Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472

Применимо к: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions

Сводка


Удаленный протокол Netlogon (другое название — MS-NRPC) — это интерфейс RPC, используемый только устройствами, подключенными к домену. MS-NRPC включает метод проверки подлинности и метод создания безопасного канала Netlogon. Эти обновления внедряют определенное поведение клиента Netlogon для применения безопасного удаленного вызова процедур (RPC) с помощью безопасного канала Netlogon между компьютерами участников и контроллерами домена (DC) Active Directory (AD).

Это обновление для системы безопасности устраняет уязвимость, принудительно внедряя безопасный RPC при использовании безопасного канала Netlogon в поэтапном выпуске, описанном в разделе Сроки выпуска обновлений для устранения уязвимости Netlogon CVE-2020-1472. Чтобы обеспечить защиту леса AD, все DC должны быть обновлены, так как они будут применять безопасный RPC с безопасным каналом Netlogon. Сюда относятся контроллеры домена только для чтения (RODC).

Дополнительные сведения об уязвимости см. в статье CVE-2020-1472.


Примечание. Если вы используете Windows Server 2008 R2 с пакетом обновления 1 (SP1), для успешной установки обновления, устраняющего эту проблему, требуется лицензия на расширенные обновления безопасности (ESU). Дополнительные сведения о программе расширенных обновлений безопасности см. в статье Вопросы и ответы по жизненному циклу: расширенные обновления безопасности.

В этой статье:

Сроки выпуска обновлений для устранения уязвимости Netlogon CVE-2020-1472


Обновления будут выпущены в два этапа: начальный этап — обновления, выпущенные 11 августа 2020 г. и позже, и этап применения политик — обновления, выпущенные 9 февраля 2021 г. и позже.

11 августа 2020 г. — этап начального развертывания

Этап начального развертывания начинается с обновлений, выпущенных 11 августа 2020 г., и продолжается с последующими обновлениями до этапа применения политик. Эти и последующие обновления изменяют протокол Netlogon для защиты устройств с Windows по умолчанию, регистрируют события обнаружения несоответствующих устройств и добавляют возможность включения защиты для всех устройств, подключенных к домену, с явными исключениями. Этот выпуск:

  • Внедряет использование безопасного RPC для учетных записей компьютеров на устройствах с Windows.
  • Внедряет использование безопасного RPC для учетных записей доверия.
  • Внедряет использование безопасного RPC для всех контроллеров доменов (DC) Windows и других контроллеров доменов.
  • Включает новую групповую политику для разрешения несоответствующих учетных записей устройств (использующих уязвимые подключения безопасного канала Netlogon). Даже если DC работают в режиме применения политик или после этапа применения политик, разрешенным устройствам не будет отказано в подключении.
  • Раздел реестра FullSecureChannelProtection для включения режима применения политик DC во всех учетных записях компьютеров (этап применения политик обновит DC до режима применения политик DC).

  • Включает новые события в случае отказа учетных записей или ожидающегося отказа в режиме применения политик DC (с продолжением на этапе применения политик). Конкретные коды событий описаны ниже в этой статье.

Устранение рисков заключается в установке обновления на все DC и RODC, отслеживание новых событий и исправление проблем с несоответствующими устройствами, использующими уязвимые подключения безопасного канала Netlogon. Учетным записям компьютеров на несоответствующих устройствах может быть разрешено использовать уязвимые подключения безопасного канала Netlogon. Но следует их обновить для поддержки безопасного RPC для Netlogon и как можно скорее внедрить учетную запись для устранения риска атаки.

9 февраля 2021 г. — этап применения политик

Выпуск за 9 февраля 2021 г. знаменует переход на этап применения политик. Теперь DC будут находиться в режиме применения политик независимо от значения раздела реестра режима применения политик.  Для этого на всех устройствах с Windows и других устройствах требуется использовать безопасный RPC с безопасным каналом Netlogon или явным образом разрешить учетную запись, добавив исключение для несоответствующих устройств. Этот выпуск:

Руководство по развертыванию: развертывание обновлений и обеспечение соответствия


Этап начального развертывания состоит из следующих шагов.

