Resumo
O protocolo de Netlogon remoto (também denominado MS-NRPC) é uma interface RPC utilizada exclusivamente por dispositivos associados a domínios. O MS-NRPC inclui um método de autenticação e um método de estabelecimento de um canal de segurança Netlogon. Estas atualizações impõem o comportamento especificado do cliente Netlogon para utilizar RPC seguro com o canal seguro Netlogon entre computadores membros e controladores de domínio Ative Directory (AD) (DC).
Esta atualização de segurança aborda a vulnerabilidade ao aplicar o RPC seguro ao utilizar o canal seguro Netlogon numa versão faseada explicada no momento em que existem atualizações para resolver a vulnerabilidade de Netlogon CVE-2020-1472 . Para fornecer proteção da floresta AD, todos os DCs, devem ser atualizados, uma vez que eles vão impor RPC seguro com canal seguro Netlogon. Isto inclui controladores de domínio apenas de leitura (RODC).
Para saber mais sobre a vulnerabilidade, consulte o artigo CVE-2020-1472.
Tome medidas
Para proteger o seu ambiente e evitar falhas, tem de fazer o seguinte:
Nota O passo 1 de instalação de atualizações lançada a 11 de agosto de 2020 ou posterior irá resolver um problema de segurança no CVE-2020-1472 para domínios e confianças do Active Directory, bem como dispositivos Windows. Para reduzir completamente o problema de segurança de dispositivos de terceiros, terá de concluir todos os passos.
Aviso A partir de 12 de fevereiro de 2021, o modo de imposição estará ativado em todos os controladores de domínio Windows e irá bloquear as ligações vulneráveis de dispositivos não compatíveis. Nessa altura, não poderá desativar o modo de imposição.
-
Atualize os seus controladores de domínio com uma atualização lançada a 11 de agosto de 2020 ou posterior.
-
Descubra quais os dispositivos que estão a fazer ligações vulneráveis através da monitorização de eventos.
-
Resolver os dispositivos não compatíveis e torná-las associadas.
-
Ativar o modo de imposição para endereçar o CVE-2020-1472 no seu ambiente.
Nota Se estiver a utilizar o Windows Server 2008 R2 SP1, precisa de uma licença de atualização de segurança (ESU) para instalar com êxito qualquer atualização que represente este problema. Para obter mais informações sobre o programa ESU, consulte FAQ do ciclo de vida – atualizações de segurança expandidas.
Neste artigo:
Tempo de atualização para a vulnerabilidade de Netlogon CVE-2020-1472
As atualizações serão lançadas em duas fases: a fase inicial para atualizações lançadas em ou depois de 11 de agosto de 2020 e a fase de execução para atualizações divulgadas em ou depois de 9 de fevereiro de 2021.
11 de agosto de 2020 - Fase inicial de implantação
A fase inicial de implementação começa com as atualizações lançadas a 11 de agosto de 2020 e continua com atualizações posteriores até à fase de Execução. Estas e posteriores atualizações fazem alterações ao protocolo Netlogon para proteger os dispositivos Windows por padrão, regista eventos para a descoberta de dispositivos não conformes e adiciona a capacidade de permitir a proteção de todos os dispositivos ligados ao domínio com exceções explícitas. Esta versão:
-
Impõe uma utilização segura do RPC para contas de máquinas em dispositivos baseados no Windows.
-
Impõe o uso seguro do RPC para contas fidedi fidedi semanais.
-
Aplica uma utilização RPC segura para todos os DCs Windows e não-Windows.
-
Inclui uma nova política de grupo para permitir contas de dispositivos não conformes (aquelas que utilizam ligações vulneráveis de canais netlogon). Mesmo quando os DCs estiverem em modo de execução ou após o início da fase de execução, os dispositivos autorizados não serão recusados.
-
Chave de registo de proteção FullSecureChannel Para permitir o modo de execução de DC para todas as contas da máquina (a fase de execução atualizará os DCs para o modo de execuçãodc ).
