Управление изменениями в подключениях безопасного канала Netlogon, связанных с CVE-2020-1472

Применяется к
Windows Server 2019, all editions Windows Server 2016, all editions Windows Server, version 1909, all editions Windows Server, version 1903, all editions Windows Server, version 1809 (Datacenter, Standard) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Service Pack 1

Сводка

Удаленный протокол Netlogon (также называемый MS-NRPC) — это интерфейс RPC, который используется исключительно устройствами, присоединенными к домену. MS-NRPC включает метод проверки подлинности и метод создания безопасного канала Netlogon. Эти обновления обеспечивают указанное поведение клиента Netlogon для использования безопасного RPC с защищенным каналом Netlogon между компьютерами-членами и контроллерами домена Active Directory (AD).

Это обновление для системы безопасности устраняет уязвимость путем применения безопасного RPC при использовании безопасного канала Netlogon в поэтапном выпуске, описанном в разделе Время обновления для устранения уязвимости Netlogon CVE-2020-1472 . Чтобы обеспечить защиту леса AD, все контроллеры домена должны быть обновлены, так как они будут применять безопасный RPC с безопасным каналом Netlogon. Сюда входят контроллеры домена только для чтения (RODC).

Дополнительные сведения об этой уязвимости см. в разделе CVE-2020-1472.

Примечание

  • Действие
  • Чтобы защитить среду и предотвратить сбои, необходимо выполнить следующие действия.
  1. ОБНОВите контроллеры домена с помощью обновления, выпущенного 11 августа 2020 г. или более поздней версии.
  2. Узнайте , какие устройства делают уязвимые подключения, отслеживая журналы событий.
  3. АДРЕС несоответствующих устройств, которые делают уязвимые подключения.
  4. Включите режим принудительного применения для решения проблемы CVE-2020-1472 в вашей среде.
  • Примечание Шаг 1 установки обновлений, выпущенных 11 августа 2020 г. или более поздней версии, позволит устранить проблему безопасности в CVE-2020-1472 для доменов и доверия Active Directory, а также устройств Windows. Чтобы полностью устранить проблему безопасности для сторонних устройств, необходимо выполнить все действия.
  • Предупреждение С февраля 2021 г. режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с несоответствующих устройств.  В это время вы не сможете отключить режим принудительного применения.

         Примечание Если вы используете Windows Server 2008 R2 с пакетом обновления 1 (SP1), вам потребуется лицензия на расширенное обновление безопасности (ESU) для успешной установки любого обновления, которое устраняет эту проблему. Дополнительные сведения о программе ESU см. в статье Вопросы и ответы о жизненном цикле — расширенная безопасность Обновления.

В этой статье:

Сроки обновления для устранения уязвимости netlogon CVE-2020-1472

Обновления будут выпущены в два этапа: начальный этап для обновлений, выпущенных 11 августа 2020 г. или позже, и этап принудительного применения обновлений, выпущенных 9 февраля 2021 г. или позже.

11 августа 2020 г. — этап первоначального развертывания

Начальный этап развертывания начинается с обновлений, выпущенных 11 августа 2020 г., и продолжается с последующими обновлениями до этапа принудительного применения. Эти и более поздние обновления вносят изменения в протокол Netlogon для защиты устройств Windows по умолчанию, регистрируют события обнаружения несоответствующих устройств и добавляют возможность включения защиты для всех присоединенных к домену устройств с явными исключениями. Этот выпуск:

  • Обеспечивает безопасное использование RPC для учетных записей компьютеров на устройствах под управлением Windows.
  • Обеспечивает безопасное использование RPC для учетных записей доверия.
  • Обеспечивает безопасное использование RPC для всех контроллеров домена Windows и не windows.
  • Включает новую групповую политику для разрешения учетных записей устройств, не соответствующих требованиям (тех, которые используют уязвимые подключения к безопасному каналу Netlogon). Даже если контроллеры домена работают в режиме принудительного применения или после начала этапа принудительного применения , разрешенным устройствам не будет отказано в подключении.
  • Раздел реестра FullSecureChannelProtection для включения режима принудительного применения контроллера домена для всех учетных записей компьютера (этап принудительного применения обновит контроллеры домена до режима принудительного применения контроллера домена).
  • Включает новые события, когда учетные записи запрещены или будут запрещены в режиме принудительного применения контроллера домена (и будут продолжаться на этапе принудительного применения). Конкретные идентификаторы событий описаны далее в этой статье.