  1. Развертывание обновлений за 11 августа для всех DC в лесу.
  2. (а) Отслеживание событий предупреждений и (b) принятие мер по каждому событию.
  3. (а) После устранения всех событий предупреждений можно включить полную защиту, развернув режим применения политик DC. (b) Все предупреждения следует устранить до обновления этапа применения политик от 9 февраля 2021 г.

Шаг 1. ОБНОВЛЕНИЕ

Развертывание обновлений за 11 августа 2020 г.

Разверните обновления за 11 августа для всех соответствующих контроллеров домена (DC) в лесу, включая контроллеры домена только для чтения (RODC). После развертывания этого обновления исправленные DC:

  • Начнут применять безопасный RPC во всех учетных записях устройств с Windows, учетных записях доверия и всех DC.
  • Регистрируют события с кодами 5827 и 5828 в журнале системных событий, если подключения запрещены.
  • Регистрируют события с кодами 5830 и 5831 в журнале системных событий, если подключения разрешены групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
  • Регистрируют событие с кодом 5829 в журнале системных событий, когда разрешается уязвимое подключение безопасного канала Netlogon. Эти события следует исправить до настройки режима применения политик DC или до начала этапа применения политик 9 февраля 2021 г.

 

Шаг 2a. ПОИСК

Обнаружение несоответствующих устройств с помощью события с кодом 5829

После применения к DC обновлений за 11 августа 2020 г. в журналах событий DC могут собираться события, чтобы определить, какие устройства в вашей среде используют уязвимые подключения безопасного канала Netlogon (называемые в этой статье несоответствующими устройствами). Отслеживайте исправленные DC для событий с кодом 5829. Эти события будут содержать важные сведения для определения несоответствующих устройств.

Чтобы отслеживать события, используйте доступные программы мониторинга событий или сценарий для отслеживания своих DC.  Пример сценария, который можно адаптировать к своей среде, см. в разделе Сценарий для отслеживания кодов событий, связанных с обновлениями Netlogon для CVE-2020-1472

Шаг 2b. ИСПРАВЛЕНИЕ

Исправление событий с кодами 5827 и 5828

Поддерживаемые версии Windows, которые были полностью обновлены, по умолчанию не должны использовать уязвимые подключения безопасного канала Netlogon. Если одно из этих событий зарегистрировано в журнале системных событий для устройства с Windows:

  1. Убедитесь, что на устройстве используется поддерживаемая версия Windows.
  2. Полностью обновите устройство.
  3. Проверьте, что для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала настроено значение "Включен".

Для устройств без Windows, выступающих в роли DC, эти события регистрируются в журнале системных событий при использовании уязвимых подключений безопасного канала Netlogon. Если регистрируется одно из этих событий:

  • Рекомендация. Обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку для безопасного RPC с безопасным каналом Netlogon
    1. Если несоответствующий DC поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на DC.
    2. Если несоответствующий DC в настоящее время НЕ поддерживает безопасный RPC, обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить обновление, поддерживающее безопасный RPC с безопасным каналом Netlogon.
    3. Прекратите использование несоответствующего DC.
  • Уязвимость. Если несоответствующий DC не может обеспечить поддержку безопасного RPC с безопасным каналом Netlogon до перевода DC в режим применения политик, добавьте DC с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", описанной ниже.

 

Исправление события с кодом 5829

Событие с кодом 5829 создается, если на этапе начального развертывания разрешено уязвимое подключение. Такие подключения будут запрещены в режиме применения политик DC. Для этих событий нужно обратить внимание на имя компьютера, домен и версии ОС, идентифицированные для определения несоответствующих устройств, и на способы их исправления.

