço Netlogon negou uma conexão de canal seguro do Netlogon vulnerável usando uma conta de confiança. Tipo de Conta: Nome confiável: Destino confiável: Endereço IP do cliente: Para obter mais informações sobre o motivo da negação, visite https://go.Microsoft.com/fwlink/?linkid=2133485. |
ID de evento 5829
A ID de evento 5829 só será registrada durante a fase de implantação inicial, quando uma conexão de canal seguro de Netlogon vulnerável de uma conta de computador é permitida.
Quando o modo de imposição de controlador de domínio for implantado ou quando a fase de imposição começar, com a implantação das 9 de fevereiro de 2021, essas conexões serão NEGAdas e a ID de evento 5827 será registrada. É por isso que é importante monitorar o evento 5829 durante a fase de implantação inicial e agir antes da fase de imposição para evitar interrupções.
|
Log de eventos |
Sistema |
|
Fonte de eventos |
IDÊNTICO |
|
ID de evento |
5829 |
|
Distribuir |
Aviso |
|
Texto da mensagem de evento |
O serviço Netlogon permitiu uma conexão de canal seguro Netlogon vulnerável. Aviso: Esta conexão será negada assim que a fase de imposição for lançada. Para entender melhor a fase de imposição, acesse https://go.Microsoft.com/fwlink/?linkid=2133485. SamAccountName do computador: Domínio: Tipo de conta: Sistema operacional do computador: Build do sistema operacional do computador: Service Pack do sistema operacional do computador: |
ID de evento 5830
A ID de evento 5830 será registrada em log quando uma conexão de conta de máquina de canal seguro de Netlogon vulnerável for permitida por "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
|
Log de eventos |
Sistema |
|
Fonte de eventos |
IDÊNTICO |
|
ID de evento |
5830 |
|
Nível |
Aviso |
|
Texto da mensagem de evento |
O serviço Netlogon permitiu uma conexão de canal seguro Netlogon vulnerável porque a conta do computador é permitida no "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. Aviso: Usar canais protegidos Netlogon protegerá os dispositivos que ingressam no domínio. Para proteger seu dispositivo contra ataque, remova uma conta de computador do "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo após o cliente Netlogon de terceiros ter sido atualizado. Para entender melhor o risco de configurar as contas do computador para que eles possam usar conexões de canal seguro de Netlogon, acesse https://go.Microsoft.com/fwlink/?linkid=2133485. SamAccountName do computador: Domínio: Tipo de Conta: Sistema operacional do computador: Build do sistema operacional do computador: Service Pack do sistema operacional do computador: |
ID de evento 5831
A ID de evento 5831 será registrada quando uma conexão de conta de confiança de canal seguro Netlogon for permitida por "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
|
Log de eventos |
Sistema |
|
Fonte de eventos |
IDÊNTICO |
|
ID de evento |
5831 |
|
Nível |
Aviso |
|
Texto da mensagem de evento |
O serviço Netlogon permitiu uma conexão de canal seguro Netlogon vulnerável porque a conta de confiança é permitida no "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. Aviso: Usar canais de segurança Netlogon vulneráveis irá expor as florestas do Active Directory a ataques. Para proteger suas florestas do Active Directory contra ataque, todas as relações de confiança devem usar RPC seguro com o canal seguro Netlogon. Remover uma conta de confiança do "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo após o cliente Netlogon de terceiros nos controladores de domínio terem sido atualizados. Para entender melhor o risco de configurar as contas de confiança para que eles possam usar conexões de canal seguro de Netlogon, acesse https://go.Microsoft.com/fwlink/?linkid=2133485. Tipo de Conta: Nome confiável: Destino confiável: Endereço IP do cliente: |
Valor do registro para o modo de imposição
avisos problemas graves podem ocorrer se você modificar o registro incorretamente usando o editor do registro ou outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser resolvidos. Modifique o registro por sua conta e risco.