Устранение рисков включает установку обновления на все контроллеры домена и контроллеры домена, мониторинг новых событий и обращение к устройствам, не соответствующим требованиям, которые используют уязвимые подключения к защищенным каналам Netlogon. Учетным записям компьютеров на устройствах, не соответствующих требованиям, можно разрешить использовать уязвимые подключения к безопасному каналу Netlogon; однако их следует обновить для поддержки безопасного RPC для Netlogon и учетной записи, принудительно примененной как можно скорее, чтобы исключить риск атаки.

9 февраля 2021 г. — этап принудительного применения

Выпуск от 9 февраля 2021 г. знаменует собой переход к этапу принудительного применения. Контроллеры домена теперь будут находиться в режиме принудительного применения независимо от раздела реестра режима принудительного применения.  Для этого все устройства Windows и устройства, отличные от Windows, должны использовать защищенный RPC с безопасным каналом Netlogon или явно разрешить учетную запись, добавив исключение для устройства, не соответствующего требованиям. Этот выпуск:

Рекомендации по развертыванию— развертывание обновлений и обеспечение соответствия требованиям

Начальный этап развертывания состоит из следующих этапов:

  1. Развертывание обновлений от 11 августа для всех контроллеров домена в лесу.
  2. (a) Отслеживать события предупреждений и (b) действовать для каждого события.
  3. (a) После устранения всех предупреждений можно включить полную защиту, развернув режим принудительного контроллера домена. (b) Все предупреждения должны быть устранены до обновления этапа принудительного применения 9 февраля 2021 г.

Шаг 1. ОБНОВЛЕНИЕ

Развертывание обновлений от 11 августа 2020 г.

Разверните обновления от 11 августа для всех применимых контроллеров домена (DCs) в лесу, включая контроллеры домена только для чтения (RODC). После развертывания этого обновления контроллеры домена с исправлением будут:

  • Начните применять безопасное использование RPC для всех учетных записей устройств под управлением Windows, учетных записей доверия и всех контроллеров домена.
  • Регистрируются идентификаторы событий 5827 и 5828 в системном журнале событий, если подключения запрещены.
  • Регистрировать идентификаторы событий 5830 и 5831 в журнале системных событий, если подключения разрешены групповой политикой "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon".
  • Регистрировать событие с идентификатором 5829 в журнале системных событий всякий раз, когда разрешено уязвимое подключение к безопасному каналу Netlogon. Эти события должны быть устранены до настройки режима принудительного применения контроллера домена или до начала этапа принудительного применения 9 февраля 2021 г.

Шаг 2a. ПОИСК

Обнаружение устройств, не соответствующих требованиям, с помощью события с идентификатором 5829

После применения обновлений от 11 августа 2020 г. к контроллерам домена события можно собирать в журналы событий контроллера домена, чтобы определить, какие устройства в вашей среде используют уязвимые подключения к защищенным каналам Netlogon (в этой статье они называются устройствами, не соответствующими требованиям). Мониторинг исправленных контроллеров домена для событий с идентификатором события 5829. События будут содержать важную информацию для идентификации устройств, не соответствующих требованиям.

Чтобы отслеживать события, используйте доступное программное обеспечение для мониторинга событий или с помощью скрипта для мониторинга контроллеров домена.  Пример скрипта, который можно адаптировать к среде, см. в статье Скрипт для помощи в мониторинге идентификаторов событий, связанных с обновлениями netlogon для CVE-2020-1472.