Способы исправления несоответствующих устройств:

  • Рекомендация. Обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку для безопасного RPC с безопасным каналом Netlogon:
    1. Если несоответствующее устройство поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на устройстве.
    2. Если несоответствующее устройство в настоящее время НЕ поддерживает безопасный RPC с безопасным каналом Netlogon, обратитесь к изготовителю устройства или поставщику программного обеспечения, чтобы получить обновление, разрешающее включить безопасный RPC с безопасным каналом Netlogon.
    3. Прекратите использование несоответствующего устройства.
  • Уязвимость. Если несоответствующее устройство не может обеспечить поддержку безопасного RPC с безопасным каналом Netlogon до перевода DC в режим применения политик, добавьте устройство с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", описанной ниже.

 

Разрешение уязвимых подключений из сторонних устройств

Используйте групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", чтобы добавить несоответствующие учетные записи. Это следует рассматривать только в качестве краткосрочного решения, пока несоответствующие устройства не будут исправлены, как описано выше. Примечание. Разрешение уязвимых подключений для несоответствующих устройств следует предоставлять с осторожностью, учитывая неизвестное влияние на безопасность.

  1. Создание групп безопасности для учетных записей, которым будет разрешено использовать уязвимый безопасный канал Netlogon.
  2. В групповой политике выберите "Конфигурация компьютера" > "Параметры Windows" > "Параметры безопасности" > "Локальные политики" > "Параметры безопасности"
  3. Найдите параметр "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
  4. Если имеется группа администраторов или любая другая группа, не созданная специально для использования с этой групповой политикой, удалите ее.
  5. Добавьте группу безопасности, созданную специально для использования с этой групповой политикой, в дескриптор безопасности с параметром "Разрешить". Примечание. Параметр "Запретить" соответствует поведению без добавления учетной записи, то есть учетным записям будет запрещено создавать уязвимые безопасные каналы Netlogon.
  6. После добавления групп безопасности групповая политика должна реплицироваться на каждый DC.
  7. Периодически отслеживайте события 5827, 5828 и 5829, чтобы определить, какие учетные записи используют уязвимые подключения безопасного канала.
  8. При необходимости добавляйте эти учетные записи компьютеров в группы безопасности. Рекомендация. Используйте группы безопасности в групповой политике и добавляйте учетные записи в группу, чтобы это участие реплицировались в рамках обычной репликации AD. Это позволит избежать частого обновления групповой политики и задержек репликации.

После исправления всех несоответствующих устройств вы можете перевести свои DC в режим применения политик (см. следующий раздел).

 

Шаг 3a. ВКЛЮЧЕНИЕ

Переход в режим применения политик до этапа применения политик в феврале 2021 г.

После исправления всех несоответствующих устройств путем включения безопасного RPC или разрешения уязвимых подключений с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" присвойте разделу реестра FullSecureChannelProtection значение 1.

Примечание. Если вы используете групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" убедитесь в репликации и применении групповой политики ко всем DC до настройки раздела реестра FullSecureChannelProtection.

После развертывания раздела реестра FullSecureChannelProtection контроллеры домена (DC) будут находиться в режиме применения политик. Этот параметр требует, чтобы все устройства, использующие безопасный канал Netlogon, отвечали одному из следующих условий:

 

Шаг 3b. Этап применения политик

Развертывание обновлений за 9 февраля 2021 г.

Развертывание обновлений, выпущенных 9 февраля 2021 г. и позднее, включит режим применения политик DC. Режим применения политик DC — это состояние, при котором все подключения Netlogon должны использовать безопасный RPC или учетная запись должна быть добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". В этот момент раздел реестра FullSecureChannelProtection больше не нужен и больше не будет поддерживаться.

Групповая политика "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon"


Рекомендуется использовать группы безопасности в групповой политике, чтобы участие реплицировались в рамках обычной репликации AD. Это позволит избежать частого обновления групповой политики и задержек репликации.

Путь политики и имя параметра Описание

Путь политики: "Конфигурация компьютера" > "Параметры Windows" > "Параметры безопасности" > "Локальные политики" > "Параметры безопасности"

Имя параметра: "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon"

Требуется перезагрузка? Нет

Этот параметр безопасности определяет, обходит ли контроллер домена безопасный RPC для подключений безопасного канала Netlogon для определенных учетных записей компьютеров.

Эту политику следует применить ко всем контроллерам домена в лесу, включив политику в OU контроллеров домена.