As atualizações de 11 de agosto de 2020 apresentam a seguinte configuração do registro para habilitar o modo de imposição no início. Isso será habilitado independentemente da configuração do registro na fase de imposição a partir de 9 de fevereiro de 2021:
|
Subchave do registro |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valor |
FullSecureChannelProtection |
|
Tipo de dados |
REG_DWORD |
|
Dados |
1 – permite o modo de imposição. Os DCs negam as conexões de canal seguro Netlogon vulneráveis, a menos que a conta seja permitida pela lista criar conexão vulnerável no "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. 0 – os DCs permitem conexões de canal seguro Netlogon vulneráveis de dispositivos que não são Windows. Essa opção será substituída na versão da fase de imposição. |
|
É necessário reiniciar? |
Não |
Dispositivos de terceiros implementando [MS-NRPC]: Protocolo Netlogon remoto
Todos os clientes ou servidores de terceiros devem usar RPC seguro com o canal de segurança Netlogon. Entre em contato com o fabricante do dispositivo (OEM) ou com fornecedores de software para determinar se o software é compatível com o protocolo Remote Netlogon mais recente.
As atualizações de protocolo podem ser encontradas no site documentação do protocolo Windows.
Perguntas frequentes (FAQ)
-
Windows & dispositivos ingressados no domínio de terceiros que têm contas de máquina no AD (Active Directory)
-
Windows Server & controladores de domínio de terceiros em domínios confiáveis & confiança que têm contas de confiança no AD
Dispositivos de terceiros podem não estar em conformidade. Se a sua solução de terceiros mantém uma conta de máquina no AD, entre em contato com o fornecedor para determinar se você tem impacto.
Atrasos na replicação do AD e no SYSVOL ou falhas de aplicativo da política de grupo no DC de autenticação podem fazer as alterações na política de grupo "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo ser indesejada e o resultado da conta que está sendo negada.
As etapas a seguir podem ajudar a solucionar o problema:
-
Se você configurou a política para conter um grupo e fez alterações no membro do grupo para adicionar a conta, verifique se o DC que negou a conexão tiver duplicado as alterações de associação do grupo localmente. Observação Não é recomendável adicionar as contas diretamente à política de grupo.
-
Se você fez uma alteração na política e adicionou uma nova conta ou um novo grupo, certifique-se de que a alteração da política seja replicada e aplicada: Execute os comandos gpupdate/force e GPResult/h
-
Para saber mais sobre como solucionar problemas de aplicativos de política de grupo e componentes relacionados dependentes, confira o seguinte:
Por padrão, as versões com suporte do Windows que foram totalmente atualizadas não devem estar usando as conexões de canal seguro do Netlogon. Se uma ID de evento 5827 for registrado no log de eventos do sistema para um dispositivo Windows:
-
Confirme se o dispositivo está executando uma versão com suporte do Windows.
-
Verifique se o dispositivo está totalmente atualizado do Windows Update.
-
Verifique se o membro do domínio: Criptografar ou assinar digitalmente os dados do canal seguro (sempre) está definido como habilitado em um GPO vinculado à OU a todos os controladores de domínio, como o GPO controladores de domínio padrão.
Sim, eles devem ser atualizados, mas não estarão especificamente vulneráveis à CVE-2020-1472.
Não, os DCs são a única função afetada por CVE-2020-1472 e podem ser atualizados de forma independente dos servidores Windows não DC e de outros dispositivos Windows.
O Windows Server 2008 SP2 não é vulnerável a essa CVE específica porque ele não usa AES para RPC seguro.
Sim, você precisará de uma atualização de segurança estendida (ESU) para instalar as atualizações para o endereço CVE-2020-1472 para Windows Server 2008 R2 SP1.
Implantando as atualizações de 11 de agosto de 2020 ou posteriores em todos os controladores de domínio em seu ambiente.
Verifique se nenhum dos dispositivos foi adicionado ao controlador de domínio ": Permitir conexões de canal seguro Netlogon vulnerável "a política de grupo ter serviços de privilégios de administrador corporativo ou de domínio, como o SCCM ou o Microsoft Exchange. Observação Todos os dispositivos na lista de permissões poderão usar conexões vulneráveis e podem expor o seu ambiente ao ataque.
