Rezumat

Protocolul de la distanță Netlogon (denumit și MS-NRPC) este o interfață RPC, care este utilizată exclusiv de dispozitive asociate cu domenii. MS-NRPC include o metodă de autentificare și o metodă de a crea un canal securizat Netlogon. Aceste actualizări impun comportamentul client Netlogon specificat pentru a utiliza Secure RPC cu Netlogon Secure Channel între computerele membre și controlerii de domeniu Active Directory (AD).

Această actualizare de securitate abordează vulnerabilitatea prin impunerea securității RPC atunci când utilizați canalul securizat Netlogon într-o ediție pe etape explicată în calendarul actualizărilor pentru a răspunde la secțiunea de vulnerabilitate Netlogon-2020-1472 . Pentru a oferi protecție forestieră AD, toate DCs-urile trebuie să fie actualizate, deoarece vor impune securizarea RPC cu Netlogon Secure Channel. Printre acestea se numără controlerii de domeniu doar în citire (RODC).

Pentru a afla mai multe despre vulnerabilitatea, consultați CVE-2020-1472.

Acțiune

Pentru a vă proteja mediul și a preveni întreruperi, trebuie să procedați astfel:

Notă Pasul 1 din instalarea actualizărilor lansate pe 11 august 2020 sau o versiune mai recentă va adresa problema de securitate în CVE-2020-1472 pentru domenii Active Directory și trusturi, precum și pentru dispozitive Windows. Pentru a diminua complet problema de securitate pentru dispozitivele de la terți, va trebui să parcurgeți toți pașii.

Avertizare Începând cu luna februarie 2021, modul de executare va fi activat pe toate controlerele de domeniu Windows și va bloca conexiunile vulnerabile de la dispozitive neconforme. În acel moment, nu veți putea dezactiva modul de executare.

  1. Actualizați controlerii de domeniu cu o actualizare lansată pe 11 august 2020 sau o versiune mai recentă.

  2. Aflați ce dispozitive fac conexiuni vulnerabile prin monitorizarea jurnalelor de evenimente.

  3. Adresați -vă dispozitivelor care nu sunt compatibile, făcând conexiuni vulnerabile.

  4. Activați modul executoriu pentru a aborda CVE-2020-1472 în mediul dvs.


Notă Dacă utilizați Windows Server 2008 R2 SP1, aveți nevoie de o licență de actualizare de securitate extinsă (ESU) pentru a instala cu succes orice actualizare care abordează această problemă. Pentru mai multe informații despre programul ESU, consultați întrebări frecvente despre ciclul de viață-actualizări de securitate extinse.

În acest articol:

Calendarul actualizărilor pentru abordarea vulnerabilității Netlogon-2020-1472

Actualizările vor fi lansate în două faze: faza inițială pentru actualizări lansate la sau după data de 11 august 2020 și faza de executare a actualizărilor lansate la sau după 9 februarie 2021.

11 august 2020-etapa inițială de implementare

Faza de implementare inițială începe cu actualizările lansate pe 11 august 2020 și continuă cu actualizări mai recente până la etapa de executare. Aceste actualizări și versiuni mai recente modifică protocolul Netlogon pentru a proteja dispozitivele Windows în mod implicit, înregistrează evenimentele pentru descoperirea dispozitivelor neconforme și adaugă capacitatea de a activa protecția pentru toate dispozitivele asociate domeniului cu excepții explicite. Această versiune:

  • Impune utilizarea RPC securizată pentru conturile de mașină pe dispozitive bazate pe Windows.

  • Impune utilizarea RPC securizată pentru conturile de încredere.

  • Impune utilizarea RPC securizată pentru toate ferestrele și sistemele DCs non-Windows.

  • Include o nouă politică de grup pentru a permite conturi de dispozitive neconforme (cele care utilizează conexiuni de canal securizat Netlogon vulnerabile). Chiar și atunci când DCs rulează în modul executoriu sau după începerea fazei de executare , dispozitivele permise nu vor fi refuzate conectarea.

  • Cheie de registry FullSecureChannelProtection pentru a activa modul de executare DC pentru toate conturile de mașină (executarea fazei va actualiza DCS la modul executoriuDC).