-
Inclui novos eventos quando as contas são negadas ou seriam negadas no modo de execução de DC (e continuará na fase de execução). Os IDs específicos do evento são explicados mais tarde neste artigo.
A mitigação consiste em instalar a atualização em todos os DCs e RODCs, monitorizar novos eventos e abordar dispositivos não conformes que estão a utilizar ligações vulneráveis de canais seguros netlogon. As contas das máquinas em dispositivos não conformes podem ser autorizadas a utilizar ligações vulneráveis de canais seguros netlogon; no entanto, devem ser atualizados para apoiar o RPC seguro para a Netlogon e a conta executada o mais rapidamente possível para eliminar o risco de ataque.
9 de fevereiro de 2021 - Fase de Execução
O lançamento de 9 de fevereiro de 2021 marca a transição para a fase de execução. Os DCs estarão agora em modo de execução, independentemente da chave de registo do modo de execução. Isto requer que todos os dispositivos Windows e não-Windows utilizem RPC seguro com o canal seguro Netlogon ou permitam explicitamente a conta adicionando uma exceção para o dispositivo não conforme. Esta versão:
-
Executa uma utilização segura do RPC para contas de máquinas em dispositivos não baseados no Windows, a menos que seja permitido pelo "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
-
A registo do ID 5829 do evento será removida. Uma vez que todas as ligações vulneráveis são negadas, você só verá os IDs 5827 e 5828 do evento do Sistema.
Diretrizes de implementação-implementar atualizações e impor conformidade
A fase de implementação inicial irá consistir nos seguintes passos:
-
Implantando as atualizações de 11 de agostopara todos os DCs na floresta.
-
a Monitor para eventos de alertae b agir em cada evento.
-
a Uma vez abordados todos os eventos de alerta, a proteção total pode ser ativada através da utilização do modo de execuçãode DC . (b) Todas as advertências devem ser resolvidas antes da atualização da fase de execução de 9 de fevereiro de 2021.
passo 1: ATUALIZAR
Implementar atualizações de 11 de agosto de 2020
Implementar as atualizações de 11 de agosto em todos os controladores de domínio aplicáveis (DCs) na floresta, incluindo controladores de domínio apenas de leitura (RODCs). Após a implementação desta atualização, os DCs remendados irão:
-
Comece a impor uma utilização segura do RPC para todas as contas de dispositivos baseadas no Windows, contas fidedidignidade e todos os DCs.
-
Registar iDs 5827 e 5828 no registo de eventos do Sistema, se as ligações forem negadas.
-
Registar iDs 5830 e 5831 no registo de eventos do Sistema, se as ligações forem permitidas por "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
-
Registar o ID 5829 no registo de eventos do Sistema sempre que seja permitida uma ligação de canal segura da Netlogon vulnerável. Estes eventos devem ser abordados antes de o modo de execução de DC ser configurado ou antes da fase de execução começar a 9 de fevereiro de 2021.
passo 2a: Localizar
Deteção de dispositivos não conformes utilizando o ID 5829 do evento
Depois de terem sido aplicadas atualizações de 11 de agosto de 2020 aos DCs, os eventos podem ser recolhidos em registos de eventos de DC para determinar quais os dispositivos no seu ambiente que estão a utilizar ligações vulneráveis do canal Netlogon (referidos como dispositivos não conformes neste artigo). Monitor corrigido DCs para eventos ID 5829 eventos. Os eventos incluirão informações relevantes para a identificação dos dispositivos não conformes.
Para monitorizar eventos, utilize software de monitorização de eventos disponível ou utilizando um script para monitorizar os seus DCs. Para obter um script de exemplo que pode adaptar ao seu ambiente, consulte o artigo sobre como ajudar no monitoramento de IDs de eventos relacionados com as atualizações de Netlogon para o artigo CVE-2020-1472
passo 2B: Endereço
Endereço de iDs de evento 5827 e 5828
Por predefinição, as versões suportadas do Windows que foram totalmente atualizadas não devem utilizar as ligações de canais seguros de Netlogon. Se um destes eventos estiver registado no registo de eventos do sistema para um dispositivo Windows:
-
Confirme que o dispositivo está a executar uma versão do Windows suportada.