Шаг 2b. АДРЕС

Адресация идентификаторов событий 5827 и 5828

По умолчанию поддерживаемые версии Windows , которые были полностью обновлены, не должны использовать уязвимые подключения к безопасному каналу Netlogon. Если одно из этих событий зарегистрировано в системном журнале событий для устройства Windows:

  1. Убедитесь, что устройство работает под управлением поддерживаемых версий Windows.
  2. Убедитесь, что устройство полностью обновлено.
  3. Убедитесь, что для элемента домена: цифровое шифрование или подпись данных безопасного канала (всегда) задано значение Включено.

Для устройств, отличных от Windows, действующих в качестве контроллера домена, эти события будут регистрироваться в журнале системных событий при использовании уязвимых подключений к безопасному каналу Netlogon. Если регистрируется одно из этих событий:

  • Рекомендуется Обратитесь к производителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку безопасного RPC с помощью безопасного канала Netlogon.

    1. Если контроллер домена, не соответствующий требованиям, поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на контроллере домена.
    2. Если несоответствующий контроллер домена в настоящее время не поддерживает безопасный RPC, обратитесь к производителю устройства (OEM) или поставщику программного обеспечения, чтобы получить обновление, поддерживающее безопасный RPC с помощью безопасного канала Netlogon.
    3. Снимите с учета несоответствующий контроллер домена.
  • Уязвимых Если несоответствующий контроллер домена не может поддерживать безопасный RPC с защищенным каналом Netlogon до того, как контроллер домена будет в режиме принудительного применения, добавьте контроллер домена с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения к защищенным каналам Netlogon" , описанную ниже.

Примечание

Предупреждение Разрешение контроллерам домена использовать уязвимые подключения с помощью групповой политики сделает лес уязвимым для атак. Конечной целью должно быть адресирование и удаление всех учетных записей из этой групповой политики.

Обращение к событию 5829

Событие с идентификатором 5829 создается, если на начальном этапе развертывания разрешено уязвимое подключение. Эти подключения будут запрещены, когда контроллеры домена находятся в режиме принудительного применения. В этих событиях сосредоточьтесь на имени компьютера, домене и версиях ОС, определенных, чтобы определить, какие устройства не соответствуют требованиям, и как их необходимо устранить.

Способы обращения с несоответствующим устройствам:

  • Рекомендуется Обратитесь к производителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку безопасного RPC с помощью безопасного канала Netlogon:

    1. Если устройство, не соответствующее требованиям, поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на устройстве.
    2. Если устройство, не соответствующее требованиям, в настоящее время НЕ поддерживает безопасный RPC с безопасным каналом Netlogon, обратитесь к производителю устройства или поставщику программного обеспечения, чтобы получить обновление, позволяющее включить безопасный RPC с помощью безопасного канала Netlogon.
    3. Снимите с учета устройство, не соответствующее требованиям.
  • Уязвимых Если устройство, не соответствующее требованиям, не может поддерживать безопасный RPC с безопасным каналом Netlogon до того, как контроллеры домена будут в режиме принудительного применения, добавьте устройство с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" , описанную ниже.

Примечание

Предупреждение Если групповой политикой разрешить учетным записям устройств использовать уязвимые подключения, эти учетные записи AD подвергаются риску. Конечной целью должно быть адресирование и удаление всех учетных записей из этой групповой политики.

Разрешение уязвимых подключений с сторонних устройств

Используйте групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" , чтобы добавить несоответствующие учетные записи. Это следует рассматривать как краткосрочное средство правовой защиты только до тех пор, пока не будут рассмотрены устройства, не соответствующие требованиям, как описано выше. Примечание Разрешение уязвимых подключений с устройств, не соответствующих требованиям, может иметь неизвестные последствия для безопасности и должно быть разрешено с осторожностью.