  • Include evenimente noi, atunci când sunt refuzate conturi sau vor fi refuzate în modul de executare DC (și vor continua în etapa de executare). ID-urile de eveniment specifice sunt explicate mai sus în acest articol.

Atenuarea constă în instalarea actualizării pe toate DCs și RODCs, monitorizarea evenimentelor noi și abordarea dispozitivelor neconforme care utilizează conexiuni de canal securizat Netlogon vulnerabile. Conturile de mașină pe dispozitive neconforme pot avea permisiunea de a utiliza conexiuni de canal securizat cu Netlogon vulnerabil; cu toate acestea, ar trebui să fie actualizate pentru a accepta securizarea RPC pentru Netlogon și contul impus cât mai curând posibil, pentru a elimina riscul de atac.

9 februarie 2021-etapa de executare

Versiunea 9 februarie 2021 marchează tranziția în etapa de executare. DCs va fi acum în modul de executare indiferent de cheia de registry modul de executare. Acest lucru necesită ca toate dispozitivele Windows și non-Windows să utilizeze Secure RPC cu Netlogon Secure Channel sau să permită în mod explicit contul adăugând o excepție pentru dispozitivul necompatibil. Această versiune:

Instrucțiuni de implementare-implementarea actualizărilor și impunerea conformității

Faza de implementare inițială va consta în următorii pași:

  1. Implementarea actualizărilor din 11 augustcătre toate DCS din pădure.

  2. (a) să monitorizeze evenimentele de avertizareși să acționeze pentru fiecare eveniment.

  3. (a) după ce s-au adresat toate evenimentele de avertisment, protecția completă poate fi activată prin implementarea modului de executareDC. (b) toate avertizările ar trebui rezolvate înainte de actualizarea fazei de executare de la 9 februarie 2021.

pasul 1: ACTUALIZAREA

Implementarea actualizărilor 11 august 2020

Implementați 11 august actualizări pentru toate controlerii de domeniu aplicabili (DCs) din padure, inclusiv controlerii de domeniu doar în citire (RODCs). După implementarea acestei actualizări, DCs va avea următoarele:

  • Începeți să Impuneți utilizarea securizată RPC pentru toate conturile de dispozitive bazate pe Windows, conturile de încredere și toate DCs.

  • Jurnal ID-uri de eveniment 5827 și 5828 în Jurnalul de evenimente de sistem, dacă sunt refuzate conexiunile.

  • Înregistrarea ID-urilor de eveniment 5830 și 5831 în Jurnalul de evenimente de sistem, dacă "controler de domeniu este permis: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

  • ID eveniment jurnal 5829 în Jurnalul de evenimente de sistem de fiecare dată când este permisă o conexiune de canal securizat Netlogon vulnerabilă. Aceste evenimente ar trebui să fie rezolvate înainte de a configura modul de executare DC sau înainte de începerea fazei de executare pe 9 februarie 2021.

 

pasul 2a: Găsire

Detectarea dispozitivelor neconforme utilizând ID eveniment 5829

După 11 august, 2020 de actualizări au fost aplicate pentru DCs, evenimentele pot fi colectate în jurnalele de evenimente DC, pentru a determina ce dispozitive din mediul dvs. utilizează conexiunile de canal securizat Netlogon vulnerabile (numite și dispozitive neconforme în acest articol). Monitor cu patch-uri DCs pentru Event ID 5829 evenimente. Evenimentele vor include informații relevante pentru identificarea dispozitivelor neconforme.

Pentru a monitoriza evenimentele, utilizați software-ul de monitorizare a evenimentelor disponibil sau utilizând un script pentru a monitoriza DCs.  Pentru un exemplu de script pe care îl puteți adapta la mediul dvs., consultați script pentru a vă ajuta în monitorizarea ID-urilor de eveniment asociate cu actualizările Netlogon pentru CVE-2020-1472

Pasul 2b: ADRESĂ

Abordarea ID-urilor de eveniment 5827 și 5828

În mod implicit, versiunile acceptate de Windows care au fost complet actualizate nu trebuie să utilizeze conexiuni de canal securizat Netlogon vulnerabile. Dacă unul dintre aceste evenimente este înregistrat în Jurnalul de evenimente de sistem pentru un dispozitiv Windows:

  1. Confirmați că dispozitivul rulează o versiune acceptată de Windows.

  2. Asigurați-vă că dispozitivul este complet actualizat.

  3. Verificați pentru a vă asigura că membru al domeniului: Criptarea digitală sau semnarea datelor de canal sigure (întotdeauna) este setată la activat.