-
Certifique-se de que o dispositivo está totalmente atualizado.
-
Verifique se membro do Domínio: Encriptar digitalmente ou assinar dados de canal seguros (sempre) está definido para Ativado.
No caso de dispositivos não Windows que atuem como DC, estes eventos serão registados no registo de eventos do sistema quando utilizarem ligações vulneráveis do canal Netlogon. Se um destes eventos for registado:
-
Recomendado Trabalhe com o fabricante do dispositivo (OEM) ou fornecedor de software para obter suporte para RPC seguro com canal seguro Netlogon
-
Se o DC não conforme suportar RPC seguro com o canal de segurança Netlogon, então ative RPC seguro no DC.
-
Se o DC não conforme não suporta atualmente RPC seguro, trabalhe com o fabricante do dispositivo (OEM) ou fornecedor de software para obter uma atualização que suporte RPC seguro com o canal de segurança Netlogon.
-
Retire o DC não conforme.
-
-
Vulnerável Se um DC não conforme não puder suportar RPC seguro com canal de segurança Netlogon antes de os DCs estarem em modo de execução,adicione o DC utilizando o "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon descrita abaixo.
Aviso Permitir que os DCs utilizem ligações vulneráveis pela política de grupo tornará a floresta vulnerável a ataques. O objetivo final deve ser abordar e remover todas as contas desta política de grupo.
Evento de endereçamento 5829
O ID 5829 do evento é gerado quando uma ligação vulnerável é permitida durante a fase inicial de implantação. Estas ligações serão negadas quando os DCs estiverem em modo de execução. Nestes eventos, foque-se nas versões de nome da máquina, domínio e SISTEMA identificadas para determinar os dispositivos não conformes e como devem ser abordados.
As formas de abordar dispositivos não conformes:
-
Recomendado Trabalhe com o fabricante do dispositivo (OEM) ou fornecedor de software para obter suporte para RPC seguro com canal seguro Netlogon:
-
Se o dispositivo não conforme suportar RPC seguro com o canal de segurança Netlogon, então ative rPC seguro no dispositivo.
-
Se o dispositivo não conforme NÃO suporta atualmente RPC seguro com o canal de segurança Netlogon, trabalhe com o fabricante do dispositivo ou fornecedor de software para obter uma atualização que permita a ativação de RPC seguro com o canal de segurança Netlogon.
-
Retire o dispositivo não conforme.
-
-
Vulnerável Se um dispositivo não conforme não puder suportar RPC seguro com canal de segurança Netlogon antes de os DCs estarem em modo de execução,adicione o dispositivo utilizando o "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon descrita abaixo.
Aviso Permitir que as contas dos dispositivos utilizem ligações vulneráveis pela política do grupo colocará estas contas AD em risco. O objetivo final deve ser abordar e remover todas as contas desta política de grupo.
Permitir ligações vulneráveis a partir de dispositivos de terceiros
Utilize o "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon para adicionar contas não conformes. Isto só deve ser considerado uma solução a curto prazo até que os dispositivos não conformes sejam endereçados como acima descrito. Nota Permitir ligações vulneráveis de dispositivos não compatíveis poderá ter um impacto de segurança desconhecido e deve ser permitido com cautela.
-
Criou um grupo de segurança para contas que serão autorizadas a usar um canal de segurança netlogon vulnerável.
-
Na política de grupo, aceda a configuração do computador > definições do Windows > definições de segurança > políticas locais > opções de segurança
-
Procure "Controlador de domínio: Permitir que as ligações vulneráveis do canal Netlogon.
-
Se o grupo de administradores do ou se um grupo que não tenha sido criado especificamente para utilização com esta política de grupo estiver presente, remova-o.