  1. Создали группы безопасности для учетных записей, которым будет разрешено использовать уязвимый канал безопасности Netlogon.
  2. В групповая политика перейдите к разделу Конфигурация > компьютера Параметры > windows Параметры безопасности Локальные > политики > Параметры безопасности.
  3. Выполните поиск по запросу "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon".
  4. Если присутствует группа администраторов или группа, специально не созданная для использования с этим групповая политика, удалите ее.
  5. Добавьте группу безопасности, специально созданную для использования с этим групповая политика в дескриптор безопасности с разрешением "Разрешить". Примечание Разрешение "Запретить" ведет себя так же, как если бы учетная запись не была добавлена, т. е. учетным записям не будет разрешено создавать уязвимые каналы netlogon secure.
  6. После добавления групп безопасности политика группы должна реплицироваться во все контроллеры домена.
  7. Периодически отслеживайте события 5827, 5828 и 5829, чтобы определить, какие учетные записи используют уязвимые подключения к защищенным каналам.
  8. При необходимости добавьте эти учетные записи компьютеров в группы безопасности. Рекомендация Используйте группы безопасности в групповой политике и добавьте в нее учетные записи, чтобы членство реплицировался с помощью обычной репликации AD. Это позволяет избежать частых обновлений групповой политики и задержек репликации.

После того как все несоответствующие устройства будут устранены, вы можете перевести контроллеры домена в режим принудительного применения (см. следующий раздел).

Примечание

Предупреждение Разрешение контроллерам домена использовать уязвимые подключения для учетных записей доверия с помощью групповой политики сделает лес уязвимым для атак. Учетные записи доверия обычно именуются в честь доверенного домена, например: контроллер домена в домене a имеет доверие с контроллером домена в домене b. Внутренне контроллер домена в домене a имеет учетную запись доверия с именем domain-b$, которая представляет объект доверия для domain-b. Если контроллер домена в домене хочет подвергать лес риску атаки, разрешая уязвимые подключения к защищенным каналам Netlogon из учетной записи доверия domain-b, администратор может использовать add-adgroupmember –identity "Name of security group" -members "domain-b$", чтобы добавить учетную запись доверия в группу безопасности.

Шаг 3a. ВКЛЮЧЕНИЕ

Переход в режим принудительного применения в преддверии этапа принудительного применения в феврале 2021 г.

После того как все несоответствующие устройства будут устранены путем включения безопасного RPC или путем разрешения уязвимых подключений с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon", задайте для раздела реестра FullSecureChannelProtection значение 1.

Примечание Если вы используете групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon", убедитесь, что групповая политика реплицирована и применена ко всем контроллерам домена, прежде чем задавать раздел реестра FullSecureChannelProtection.

При развертывании раздела реестра FullSecureChannelProtection контроллеры домена будут находиться в режиме принудительного применения. Для этого параметра требуется, чтобы все устройства, использующие безопасный канал Netlogon:

Примечание

Предупреждение Сторонние клиенты, которые не поддерживают безопасные RPC с подключениями к безопасному каналу Netlogon, будут запрещены при развертывании раздела реестра режима принудительного контроллера домена, что может нарушить работу рабочих служб.

Шаг 3b. Этап принудительного применения

Развертывание обновлений от 9 февраля 2021 г.

При развертывании обновлений, выпущенных 9 февраля 2021 г. или более поздней версии, будет включен режим принудительного применения контроллера домена. Режим принудительного применения контроллера домена — это когда все подключения Netlogon требуются для использования защищенного RPC или учетная запись должна быть добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon". В настоящее время раздел реестра FullSecureChannelProtection больше не требуется и больше не будет поддерживаться.

"Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" групповая политика

Рекомендуется использовать группы безопасности в групповой политике, чтобы членство реплицировался с помощью обычной репликации AD. Это позволяет избежать частых обновлений групповой политики и задержек репликации.

Путь к политике и имя параметра Описание
Путь к политике: Конфигурация > компьютера Параметры > Windows Параметры безопасности Локальные > политики > Параметры безопасности

Имя параметра: Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon
Требуется перезагрузка? Нет
Этот параметр безопасности определяет, обходит ли контроллер домена безопасный RPC для подключений к безопасному каналу Netlogon для указанных учетных записей компьютера.

Эта политика должна применяться ко всем контроллерам домена в лесу, включив политику в подразделении контроллеров домена.