Pentru dispozitivele care nu sunt Windows care acționează ca DC, aceste evenimente vor fi înregistrate în Jurnalul de evenimente de sistem atunci când utilizați conexiuni de canal securizat Netlogon vulnerabile. Dacă unul dintre aceste evenimente este înregistrat:

  • Recomandată Lucrul cu producătorul de dispozitive (OEM) sau distribuitorul de software pentru a obține suport pentru Secure RPC cu Netlogon Secure Channel

    1. Dacă DC necompatibil acceptă RPC securizat cu Netlogon Secure Channel, activați Secure RPC în DC.

    2. Dacă DC necompatibil nu acceptă în prezent Secure RPC, lucrați cu producătorul de dispozitive (OEM) sau distribuitorul de software pentru a obține o actualizare care acceptă Secure RPC cu Netlogon Secure Channel.

    3. Retrageți DC-ul necompatibil.

  • Vulnerabil Dacă un DC necompatibil nu poate accepta Secure RPC cu Netlogon Secure Channel înainte ca DCs să se află în modul de executare, adăugați DC utilizând "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup descris mai jos.

Avertizare Permiterea ca DCs să utilizeze conexiunile vulnerabile la Politica de grup va face pădurea vulnerabilă la atacuri. Scopul final ar trebui să fie să abordeze și să elimine toate conturile din această politică de grup.

 

Abordarea evenimentului 5829

ID eveniment 5829 se generează atunci când este permisă o conexiune vulnerabilă în timpul fazei de implementare inițiale. Aceste conexiuni vor fi refuzate atunci când DCs se află în modul de executare. În aceste evenimente, focalizați pe versiunile de nume de mașină, de domeniu și de sistem de operare identificate pentru a determina dispozitivele care nu sunt compatibile și modul în care trebuie rezolvate.

Modalitățile de abordare a dispozitivelor neconforme:

  • Recomandată Lucrați cu producătorul de dispozitive (OEM) sau distribuitorul de software pentru a obține suport pentru Secure RPC cu Netlogon Secure Channel:

    1. Dacă dispozitivul necompatibil acceptă RPC securizat cu Netlogon Secure Channel, activați Securizați RPC pe dispozitiv.

    2. Dacă dispozitivul necompatibil nu acceptă momentan securizarea RPC cu Netlogon Secure Channel, lucrați cu producătorul de dispozitive sau cu furnizorul de software pentru a obține o actualizare care permite activarea securității RPC cu Netlogon Secure Channel.

    3. Retrageți dispozitivul necompatibil.

  • Vulnerabil Dacă un dispozitiv care nu este compatibil nu poate accepta Secure RPC cu Netlogon Secure Channel înainte ca DCs să se află în modul de executare, adăugați dispozitivul utilizând "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup descris mai jos.

Avertizare Permiterea conturilor de dispozitive pentru utilizarea conexiunilor vulnerabile de către Politica de grup va pune aceste conturi de publicitate în pericol. Scopul final ar trebui să fie să abordeze și să elimine toate conturile din această politică de grup.

 

Permiterea conexiunilor vulnerabile de la dispozitive 3rd party

Utilizați "controler de domeniu: Se permit conexiuni de canal securizat cu Netlogon vulnerabili "Politica de grup pentru a adăuga conturi neconforme. Acest lucru ar trebui să fie considerat un remediu de scurtă durată până când dispozitivele neconforme sunt adresate așa cum este descris mai sus. Notă Permiterea conexiunilor vulnerabile de la dispozitive neconforme ar putea avea un impact necunoscut asupra securității și ar trebui să fie permisă cu prudență.

  1. A creat un grup de securitate pentru conturi, cărora li se va permite să utilizeze un canal securizat Netlogon vulnerabil.