-
Adicione um grupo de segurança criado especificamente para ser utilizado com esta política de grupo para o descritor de segurança com a permissão "permitir". Nota A permissão "Negar" comporta-se da mesma forma que se a conta não tivesse sido adicionada, ou seja. as contas não serão permitidas para tornar os canais vulneráveis da Netlogon seguros.
-
Uma vez adicionados os grupos de segurança, a política do grupo deve replicar-se a cada DC.
-
Periodicamente, monitorize os eventos 5827, 5828 e 5829 para determinar quais as contas que utilizam ligações vulneráveis de canais seguros.
-
Adicione as contas da máquina ao grupo de segurança, conforme necessário. Melhor prática Utilize grupos de segurança na política do grupo e adicione contas ao grupo para que a adesão seja replicada através da replicação normal da AD. Isto evita atualizações frequentes da política de grupo e atrasos de replicação.
Uma vez abordados todos os dispositivos não conformes, pode mover os seus DCs para o modo de execução (ver secção seguinte).
Aviso Permitir que os DCs utilizem ligações vulneráveis para contas fideditivas pela política do grupo tornará a floresta vulnerável a ataques. As Contas Fidedignas são geralmente nomeadas em homenagem ao domínio fidedigno, por exemplo: O DC no domínio-a tem uma confiança com um DC em domínio-b. Internamente, o DC em domínio-a tem uma conta fiduciu de confiança chamada "domain-b$" que representa o objeto de confiança para o domínio-b. Se o DC em domínio-a quiser expor a floresta ao risco de ataque, permitindo ligações vulneráveis do canal Netlogon a partir da conta fiduciária domain-b, um administrador pode usar o membro do Add-adgroupmember – identidade "Nome do grupo de segurança" -membros "domain-b$" para adicionar a conta fiduciária ao grupo de segurança.
passo 3A: ATIVAR o
Passando para o modo de execução antes da fase de execução de fevereiro de 2021
Depois de todos os dispositivos não conformes terem sido endereçados, quer permitindo rPC seguro, quer permitindo ligações vulneráveis com o "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon, deite a chave de registo de proteção FullSecureChannelProtetion para 1.
Nota Se estiver a utilizar o "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon, certifique-se de que a política de grupo foi replicada e aplicada a todos os DCs antes de definir a chave de registo de proteção FullSecureChannel.
Quando a chave de registo de proteção FullSecureChannel for implantada, os DCs estarão em modo de execução. Esta definição requer que todos os dispositivos que utilizem o canal de segurança Netlogon:
-
Utilize RPC seguro.
-
São permitidos no "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
Aviso Os clientes de terceiros que não suportam RPC seguro com ligações de canais seguros Netlogon serão negados quando a chave de registo do modo de aplicação de DC for implantada, o que pode perturbar os serviços de produção.
passo 3B: Fase de imposição
Implementar atualizações de 9 de fevereiro de 2021
Implementar atualizações lançadas a 9 de fevereiro de 2021 ou posterior irá ativar o modo de imposiçãode CC. O modo de execução dc é quando todas as ligações Netlogon são necessárias para usar RPC seguro ou a conta deve ter sido adicionada ao "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon. Neste momento, a chave de registo de proteção FullSecureChannel já não é necessária e deixará de ser suportada.
"Controlador de domínio: Permitir ligações vulneráveis do canal Netlogon" Política de Grupo
A melhor prática é utilizar grupos de segurança na política de grupo para que a adesão seja replicada através da replicação normal da AD. Isto evita atualizações frequentes da política de grupo e atrasos de replicação.