Если настроен список "Создание уязвимых подключений" (список разрешений), выполните следующие действия:

  • Разрешить. Контроллер домена позволит указанной группе или учетным записям использовать безопасный канал Netlogon без безопасного RPC.
  • Запретить. Этот параметр совпадает с поведением по умолчанию. Контроллер домена потребует, чтобы указанная группа или учетные записи использовали безопасный канал Netlogon с безопасным RPC.
Предупреждение При включении этой политики устройства, присоединенные к домену, и лес Active Directory будут подвергаться риску. Эту политику следует использовать в качестве временной меры для сторонних устройств при развертывании обновлений. После обновления стороннего устройства для поддержки безопасного RPC с защищенными каналами Netlogon учетная запись должна быть удалена из списка Создание уязвимых подключений. Чтобы лучше понять риск настройки учетных записей для использования уязвимых подключений к защищенным каналам Netlogon, посетите страницу https://go.microsoft.com/fwlink/?linkid=2133485.

По умолчанию: эта политика не настроена. Никакие компьютеры или учетные записи доверия явно не освобождаются от безопасного RPC с применением подключений к безопасному каналу Netlogon.

Эта политика поддерживается в Windows Server 2008 R2 с пакетом обновления 1 (SP1) и более поздних версиях.

Существует три категории событий:

1. События, регистрируются при отказе подключения, так как была предпринята попытка подключения к уязвимом безопасному каналу Netlogon:

  • 5827 (учетные записи компьютеров) Ошибка
  • 5828 (учетные записи доверия) Ошибка

2. События, зарегистрированные при разрешенном подключении, так как учетная запись была добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon":

  • 5830 (учетные записи компьютеров) Предупреждение
  • 5831 (учетные записи доверия) Предупреждение

3. События, регистрируемые, когда подключение разрешено в первоначальном выпуске, которое будет запрещено в режиме принудительного применения контроллера домена:

  • 5829 (учетные записи компьютеров) Предупреждение

Идентификатор события 5827

Событие с идентификатором 5827 будет зарегистрировано при отказе подключения к защищенному каналу Netlogon из учетной записи компьютера.

Журнал событий Система
Источник события NETLOGON
Идентификатор события 5827
Уровень Ошибка
Текст сообщения о событии Служба Netlogon отклонила уязвимое подключение к безопасному каналу Netlogon из учетной записи компьютера.
Имя_учетной записи компьютера:
Домен:
Тип учетной записи:
Операционная система компьютера:
Сборка операционной системы компьютера:
Пакет обновления операционной системы компьютера:
Дополнительные сведения о том, почему это было отказано, см. на https://go.microsoft.com/fwlink/?linkid=2133485.

Идентификатор события 5828

Событие с идентификатором 5828 будет зарегистрировано при отказе уязвимого подключения к безопасному каналу Netlogon из учетной записи доверия.

Журнал событий Система
Источник события NETLOGON
Идентификатор события 5828
Уровень Ошибка
Текст сообщения о событии Служба Netlogon отклонила уязвимое подключение к безопасному каналу Netlogon с использованием учетной записи доверия.
Тип учетной записи:
Имя доверия:
Целевой объект доверия:
IP-адрес клиента:
Дополнительные сведения о том, почему это было отказано, см. на https://go.microsoft.com/fwlink/?linkid=2133485.

Идентификатор события 5829

Событие с идентификатором 5829 будет регистрироваться только на начальном этапе развертывания, если разрешено подключение к уязвимому безопасному каналу Netlogon из учетной записи компьютера.

При развертывании режима принудительного контроллера домена или после начала этапа принудительного применения с развертыванием обновлений от 9 февраля 2021 г. эти подключения будут запрещены, а событие с идентификатором 5827 будет зарегистрировано. Вот почему важно отслеживать событие 5829 на начальном этапе развертывания и действовать до этапа принудительного применения, чтобы избежать сбоев.