  2. În politică de grup, accesați configurare computer > Setări Windows > Setări de securitate > politici locale > Opțiuni de securitate

  3. Căutați "controler de domeniu: Permiteți conexiuni de canal securizat Netlogon vulnerabile ".

  4. Dacă grupul de administrator sau dacă există un grup care nu este creat în mod special pentru a fi utilizat cu această politică de grup, eliminați-l.

  5. Adăugați un grup de securitate creat special pentru a fi utilizat cu această politică de grup în Descriptor de formate de securitate cu permisiunea "se permite". Notă Permisiunea "deny" se comportă la fel ca în cazul în care nu s-a adăugat contul, adică conturile nu vor fi permise pentru a face canalele de siguranță Netlogon vulnerabile.

  6. Odată ce sunt adăugate grupurile de securitate, Politica de grup trebuie să se reproducă la fiecare DC.

  7. Periodic, monitorizează evenimentele 5827, 5828 și 5829 pentru a determina ce conturi utilizează conexiuni de canal securizat vulnerabile.

  8. Adăugați acele conturi de mașină la grupurile de securitate, după cum este necesar. Cele mai bune practici Utilizați grupurile de securitate din Politica de grup și adăugați conturi la grup, astfel încât apartenența să fie reprodusă prin replicarea normală a ANUNȚului. Acest lucru evită actualizările frecvente ale politicii de grup și întârzierile de replicare.

După ce s-au adresat toate dispozitivele neconforme, puteți muta modul DCs în mod executoriu (consultați secțiunea următoare).

Avertizare Permiterea DCs să utilizeze conexiuni vulnerabile pentru conturile de încredere de către Politica de grup va face pădurea vulnerabilă la atacuri. Conturile de încredere sunt, de obicei, numite după domeniul de încredere, de exemplu: DC in Domain-a are o încredere cu un DC în Domain-b. Pe plan intern, DC in Domain-a are un cont de încredere denumit "domeniu-b $", care reprezintă obiectul de încredere pentru Domain-b. În cazul în care DC in Domain-a vrea să expună pădurii la riscul de atac, permițându-le conexiuni de canal securizat Netlogon din contul de încredere domeniu-b, un administrator poate utiliza Add-adgroupmember-Identity "nume grup de securitate"-membri "domeniu-b $" pentru a adăuga contul de încredere în grupul de securitate.

 

Pasul 3a: Activați

Trecerea la modul executoriu înaintea fazei de executare din februarie 2021

După ce au fost abordate toate dispozitivele neconforme, permițându-vă să activați securizarea RPC sau permițându-le să aibă legături vulnerabile cu "controler de domeniu: Permiteți conexiuni de canal securizat cu Netlogon vulnerabili "Politica de grup, setați cheia de registry FullSecureChannelProtection la 1.

Notă Dacă utilizați "controler de domeniu: Permiteți conexiuni de canal securizat cu Netlogon vulnerabili "Politica de grup, asigurați-vă că s-a replicat Politica de grup și s-a aplicat la toate DCs înainte de a seta cheia de registry FullSecureChannelProtection.

Atunci când se implementează cheia de registry FullSecureChannelProtection, DCs va fi în modul de executare. Această setare necesită ca toate dispozitivele utilizând Netlogon Secure Channel să fie:

Avertizare Clienții terți care nu acceptă Secure RPC cu conexiuni de canal securizat Netlogon vor fi refuzați atunci când se implementează cheia de registry modul de executare DC, care poate perturba serviciile de producție.

 

Pasul 3B: fazei de executare

Implementarea actualizărilor 9 februarie 2021

Implementarea actualizărilor lansate pe 9 februarie 2021 sau o versiune mai recentă va activa modul de executareDC. Modul de executare DC este atunci când toate conexiunile Netlogon sunt necesare pentru a utiliza Secure RPC sau contul trebuie să fi fost adăugat la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup. În acest moment, cheia de registry FullSecureChannelProtection nu mai este necesară și nu va mai fi acceptată.

"Controler de domeniu: Politică de grup pentru a permite conexiuni de canal sigure cu Netlogon

Cele mai bune practici sunt utilizarea grupurilor de securitate din Politica de grup, astfel încât apartenența să fie reprodusă prin replicarea normală a ANUNȚului. Acest lucru evită actualizările frecvente ale politicii de grup și întârzierile de replicare.