|
Percurso político e nome de definição |
Descrição |
|
Percurso político: Configuração do computador > definições do Windows > definições de segurança > políticas locais > opções de segurança Reinicialização necessária? Não |
Esta definição de segurança determina se o controlador de domínio contorna rPC seguro para ligações de canal seguros Netlogon para contas de máquinas especificadas. Esta política deve ser aplicada a todos os controladores de domínio numa floresta, permitindo a política dos controladores de domínios OU. Quando a lista de Ligações Vulneráveis (lista de autorizações) estiver configurada:
Aviso Ativar esta política irá expor os seus dispositivos de união de domínios e a sua floresta ative directory, o que pode colocá-los em risco. Esta política deve ser utilizada como medida temporária para dispositivos de terceiros à medida que implementa atualizações. Uma vez que um dispositivo de terceiros é atualizado para suportar usando RPC seguro com canais seguros Netlogon, a conta deve ser removida da lista de Conexões Vulneráveis. Para entender melhor o risco de configurar contas para utilizar ligações vulneráveis de canais netlogon, visite https://go.microsoft.com/fwlink/?linkid=2133485. Predefinição: Esta política não está configurada. Nenhuma máquina ou contas fidedint fidedintéticas está explicitamente isenta de RPC seguro com a aplicação de ligações de canais seguros Netlogon. Esta política é suportada no Windows Server 2008 R2 SP1 e posteriormente. |
Erros de registo de eventos do Windows relacionados com CVE-2020-1472
Existem três categorias de eventos:
1. Eventos registados quando uma ligação é negada porque a ligação vulnerável do canal de segurança netlogon foi tentada:
-
5827 (contas de máquina) Erro
-
5828 (contas fiduciundo) Erro
2. Eventos registados quando uma ligação é permitida porque a conta foi adicionada ao "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon:
-
5830 (contas da máquina) Aviso
-
5831 (contas fidedi fidedi para o fundo) Aviso
3. Eventos registados quando uma ligação é permitida no lançamento inicial que será negado no modo de execuçãode DC :
-
5829 (contas da máquina) Aviso
ID do evento 5827
O ID 5827 do evento será registado quando uma ligação vulnerável do canal Netlogon a partir de uma conta de máquina for negada.
|
Registo de eventos |
Sistema |
|
Origem do evento |
NETLOGON |
|
ID de Evento |
5827 |
|
Nível |
Erro |
|
Texto de mensagem de evento |
O serviço Netlogon negou uma ligação vulnerável do canal Netlogon a partir de uma conta de máquina. Máquina SamAccountName: Domínio: Tipo de Conta: Sistema operativo da máquina: Construção do sistema operativo da máquina: Pacote de serviço do sistema operativo da máquina: Para obter mais informações sobre o motivo pelo qual foi recusado, aceda a https://go.Microsoft.com/fwlink/?linkid=2133485. |
ID do evento 5828
O ID 5828 do evento será registado quando uma ligação vulnerável do canal Netlogon a partir de uma conta fiduciurá de uma conta fiduciuráda for negada.
|
Registo de eventos |
Sistema |
|
Origem do evento |
NETLOGON |
|
ID de Evento |
5828 |
|
Nível |
Erro |
|
Texto de mensagem de evento |
O serviço Netlogon negou uma ligação vulnerável do canal Netlogon utilizando uma conta fiduciurada. Tipo de Conta: Nome de confiança: Alvo de confiança: Endereço IP do cliente: Para obter mais informações sobre o motivo pelo qual foi recusado, aceda a https://go.Microsoft.com/fwlink/?linkid=2133485. |
ID do evento 5829
O ID do evento 5829 só será registado durante a fase inicial da implementação, quando for permitida uma ligação de canal seguro de Netlogon vulnerável a partir de uma conta de computador.