Журнал событий Система
Источник события NETLOGON
Идентификатор события 5829
Уровень Предупреждение
Текст сообщения о событии Служба Netlogon разрешила уязвимое подключение к безопасному каналу Netlogon.
Предупреждение. После освобождения этапа принудительного применения это подключение будет запрещено. Чтобы лучше понять этап применения, посетите страницу https://go.microsoft.com/fwlink/?linkid=2133485.
Имя_учетной записи компьютера:
Домен:
Тип учетной записи:
Операционная система компьютера:
Сборка операционной системы компьютера:
Пакет обновления операционной системы компьютера:

Идентификатор события 5830

Событие с идентификатором 5830 будет регистрироваться, если в групповой политике "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" разрешено подключение к уязвимой учетной записи безопасного канала Netlogon.

Журнал событий Система
Источник события NETLOGON
Идентификатор события 5830
Уровень Предупреждение
Текст сообщения о событии Служба Netlogon разрешила уязвимое подключение к безопасному каналу Netlogon, так как учетная запись компьютера разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Предупреждение. Использование уязвимых защищенных каналов Netlogon приведет к атакам присоединенных к домену устройств. Чтобы защитить устройство от атак, удалите учетную запись компьютера из групповой политики "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" после обновления стороннего клиента Netlogon. Чтобы лучше понять риск настройки учетных записей компьютеров для использования уязвимых подключений к защищенным каналам Netlogon, посетите https://go.microsoft.com/fwlink/?linkid=2133485.
Имя_учетной записи компьютера:
Домен:
Тип учетной записи:
Операционная система компьютера:
Сборка операционной системы компьютера:
Пакет обновления операционной системы компьютера:

Идентификатор события 5831

Событие с идентификатором 5831 будет регистрироваться, если в групповой политике "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" разрешено подключение к защищенному каналу Netlogon.

Журнал событий Система
Источник события NETLOGON
Идентификатор события 5831
Уровень Предупреждение
Текст сообщения о событии Служба Netlogon разрешила уязвимое подключение к безопасному каналу Netlogon, так как учетная запись доверия разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Предупреждение. Использование уязвимых защищенных каналов Netlogon приведет к атакам лесов Active Directory. Чтобы защитить леса Active Directory от атак, все отношения доверия должны использовать безопасный RPC с безопасным каналом Netlogon. Удалите учетную запись доверия из групповой политики "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" после обновления стороннего клиента Netlogon на контроллерах домена. Чтобы лучше понять риск настройки учетных записей доверия, чтобы разрешить использовать уязвимые подключения к защищенным каналам Netlogon, посетите https://go.microsoft.com/fwlink/?linkid=2133485.
Тип учетной записи:
Имя доверия:
Целевой объект доверия:
IP-адрес клиента:

Значение реестра для режима принудительного применения

Примечание

Предупреждение При неправильном изменении реестра с помощью редактора реестра или другого метода могут возникнуть серьезные проблемы. Из-за них вам может потребоваться переустановить операционную систему. Корпорация Майкрософт не гарантирует, что эти проблемы удастся решить. Внося изменения в реестр, вы действуете на свой страх и риск.

Обновления от 11 августа 2020 г. вводят следующий параметр реестра для раннего включения режима принудительного применения. Это будет включено независимо от параметра реестра на этапе принудительного применения, начиная с 9 февраля 2021 г.:

Подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Value (Значение) FullSecureChannelProtection
Тип данных REG_DWORD
Data (Данные) 1 — включается режим принудительного применения. Контроллеры домена будут запрещать уязвимые подключения к защищенным каналам Netlogon, если только учетная запись не разрешена списком Создание уязвимых подключений в групповой политике "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon".
0 — контроллеры домена разрешают уязвимые подключения к защищенным каналам Netlogon с устройств, отличных от Windows. Этот параметр будет нерекомендуем в выпуске этапа принудительного применения.
Требуется перезагрузка? Нет

Сторонние устройства, реализующие [MS-NRPC]: удаленный протокол Netlogon

Все сторонние клиенты или серверы должны использовать защищенный RPC с безопасным каналом Netlogon. Обратитесь к изготовителю устройства (OEM) или поставщикам программного обеспечения, чтобы определить, совместимо ли их программное обеспечение с последней версией удаленного протокола Netlogon.