Calea de politică și numele setării

Descrierea

Cale politică: Configurația computerului > setări Windows > setări de securitate > politici locale > opțiuni de securitate

Nume setare: controler de domeniu: Permiteți conexiuni de canal securizat cu Netlogon vulnerabil

Repornirea necesară? Nu

Această setare de securitate determină dacă controlerul de domeniu evită conexiunile de canal securizat RPC pentru Netlogon pentru conturile de mașină specificate.

Această politică ar trebui să fie aplicată tuturor controlerelor de domeniu din pădure, activând Politica de Controleri de domeniu OU.

Atunci când este configurată lista Creare conexiuni vulnerabile (listă de permisiuni):

  • Permite Controlerul de domeniu va permite grupului/conturilor specificate să utilizeze un canal securizat Netlogon fără RPC securizat.

  • Refuz Această setare este la fel ca comportamentul implicit. Controlerul de domeniu va solicita grupului/conturilor specificate să utilizeze un canal securizat Netlogon cu RPC securizat.

Avertizare Pentru a activa această politică, va expune dispozitivele asociate domeniului dvs. și pădurii Active Directory, lucru care le-ar putea oferi riscuri. Această politică ar trebui să fie utilizată ca măsură temporară pentru dispozitivele de la terți pe măsură ce implementați actualizările. Odată ce un dispozitiv de la terți este actualizat pentru a accepta utilizarea RPC securizat cu canale sigure Netlogon, contul ar trebui să fie eliminat din lista Creare conexiuni vulnerabili. Pentru a înțelege mai bine riscul de a configura conturi pentru a avea permisiunea de a utiliza conexiunile de canal securizat Netlogon vulnerabil, vizitați https://go.microsoft.com/fwlink/?linkid=2133485.

Implicit Această politică nu este configurată. Nicio mașină sau conturi de încredere nu sunt scutite în mod explicit de securizarea conexiunii de canal securizat RPC cu Netlogon.

Această politică este acceptată în Windows Server 2008 R2 SP1 și în versiunile mai recente.

Erorile din jurnalul de evenimente Windows legate de CVE-2020-1472

Există trei categorii de evenimente:

1. Evenimentele s-au conectat atunci când o conexiune este refuzată, deoarece s-a încercat o conexiune de canal securizat Netlogon:

  • Eroarea 5827 (conturi de computer)

  • Eroarea 5828 (conturi de încredere)

2. Evenimentele s-au conectat atunci când este permisă o conexiune, deoarece s-a adăugat un cont la "controler de domeniu: Permiteți conexiunile de canal securizat Netlogon cu conexiune vulnerabilă "Politica de grup:

  • Avertizare (conturi de computer 5830)

  • Avertizare (conturi de încredere) 5831

3. Evenimentele s-au conectat atunci când o conexiune este permisă în versiunea inițială, care va fi refuzată în modul de executareDC:

  • Avertizare (conturi de computer 5829)

ID eveniment 5827

ID-ul de eveniment 5827 va fi logat atunci când este refuzată o conexiune de canal securizat Netlogon vulnerabilă de la un cont de computer.

Jurnal de evenimente

Sistem

Sursa evenimentului

NETLOGON

ID eveniment

5827

Nivel

Eroare

Text mesaj de eveniment

Serviciul Netlogon a refuzat o conexiune vulnerabilă la Netlogon Secure Channel de la un cont de computer.

SamAccountName de mașină:

Domeniu:

Tip cont:

Sistem de operare mașină:

Sistem de operare mașină:

Pachet Service Pack pentru sistemul de operare mașină:

Pentru mai multe informații despre motivul pentru care s-a refuzat acest lucru, vizitați https://Go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID eveniment 5828

ID-ul de eveniment 5828 va fi logat atunci când este refuzată o conexiune de canal securizat Netlogon vulnerabilă de la un cont de încredere.

Jurnal de evenimente

Sistem

Sursa evenimentului

NETLOGON

ID eveniment

5828

Nivel

Eroare

Text mesaj de eveniment

Serviciul Netlogon a refuzat o conexiune vulnerabilă la canalul securizat Netlogon utilizând un cont de încredere.