При настройке списка "Создание уязвимых подключений" (список разрешений):

  • Разрешить. Контроллер домена позволит определенным группам и учетным записям использовать безопасный канал Netlogon без безопасного RPC.
  • Запретить. Этот параметр соответствует поведению по умолчанию. Контроллер домена потребует, чтобы определенные группы и учетные записи использовали безопасный канал Netlogon с безопасным RPC.

Предупреждение. Включение этой политики предоставит доступ к вашим устройствам, подключенным к домену, и к вашему лесу Active Directory, что может подвергнуть их риску. Эту политику следует использовать в качестве временной меры для сторонних устройств при развертывании обновлений. После обновления стороннего устройства для поддержки использования безопасного RPC с безопасными каналами Netlogon следует удалить учетную запись из списка "Создание уязвимых подключений". Дополнительные сведения о риске настройки учетных записей с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.

По умолчанию: Эта политика не настроена. Никакие компьютеры и учетные записи доверия не исключаются явным образом из обязательного применения безопасного RPC с подключениями безопасного канала Netlogon.

Эта политика поддерживается в Windows Server 2008 R2 с пакетом обновления 1 (SP1) и более поздних версиях.

Ошибки в журнале событий Windows, связанные с CVE-2020-1472


Существует три категории событий.

1. События, регистрируемые при отказе в подключении из-за попыток уязвимого подключения безопасного канала Netlogon:

  • Ошибка 5827 (учетные записи компьютеров)

  • Ошибка 5828 (учетные записи доверия)

2. События, регистрируемые при разрешении подключения, так как учетная запись была добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon":

  • Предупреждение 5830 (учетные записи компьютеров)

  • Предупреждение 5831 (учетные записи доверия)

3. События, регистрируемые в том случае, если подключение разрешено в исходном выпуске, но будет запрещено в режиме применения политик DC:

  • Предупреждение 5829 (учетные записи компьютеров)

Событие с кодом 5827

Событие с кодом 5827 регистрируется, если запрещено уязвимое подключение безопасного канала Netlogon из учетной записи компьютера.

Журнал событий

Система

Источник события

NETLOGON

Код события

5827

Уровень

Ошибка

Текст сообщения об ошибке

Служба Netlogon запретила уязвимое подключение безопасного канала Netlogon из учетной записи компьютера.

SamAccountName компьютера:

Домен:

Тип учетной записи:

Операционная система компьютера:

Сборка операционной системы компьютера:

Пакет обновления операционной системы компьютера:

Дополнительные сведения о причинах запрета см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.

 

Событие с кодом 5828

Событие с кодом 5828 регистрируется, если запрещено уязвимое подключение безопасного канала Netlogon из учетной записи доверия.

Журнал событий

Система

Источник события

NETLOGON

Код события

5828

Уровень

Ошибка

Текст сообщения об ошибке

Служба Netlogon запретила уязвимое подключение безопасного канала Netlogon с использованием учетной записи доверия.

Тип учетной записи:

Имя доверия:

Цель доверия:

IP-адрес клиента:

Дополнительные сведения о причинах запрета см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.

 

Событие с кодом 5829

Событие с кодом 5829 регистрируется только на этапе начального развертывания, если разрешено уязвимое подключение безопасного канала Netlogon из учетной записи компьютера.

После развертывания режима применения политик DC или после начала этапа применения политик с развертыванием обновлений за 9 февраля 2021 г. эти подключения будут запрещены и будет регистрироваться событие с кодом 5827. Поэтому важно отслеживать событие 5829 во время этапа начального развертывания и принимать меры до этапа применения политик, чтобы избежать сбоев.

Журнал событий 

Система 

Источник события 

NETLOGON 

Код события 

5829 

Уровень 

Предупреждение 

Текст сообщения об ошибке 

Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon.  

Предупреждение. Это подключение будет запрещено после начала этапа применения политик. Дополнительные сведения об этапе применения политик см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.  