Quando o modo de imposição de CC estiver implementado ou assim que a fase de imposição começar com a implementação das atualizações de 9 de fevereiro de 2021, estas ligações serão RECUSAdas e o ID do evento 5827 será registado. É por isso que é importante monitorizar o Evento 5829 durante a Fase Inicial de Implantação e agir antes da fase de execução para evitar interrupções.
|
Registo de eventos |
Sistema |
|
Fonte de evento |
NETLOGON |
|
ID do evento |
5829 |
|
Nível |
Aviso |
|
Texto de mensagem de evento |
O serviço Netlogon permitiu uma ligação vulnerável do canal Netlogon. Aviso: Esta ligação será negada assim que a fase de execução for libertada. Para compreender melhor a fase de imposição, aceda a https://go.Microsoft.com/fwlink/?linkid=2133485. Máquina SamAccountName: Domínio: Tipo de conta: Sistema operativo da máquina: Construção do sistema operativo da máquina: Pacote de serviço do sistema operativo da máquina: |
ID do evento 5830
O ID 5830 do evento será registado quando uma ligação vulnerável da conta da máquina do canal Netlogon for permitida por "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
|
Registo de eventos |
Sistema |
|
Origem do evento |
NETLOGON |
|
ID de Evento |
5830 |
|
Nível |
Aviso |
|
Texto de mensagem de evento |
O serviço Netlogon permitiu uma ligação vulnerável do canal Netlogon porque a conta da máquina é permitida no "Controlador de Domínio: Permitir a política de grupo de ligações de canais seguras vulneráveis da Netlogon. Aviso: A utilização de canais vulneráveis de segurança Netlogon exporá os dispositivos unidos ao domínio para atacar. Para proteger o seu dispositivo de ataque, remova uma conta de máquina de "Controlador de domínio: Permitir a política vulnerável do grupo de ligações de canais netlogon após a atualização do cliente Netlogon de terceiros. Para compreender melhor os riscos da configuração de contas de computadores para que possam utilizar ligações de canais seguros de Netlogon vulneráveis, aceda a https://go.Microsoft.com/fwlink/?linkid=2133485. Máquina SamAccountName: Domínio: Tipo de Conta: Sistema operativo da máquina: Construção do sistema operativo da máquina: Pacote de serviço do sistema operativo da máquina: |
ID do evento 5831
O ID 5831 do evento será registado quando uma ligação vulnerável da conta fiducimento do canal Netlogon for permitida por "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
|
Registo de eventos |
Sistema |
|
Origem do evento |
NETLOGON |
|
ID de Evento |
5831 |
|
Nível |
Aviso |
|
Texto de mensagem de evento |
O serviço Netlogon permitiu uma ligação vulnerável do canal Netlogon porque a conta fiduciueira é permitida no "Controlador de Domínio: Permitir a política de grupo de ligações de canais seguras vulneráveis da Netlogon. Aviso: A utilização de canais vulneráveis de segurança Netlogon exporá as florestas do Ative Directory a ataques. Para proteger as florestas do Ative Directory de ataques, todos os fidedignos devem utilizar RPC seguro com o canal de segurança Netlogon. Remova uma conta fiduciu de "Controlador de domínio: Permitir a política de grupo de ligações de canais seguras vulneráveis da Netlogon após a atualização do cliente Netlogon de terceiros nos controladores de domínio. Para compreender melhor os riscos da configuração de contas de confiança para que possam utilizar ligações de canais seguros de Netlogon vulneráveis, aceda a https://go.Microsoft.com/fwlink/?linkid=2133485. Tipo de Conta: Nome de confiança: Alvo de confiança: Endereço IP do cliente: |
Valor do registo para o modo de execução
Aviso Podem ocorrer problemas graves se modificar o registo incorretamente utilizando o Editor de Registo ou utilizando outro método. Estes problemas podem exigir que reinstale o sistema operativo. A Microsoft não pode garantir que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.