Tip cont:

Nume de încredere:

Țintă de încredere:

Adresă IP client:

Pentru mai multe informații despre motivul pentru care s-a refuzat acest lucru, vizitați https://Go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID eveniment 5829

ID-ul de eveniment 5829 va fi logat doar în timpul fazei de implementare inițiale, atunci când este permisă o conexiune de canal securizat Netlogon vulnerabilă de la un cont de computer.

Atunci când se implementează modul de executare DC sau odată ce etapa de executare începe cu implementarea actualizărilor din 9 februarie 2021, aceste conexiuni vor fi REFUZAte, iar ID-ul de eveniment 5827 va fi înregistrat. De aceea, este important să monitorizați evenimentul 5829 în timpul fazei de implementare inițiale și să acționăm înainte de etapa de executare, pentru a evita întreruperile.

Jurnal de evenimente

Sistem

Sursa evenimentului

NETLOGON

ID eveniment

5829

Nivel

Avertisment

Text mesaj de eveniment

Serviciul Netlogon a permis o conexiune vulnerabilă la Netlogon Secure Channel.  

Avertisment: Această conexiune va fi refuzată după lansarea fazei de executare. Pentru a înțelege mai bine faza de executare, vizitați https://Go.Microsoft.com/fwlink/?LinkId=2133485.  

SamAccountName de mașină:  

Domeniu:  

Tip de cont:  

Sistem de operare mașină:  

Sistem de operare mașină:  

Pachet Service Pack pentru sistemul de operare mașină:  

ID eveniment 5830

ID-ul de eveniment 5830 va fi înregistrat când o conexiune de cont de canal securizat Netlogon este permisă de către "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

Jurnal de evenimente

Sistem

Sursa evenimentului

NETLOGON

ID eveniment

5830

Nivel

Avertisment

Text mesaj de eveniment

Serviciul Netlogon a permis o conexiune vulnerabilă la Netlogon Secure Channel, deoarece contul de mașină este permis în "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal securizat Netlogon "Politica de grup.

Avertisment: Utilizarea canalelor sigure cu Netlogon vulnerabilă va expune dispozitivele asociate domeniului pentru a ataca. Pentru a proteja dispozitivul de atac, eliminați un cont de computer de la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "după ce a fost actualizat clientul Netlogon de la terți. Pentru a înțelege mai bine riscul de configurare a conturilor de mașină pentru a permite utilizarea de conexiuni de canal securizat cu Netlogon vulnerabil, vizitați https://Go.Microsoft.com/fwlink/?LinkId=2133485.

SamAccountName de mașină:

Domeniu:

Tip cont:

Sistem de operare mașină:

Sistem de operare mașină:

Pachet Service Pack pentru sistemul de operare mașină:

 

ID eveniment 5831

ID-ul de eveniment 5831 va fi înregistrat atunci când o conexiune vulnerabilă de încredere a canalului Netlogon Secure Channel este permisă de către "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

Jurnal de evenimente

Sistem

Sursa evenimentului

NETLOGON

ID eveniment

5831

Nivel

Avertisment

Text mesaj de eveniment

Serviciul Netlogon a permis o conexiune vulnerabilă la canalul securizat Netlogon, deoarece contul de încredere este permis în "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal securizat Netlogon "Politica de grup.

Avertisment: Utilizarea canalelor sigure cu Netlogon vulnerabilă va expune pădurile Active Directory pentru a ataca. Pentru a proteja pădurile Active Directory de atacurile, toate trusturi trebuie să utilizeze Secure RPC cu Netlogon Secure Channel. Eliminarea unui cont de încredere din "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure pentru Netlogon "după ce a fost actualizat clientul Netlogon de la terți de controlere de domeniu. Pentru a înțelege mai bine riscul de a configura conturi de încredere pentru a avea permisiunea de a utiliza conexiunile de canal securizat Netlogon vulnerabile, vizitați https://Go.Microsoft.com/fwlink/?LinkId=2133485.

Tip cont:

Nume de încredere:

Țintă de încredere:

Adresă IP client:

Valoarea de registry pentru modul executare

Avertisment poate apărea probleme grave dacă faceți modificări incorecte în registry utilizând Registry Editor sau utilizând o altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modificați registry pe propriul risc. 