SamAccountName компьютера:  

Домен:  

Тип учетной записи:  

Операционная система компьютера:  

Сборка операционной системы компьютера:  

Пакет обновления операционной системы компьютера:  

Событие с кодом 5830

Событие с кодом 5830 регистрируется, если уязвимое подключение безопасного канала Netlogon из учетной записи компьютера разрешено групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".

Журнал событий

Система

Источник события

NETLOGON

Код события

5830

Уровень

Предупреждение

Текст сообщения об ошибке

Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon, так как учетная запись компьютера разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".

Предупреждение. Использование уязвимых безопасных каналов Netlogon подвергает риску атак устройства, подключенные к домену. Чтобы защитить устройство от атак, удалите учетную запись компьютера из групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" после обновления стороннего клиента Netlogon. Дополнительные сведения о риске настройки учетных записей компьютеров с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.

SamAccountName компьютера:

Домен:

Тип учетной записи:

Операционная система компьютера:

Сборка операционной системы компьютера:

Пакет обновления операционной системы компьютера:

 

Событие с кодом 5831

Событие с кодом 5831 регистрируется, если уязвимое подключение безопасного канала Netlogon из учетной записи доверия разрешено групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".

Журнал событий

Система

Источник события

NETLOGON

Код события

5831

Уровень

Предупреждение

Текст сообщения об ошибке

Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon, так как учетная запись доверия разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".

Предупреждение. Использование уязвимых безопасных каналов Netlogon подвергает риску атак леса Active Directory. Чтобы защитить леса Active Directory от атак, все доверия должны использовать безопасный RPC с безопасным каналом Netlogon. Удалите учетную запись доверия из групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" после обновления стороннего клиента Netlogon в контроллерах домена. Дополнительные сведения о риске настройки учетных записей доверия с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485.

Тип учетной записи:

Имя доверия:

Цель доверия:

IP-адрес клиента:

Значение реестра для режима применения политик


Обновления за 11 августа 2020 г. добавляют следующий параметр реестра для раннего включения режима применения политик. Он будет включен независимо от параметра реестра на этапе применения политик с 9 февраля 2021 г.: 

Подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Значение FullSecureChannelProtection
Тип данных REG_DWORD
Данные

1 — включает режим применения политик. DC запретят уязвимые подключения безопасного канала Netlogon, если учетная запись не разрешена списком "Создание уязвимых подключений" в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".  

0 — DC разрешат уязвимые подключения безопасного канала Netlogon от устройств без Windows. Этот параметр перестанет поддерживаться на этапе применения политик.

Требуется перезагрузка? Нет

 

Сторонние устройства, реализующие [MS-NRPC]: удаленный протокол Netlogon


Все сторонние клиенты и серверы должны использовать безопасный RPC с безопасным каналом Netlogon. Обратитесь к изготовителю устройства (OEM) или поставщикам программного обеспечения, чтобы определить, совместимо ли их программное обеспечение с последним удаленным протоколом Netlogon. 

Обновления протокола доступны на сайте документация по протоколам Windows

Часто задаваемые вопросы


 

Словарь терминов


Термин Определение
AD Active Directory
DC Контроллер домена
Режим применения политик Раздел реестра, позволяющий включить режим применения политик до 9 февраля 2021 г.
Этап применения политик Этап начинается с обновлений за 9 февраля 2021 г., в которых включается режим применения политик на всех устройствах с контроллерах доменов Windows независимо от настройки реестра. Контроллеры доменов (DC) будут запрещать уязвимые подключения от всех несоответствующих устройств, если они не добавлены в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon"
Этап начального развертывания Этап начинается с обновлений за 11 августа 2020 г. и продолжается с последующими обновлениями до этапа применения политик.
учетная запись компьютера Также называется компьютером Active Directory или объект-компьютером.  Полное определение см. в словаре терминов MS-NPRC.
MS-NRPC Удаленный протокол Microsoft Netlogon
Несоответствующее устройство Несоответствующее устройство — это устройство, использующее уязвимое подключение безопасного канала Netlogon.
RODC Контроллеры домена только для чтения
Уязвимое подключение Уязвимое подключение — это подключение безопасного канала Netlogon, не использующее безопасный RPC.