As atualizações de 11 de agosto de 2020 introduzem a seguinte configuração de registo para permitir o modo de execução mais cedo. Isto será ativado independentemente da definição de registo na Fase de Execução a partir de 9 de fevereiro de 2021:
|
Sub-chave do registo |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valor |
FullSecureChannelProtecção |
|
Tipo de dados |
REG_DWORD |
|
Dados |
1 – Isto permite o modo de execução. Os DCs negarão ligações vulneráveis de canais de segurança netlogon, a menos que a conta seja permitida pela lista de Conexão Vulnerável na "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon. 0 – Os DCs permitirão ligações vulneráveis de canais netlogon a partir de dispositivos não Windows. Esta opção será depreciada na fase de execução. |
|
Reinicialização necessária? |
Não |
Dispositivos de terceiros a implementar o [MS-NRPC]: Protocolo Remoto Netlogon
Todos os clientes ou servidores de terceiros têm de utilizar o RPC seguro com o canal seguro Netlogon. Entre em contato com o fabricante do dispositivo (OEM) ou fornecedores de software para determinar se o seu software é compatível com o mais recente Protocolo Remoto Netlogon.
As atualizações do protocolo podem ser encontradas no site de documentação do protocolo do Windows.
Perguntas mais frequentes (FAQ)
-
Dispositivos unidos por domínio do Windows e terceiros que têm contas de máquinas no Ative Directory (AD)
-
Windows Server e controladores de domínio de terceiros em domínios fidedignos e fidedignos que têm contas fidedignas em AD
Dispositivos de terceiros podem não ser compatíveis. Se a sua solução de terceiros mantiver uma conta de máquina em AD, contacte o fornecedor para determinar se foi impactado.
Atrasos na replicação de AD e Sysvol ou falhas na aplicação de política de grupo na autenticação de DC podem causar alterações na política do grupo "Controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon ausente e resulte na recusa da conta.
Os seguintes passos podem ajudar a resolver o problema:
-
Se configurar a política para conter um grupo e efetivo alterações de membros do grupo para adicionar a conta, verifique se o DC que negou a ligação replicou as alterações de membros do grupo localmente. Nota Não é aconselhável adicionar as contas diretamente à política de grupo.
-
Se fez uma alteração na política e adicionou uma nova conta ou um novo grupo verifique se a mudança de política é replicada e aplicada: Executar os comandos gpupdate /force e gpresult /h
-
Para obter mais informações sobre a resolução de problemas da aplicação da política do grupo e componentes relacionados com os dependentes, consulte o seguinte:
Por predefinição, as versões suportadas do Windows que foram totalmente atualizadas não devem utilizar as ligações de canais seguros de Netlogon. Se um ID 5827 de evento estiver registado no registo de eventos do sistema para um dispositivo Windows:
-
Confirme que o dispositivo está a executar uma versão do Windows suportada.
-
Certifique-se de que o dispositivo está totalmente atualizado a partir do Windows Update.
-
Verifique se membro do Domínio: Encriptar ou assinar digitalmente dados de canal seguros (sempre) está definido para Ativado num GPO ligado à OU para todos os seus DCs, como os controladores de domínio padrão GPO.
Sim, estas devem ser atualizadas, mas não estão especificamente vulneráveis ao CVE-2020-1472.
Não, os DCs são a única função afetada pelo CVE-2020-1472 e podem ser atualizados independentemente de servidores Windows não DC e outros dispositivos Windows.
O Windows Server 2008 SP2 não é vulnerável a este CVE específico porque não utiliza o AES para RPC seguro.
Sim, irá precisar de uma atualização de segurança prolongada (ESU) para instalar as atualizações para o endereço CVE-2020-1472 para Windows Server 2008 R2 SP1.
Ao implementar as atualizações de 11 de agosto de 2020 ou posterior em todos os controladores de domínio no seu ambiente.
Certifique-se de que nenhum dos dispositivos foi adicionado ao controlador de domínio ": Permitir ligações de canal seguro de Netlogon (política de grupo de administrador empresarial ou de privilégios de administrador de domínio, como o SCCM ou o Microsoft Exchange. Nota Qualquer dispositivo na lista de permissões poderá utilizar as ligações vulneráveis e pode expor o seu ambiente ao ataque.
A instalação de atualizações lançada a 11 de agosto de 2020 ou posterior nos controladores de domínio protege as contas de computador baseadas no Windows, as contas de confiança e as contas do controlador de domínio.