Actualizările din 11 august 2020 introduc următoarea setare de registry pentru a activa modul de executare mai devreme. Acest lucru va fi activat indiferent de setarea de registry din faza de executare, începând cu 9 februarie 2021: 

Subcheie de registry

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valoare

FullSecureChannelProtection

Tip de date

REG_DWORD

Dată

1 – acest lucru permite modul de executare. DCs va nega conexiunile de canal securizat Netlogon vulnerabile, cu excepția cazului în care contul este permis de lista Creare conexiune vulnerabilă din "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.  

0-DCs va permite conexiuni de canal securizat Netlogon vulnerabile de pe dispozitivele care nu sunt ferestre. Această opțiune va fi perimată în lansarea fazei de executare.

Repornirea necesară?

Nu

 

Dispozitive de la terți implementând [MS-NRPC]: Protocolul de la distanță Netlogon

Toate clienții sau serverele de la terți trebuie să utilizeze Secure RPC cu canalul securizat Netlogon. Contactați producătorul de dispozitive (OEM) sau distribuitorii de software pentru a determina dacă software-ul este compatibil cu cel mai recent protocol de la distanță Netlogon. 

Actualizările de protocol pot fi găsite pe site-ul de documentație Windows protocol

Întrebări frecvente (întrebări frecvente)

  • Windows & dispozitive de la terți conexate care au conturi de mașină în Active Directory (AD)

  • Windows Server & controlerii de domeniu de la terți în domenii de încredere & de încredere care au conturi de încredere în AD

Dispozitivele de la terți pot fi incompatibile. Dacă soluția dvs. de la terți menține un cont de mașină în AD, contactați distribuitorul pentru a determina dacă sunteți afectat.

Întârzierile în replicarea AD și SYSVOL sau erori de aplicație pentru Politica de grup pe DC-ul de autentificare poate cauza modificările politicii de grup "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup să fie absentă și duce la refuzul contului. 

Pașii următori pot ajuta la depanarea problemei:

În mod implicit, versiunile acceptate de Windows care au fost complet actualizate nu trebuie să utilizeze conexiuni de canal securizat Netlogon vulnerabile. Dacă un ID de eveniment 5827 este înregistrat în Jurnalul de evenimente de sistem pentru un dispozitiv Windows:

  1. Confirmați că dispozitivul rulează o versiune acceptată de Windows.

  2. Asigurați-vă că dispozitivul este complet actualizat din Windows Update.

  3. Verificați pentru a vă asigura că membru al domeniului: Criptarea digitală sau semnarea datelor de canal sigure (întotdeauna) este setată la activat într-un obiect GPO legat la OU pentru toate DCs-urile, cum ar fi controlerii de domeniu implicit GPO.

Da, ar trebui să fie actualizate, dar nu sunt vulnerabili în mod specific la CVE-2020-1472.

Nu, DCs sunt singurul rol afectat de CVE-2020-1472 și poate fi actualizat independent de serverele Windows non-DC și de alte dispozitive Windows.

Windows Server 2008 SP2 nu este vulnerabil la acest CVE specific, deoarece nu utilizează AES pentru Secure RPC.

Da, veți avea nevoie de o Actualizare de securitate extinsă (ESU) pentru a instala actualizările la adresa CVE-2020-1472 pentru Windows Server 2008 R2 SP1.

Implementând actualizări din august 11, 2020 sau mai recente pentru toate controlerele de domeniu din mediul dvs.

Asigurați-vă că niciuna dintre dispozitive nu este adăugată la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup aveți servicii de privilegii de administrator de întreprindere sau de domeniu, cum ar fi SCCM sau Microsoft Exchange.  Notă Orice dispozitiv din lista de permisiuni va fi permis să utilizeze conexiuni vulnerabile și să vă expună mediul în atac.

Instalarea actualizărilor lansate pe 11 august, 2020 sau o versiune mai recentă pe controlerii de domeniu protejează conturile de mașină bazate pe Windows, conturile de încredere și de controler de domeniu. 