Обновления протокола можно найти на сайте документации по протоколу Windows.

Часто задаваемые вопросы

1. Что использует безопасный канал Netlogon?
  • Windows & устройства, присоединенные к домену, с учетными записями компьютеров в Active Directory (AD)
  • Windows Server & контроллеры домена сторонних производителей в доверенных & доверенных доменах с учетными записями доверия в AD
2. Могут ли повлиять на сторонние решения?

Сторонние устройства могут быть несоответствующие требованиям. Если ваше стороннее решение поддерживает учетную запись компьютера в AD, обратитесь к поставщику, чтобы определить, влияет ли на вас.

3. Почему мой контроллер домена отклоняет учетные записи, настроенные в групповой политике "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon"?

Задержки при репликации AD и Sysvol или сбое приложения групповой политики в контроллере домена проверки подлинности могут привести к отсутствию изменений групповой политики "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" и привести к отказу учетной записи.

Следующие действия помогут устранить проблему:

4. У меня есть идентификатор события 5827 для устройства с Windows. Я думал, вы сказали, что Windows не влияет?

По умолчанию поддерживаемые версии Windows , которые были полностью обновлены, не должны использовать уязвимые подключения к безопасному каналу Netlogon. Если событие с идентификатором 5827 регистрируется в системном журнале событий для устройства Windows:

  1. Убедитесь, что устройство работает под управлением поддерживаемых версий Windows.
  2. Убедитесь, что устройство полностью обновлено с клиентский компонент Центра обновления Windows.
  3. Убедитесь, что член домена: цифровое шифрование или подпись данных безопасного канала (всегда) имеет значение Включено в объекте групповой политики, связанном с подразделением для всех контроллеров домена, например объекта групповой политики контроллеров домена по умолчанию.
5. Требуется ли обновление рабочих станций и конечных точек?

Да, их следует обновить, но они не уязвимы для CVE-2020-1472.

6. Нужно ли обновлять серверы Windows или другие устройства Windows, выпущенные 11 августа 2020 г. или более поздней версии, перед обновлением контроллеров домена?

Нет, контроллеры домена являются единственной ролью, на которую влияет CVE-2020-1472 . Ее можно обновлять независимо от серверов Windows без контроллера домена и других устройств Windows.

7. Почему Windows Server 2008 с пакетом обновления 2 (SP2) не обновлено до cve-2020-1472?

Windows Server 2008 с пакетом обновления 2 (SP2) не уязвима для конкретного CVE, так как не использует AES для безопасного RPC.

8. Требуется ли ESU для Windows Server 2008 R2 с пакетом обновления 1 (SP1) для решения проблемы CVE-2020-1472?

Да, вам потребуется расширенное обновление безопасности (ESU), чтобы установить обновления для cve-2020-1472 для Windows Server 2008 R2 с пакетом обновления 1 (SP1).

9. Разделы справки обеспечить защиту контроллеров домена?

Путем развертывания обновлений от 11 августа 2020 г. или более поздних версий для всех контроллеров домена в вашей среде.

Убедитесь, что ни одно из устройств, добавленных в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon", не имеет служб привилегий администратора предприятия или администратора домена, таких как SCCM или Microsoft Exchange.   Примечание Любому устройству в списке разрешений будет разрешено использовать уязвимые подключения и может подвергнуться атаке вашей среды.

10. Если я развернул обновления для всех контроллеров домена, защищено ли мое предприятие от CVE-2020-1472?

Установка обновлений, выпущенных 11 августа 2020 г. или более поздней версии на контроллерах домена, защищает учетные записи компьютеров под управлением Windows, учетные записи доверия и учетные записи контроллера домена.

Учетные записи компьютеров Active Directory для присоединенных к домену сторонних устройств не защищены до развертывания режима принудительного применения. Учетные записи компьютеров также не защищены, если они добавляются в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon".