As contas de computadores do Active Directory para dispositivos de terceiros associados a domínios não estão protegidas até que o modo de imposição seja implementado. As contas de computador também não estão protegidas se forem adicionadas ao "controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
Certifique-se de que todos os controladores de domínio no seu ambiente do têm a atualização de 11 de agosto de 2020 ou posterior.
Qualquer identidade de dispositivo que tenha sido adicionada ao "controlador de domínio: Permitir ligações de canal seguro de Netlogon vulneráveis "a política de grupo estará vulnerável a ataques.
Certifique-se de que todos os controladores de domínio no seu ambiente do têm a atualização de 11 de agosto de 2020 ou posterior.
Ativar o modo de imposição para negar ligações vulneráveis de identidades de dispositivos de terceiros não compatíveis.
Nota Com o modo de imposição ativado, as identidades de dispositivos de terceiros que foram adicionadas ao "controlador de domínio: Permitir ligações de canal seguro de Netlogon vulneráveis "a política de grupo continuará vulnerável e pode permitir que um invasor tenha acesso não autorizado à sua rede ou dispositivos.
O modo de imposição indica aos controladores de domínio que não permitem ligações Netlogon de dispositivos que não utilizam o Protocolo RPC seguro, a menos que a conta do dispositivo tenha sido adicionada ao "controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon.
Para obter mais informações, consulte o artigo valor de registo da secção modo de imposição .
Apenas as contas de computador para dispositivos que não podem ser impostas em segurança ao ativar o Protocolo RPC seguro no canal seguro Netlogon devem ser adicionados à política de grupo. Recomenda-se que o torne esses dispositivos em conformidade ou que substitua esses dispositivos para proteger o seu ambiente.
Um invasor pode tomar o controlo de uma conta de computador do Active Directory adicionada à política de grupo e, em seguida, tirar partido das permissões que a identidade do computador tem.
Se tiver um dispositivo de terceiros que não suporte RPC seguro para o canal seguro Netlogon e pretender ativar o modo de imposição, deve adicionar a conta de computador desse dispositivo à política de grupo. Isto não é recomendado e pode deixar o seu domínio num estado potencialmente vulnerável. É recomendado utilizar esta política de grupo para permitir que o tempo seja atualizado ou substituído por outros dispositivos de terceiros para lhes dar conformidade.
O modo de imposição deve ser ativado o mais cedo possível. Qualquer dispositivo de terceiros terá de ser resolvido ao torná-lo compatível ou ao adicioná-los ao "controlador de domínio: Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon. Nota Qualquer dispositivo na lista de permissões poderá utilizar as ligações vulneráveis e pode expor o seu ambiente ao ataque.
Glossário
|
Termo |
Definição |
|
Anúncio |
Diretório Ativo |
|
DC |
Controlador de domínio |
|
A chave de registo que lhe permite ativar o modo de execução antes de 9 de fevereiro de 2021. |
|
|
Fase a começar com a 9 de fevereiro de 2021 atualizações em que o modo de imposição estará ativado em todos os controladores de domínio Windows, independentemente da definição de registo. Os DCs irão negar as ligações vulneráveis de todos os dispositivos não compatíveis, a menos que sejam adicionadas ao "controlador de domínio do : Permitir que a política de grupo de ligações de canais seguras vulneráveis da Netlogon. |
|
|
Fase a começar com as atualizações de 11 de agosto de 2020 e continua com atualizações posteriores até à fase de Execução. |
|
|
conta máquina |
Também referido como Ative Directory Computer ou objeto de computador. Consulte o Glossário MS-NPRC para uma definição completa. |
|
Microsoft Netlogon Remote ProtoCol |
|
|
Dispositivo não conforme |
Um dispositivo não conforme é aquele que utiliza uma ligação vulnerável do canal Netlogon. |
|
RODC |
controladores de domínio apenas de leitura |
|
Conexão vulnerável |
Uma ligação vulnerável é uma ligação de canal segura Netlogon que não utiliza RPC seguro. |