Conturile de mașină Active Directory pentru domeniu dispozitive de la terți nu sunt protejate până când nu se implementează modul de executare. De asemenea, conturile de mașină nu sunt protejate dacă sunt adăugate la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

Asigurați-vă că toate controlerele de domeniu din mediul dvs. au instalat actualizări de 11 august, 2020 sau o versiune mai recentă.

Toate identitățile de dispozitiv care au fost adăugate la "controler de domeniu: Permiteți conexiuni de canal securizat cu Netlogon vulnerabili "Politica de grup va fi vulnerabilă pentru a ataca.   

Asigurați-vă că toate controlerele de domeniu din mediul dvs. au instalat actualizări de 11 august, 2020 sau o versiune mai recentă. 

Activați modul de executare pentru a nega conexiunile vulnerabile de la identități de dispozitive de la terți care nu sunt compatibile.

Notă Cu modul executoriu activat, toate identitățile de dispozitive de la terți care au fost adăugate la "controler de domeniu: Permiteți conexiuni de canal securizat cu Netlogon vulnerabili "Politica de grup va fi în continuare vulnerabilă și poate permite unui atacator să aibă acces neautorizat la rețea sau dispozitive.

Modul executoriu le spune controlerilor de domeniu să nu permită conexiuni Netlogon de pe dispozitive care nu utilizează Secure RPC, cu excepția cazului în care s-a adăugat acel cont de dispozitiv la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

Pentru mai multe informații, consultați secțiunea valoarea de registry pentru modul executare .

Doar conturile de mașină pentru dispozitivele care nu se pot efectua sigure, activând RPC securizat pe canalul securizat Netlogon, ar trebui să fie adăugate la Politica de grup. Se recomandă să le transformați sau să înlocuiască aceste dispozitive pentru a vă proteja mediul.

Un atacator poate prelua o identitate de mașină Active Directory a oricărui cont de computer adăugat la Politica de grup și, ulterior, va folosi orice permisiuni are identitatea computerului.

Dacă aveți un dispozitiv de la terți care nu acceptă securizarea RPC pentru canalul securizat Netlogon și doriți să activați modul de executare, atunci ar trebui să adăugați contul de mașină pentru dispozitivul respectiv la Politica de grup. Acest lucru nu este recomandat și ar putea ieși din domeniul dvs. într-o stare potențial vulnerabilă.  Se recomandă să utilizați această politică de grup pentru a permite timp pentru a actualiza sau a înlocui orice dispozitive de la terți pentru a le face compatibile.

Modul de executare ar trebui să fie activat cât mai curând posibil. Orice dispozitiv terț va trebui să fie abordat, făcându-le compatibil sau adăugându-le la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup. Notă Orice dispozitiv din lista de permisiuni va fi permis să utilizeze conexiuni vulnerabile și să vă expună mediul în atac.

 

Glosar

Termen

Definiție

AD

Active Directory

DC

Controler de domeniu

Mod executoriu

Cheia de registry care vă permite să activați modul de executare înainte de 9 februarie 2021.

Faza de executare

Phase incepand cu 9 februarie 2021 actualizări în cazul în care modul de executare va fi activat pe toate controlerele de domeniu Windows, indiferent de setarea de registry. DCs va nega conexiunile vulnerabile de la toate dispozitivele neconforme, cu excepția cazului în care sunt adăugate la "controler de domeniu: Permiteți accesul vulnerabil la conexiunile de canal sigure Netlogon "Politica de grup.

Faza de implementare inițială

Phase incepand cu data de 11 august 2020 actualizări și continuă cu actualizări mai recente până la etapa de executare.

cont de mașină

De asemenea, denumit computer Active Directory sau obiect computer.  Consultați Glosarul MS-NPRC pentru definiție completă.

MS-NRPC

Protocolul de la distanță Microsoft Netlogon

Dispozitiv necompatibil

Un dispozitiv care nu este compatibil este unul care utilizează o conexiune de canal securizat Netlogon vulnerabilă.

RODC

controlere de domeniu doar în citire

Conexiune vulnerabilă

O conexiune vulnerabilă este o conexiune canal securizat Netlogon care nu utilizează Secure RPC.

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Cât de mulțumit sunteți de calitatea traducerii?

Ce v-a afectat experiența?

Aveți feedback suplimentar? (Opțional)

Vă mulțumim pentru feedback!

×