11. Разделы справки обеспечить защиту удостоверений устройств Windows, присоединенных к домену?

Убедитесь, что на всех контроллерах домена в вашей среде установлены обновления от 11 августа 2020 г. или более поздней версии.

Все удостоверения устройств, добавленные в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" , будут уязвимы для атак.

12. Разделы справки обеспечить защиту удостоверений сторонних устройств, присоединенных к домену?

Убедитесь, что на всех контроллерах домена в вашей среде установлены обновления от 11 августа 2020 г. или более поздней версии.

Включите режим принудительного применения, чтобы запретить уязвимые подключения из несоответствующих удостоверений сторонних устройств.
 
Примечание Если режим принудительного применения включен, все удостоверения сторонних устройств, добавленные в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon" , по-прежнему будут уязвимы и могут разрешить злоумышленнику несанкционированный доступ к вашей сети или устройствам.

13. Что такое режим принудительного применения?

Режим принудительного применения сообщает контроллерам домена не разрешать подключения Netlogon с устройств, которые не используют безопасный RPC, если только эти учетные записи устройства не были добавлены в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon".

Дополнительные сведения см. в разделе Значение реестра для режима принудительного применения .

14. Какие учетные записи компьютеров следует добавить в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon"?

В групповую политику следует добавлять только учетные записи компьютеров для устройств, которые не могут быть защищены путем включения Безопасного RPC в Netlogon Secure Channel.  Рекомендуется сделать эти устройства совместимыми или заменить их для защиты среды.

15. Что может сделать злоумышленник с учетными записями компьютеров, которые находятся в групповой политике "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon"?

Злоумышленник может взять на себя удостоверение компьютера Active Directory любой учетной записи компьютера, добавленной в групповую политику, и впоследствии использовать все разрешения, которые имеет удостоверение компьютера.

16. Зачем добавлять учетную запись компьютера в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon"?

Если у вас есть стороннее устройство, которое не поддерживает secure RPC для Netlogon Secure Channel, и вы хотите включить режим принудительного применения, необходимо добавить учетную запись компьютера для этого устройства в групповую политику. Это не рекомендуется и может оставить ваш домен в потенциально уязвимом состоянии.  Рекомендуется использовать эту групповую политику, чтобы предоставить время на обновление или замену любых сторонних устройств, чтобы сделать их соответствующими.

17. Когда нужно включить режим принудительного применения?

Режим принудительного применения должен быть включен как можно скорее.  Любое стороннее устройство должно быть устранено либо путем их соответствия требованиям, либо путем добавления в групповую политику "Контроллер домена: разрешить уязвимые подключения к безопасному каналу Netlogon". Примечание Любому устройству в списке разрешений будет разрешено использовать уязвимые подключения и может подвергнуться атаке вашей среды.

Глоссарий

Термин Определение
ОБЪЯВЛЕНИЕ Active Directory
DC Контроллер домена
Режим принудительного применения Раздел реестра, позволяющий включить режим принудительного применения до 9 февраля 2021 г.
Этап принудительного применения Этап, начинающийся с обновления от 9 февраля 2021 г., на котором режим принудительного применения будет включен на всех контроллерах домена Windows, независимо от параметра реестра. Контроллеры домена будут запрещать уязвимые подключения со всех устройств, не соответствующих требованиям, если они не добавлены в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Начальный этап развертывания Этап начинается с обновлений от 11 августа 2020 г. и продолжается с последующими обновлениями до этапа принудительного применения.
учетная запись компьютера Также называется компьютером Active Directory или объектом-компьютером. Полное определение см. в глоссарии MS-NPRC .
MS-NRPC Microsoft Netlogon Remote ProtoCol
Несоответствующее устройство Устройство, не соответствующее требованиям, использует уязвимое подключение к безопасному каналу Netlogon.
RODC Контроллеры домена только для чтения
Уязвимое подключение Уязвимое подключение — это подключение к безопасному каналу Netlogon, которое не использует безопасный RPC.