A instalação das atualizações lançadas em 11 de agosto de 2020 ou posterior nos controladores de domínio protege as contas de computador baseadas no Windows, as contas de confiança e as contas de controlador de domínio.
As contas dos computadores do Active Directory para dispositivos de terceiros associados a domínios não são protegidas até que o modo de imposição seja implantado. As contas do computador também não são protegidas se forem adicionadas à "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
Verifique se todos os controladores de domínio do seu ambiente instalaram as atualizações de 11 de agosto de 2020 ou posteriores.
As identidades dos dispositivos que foram adicionadas ao "controlador de domínio: Permitir conexões de canal seguro de Netlogon vulnerável "política de grupo estará vulnerável a ataques.
Verifique se todos os controladores de domínio do seu ambiente instalaram as atualizações de 11 de agosto de 2020 ou posteriores.
Permita que o modo de imposição negue conexões vulneráveis de identidades de dispositivos de terceiros não compatíveis.
Observação Com o modo de imposição habilitado, todas as identidades de dispositivos de terceiros que foram adicionadas ao "controlador de domínio: Permitir conexões de canal seguro Netlogon vulnerável "política de grupo ainda estará vulnerável e poderá permitir que um invasor não autorizado tenha acesso à sua rede ou dispositivos.
O modo de imposição diz aos controladores de domínio não permitir conexões Netlogon de dispositivos que não usam RPC seguro, a menos que a conta do dispositivo tenha sido adicionada à "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo.
Para saber mais, confira o artigo valor do registro na seção modo de imposição .
Apenas as contas do computador para dispositivos que não podem se tornar seguras, permitindo o RPC seguro no canal de segurança Netlogon devem ser adicionadas à política de grupo. É recomendável tornar esses dispositivos compatíveis ou substituir esses dispositivos para proteger seu ambiente.
Um invasor pode assumir o controle de uma conta de computador do Active Directory adicionada à política de grupo e, em seguida, aproveitar as permissões que a identidade do computador tem.
Se você tem um dispositivo de terceiros que não dá suporte a RPC seguro para o canal seguro Netlogon e deseja habilitar o modo de imposição, você deve adicionar a conta de máquina desse dispositivo à política de grupo. Isso não é recomendável e pode sair do seu domínio em um estado potencialmente vulnerável. É recomendável usar essa política de grupo para permitir que o tempo atualize ou substitua os dispositivos de terceiros para torná-los compatíveis.
O modo de imposição deve ser habilitado assim que possível. Todos os dispositivos de terceiros devem ser resolvidos, tornando-os compatíveis ou adicionando-os ao "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. Observação Todos os dispositivos na lista de permissões poderão usar conexões vulneráveis e podem expor o seu ambiente ao ataque.
Glossário
|
Termo |
Definição |
|
DC |
Active Directory |
|
DC |
Controlador de domínio |
|
A chave do registro que permite habilitar o modo de imposição antes de 9 de fevereiro de 2021. |
|
|
Fase a começar com as atualizações de 9 de fevereiro de 2021, em que o modo de imposição será habilitado em todos os controladores de domínio do Windows, independentemente da configuração do registro. Os DCs negam conexões vulneráveis de todos os dispositivos incompatíveis, a menos que sejam adicionadas à "controlador de domínio: Permitir conexões de canal seguro Netlogon vulneráveis "política de grupo. |
|
|
Fase começando com as 11 de agosto de 2020 atualizações e continua com as atualizações mais recentes até a fase de imposição. |
|
|
conta de máquina |
Também conhecido como objeto do computador ou computador do Active Directory. Confira o Glossário do MS-NPRC para obter uma definição completa. |
|
Protocolo remoto do Netlogon da Microsoft |
|
|
Dispositivo não compatível |
Um dispositivo não compatível é um que usa uma conexão de canal seguro do Netlogon vulnerável. |
|
RODC |
controladores de domínio somente leitura |
|
Conexão vulnerável |
Uma conexão vulnerável é uma conexão de canal seguro de Netlogon que não usa RPC seguro. |
