Сводка
Удаленный протокол Netlogon (другое название — MS-NRPC) — это интерфейс RPC, используемый только устройствами, подключенными к домену. MS-NRPC включает метод проверки подлинности и метод создания безопасного канала Netlogon. Эти обновления внедряют определенное поведение клиента Netlogon для применения безопасного удаленного вызова процедур (RPC) с помощью безопасного канала Netlogon между компьютерами участников и контроллерами домена (DC) Active Directory (AD).
Это обновление для системы безопасности устраняет уязвимость, принудительно внедряя безопасный RPC при использовании безопасного канала Netlogon в поэтапном выпуске, описанном в разделе Сроки выпуска обновлений для устранения уязвимости Netlogon CVE-2020-1472. Чтобы обеспечить защиту леса AD, все DC должны быть обновлены, так как они будут применять безопасный RPC с безопасным каналом Netlogon. Сюда относятся контроллеры домена только для чтения (RODC).
Дополнительные сведения об уязвимости см. в статье CVE-2020-1472.
Принятие мер
Чтобы защитить среду и предотвратить сбои, выполните следующие действия:
Примечание. Шаг 1 по установке обновлений за 11 августа 2020 г. или более поздней версии поможет устранить проблему безопасности, связанную с CVE-2020-1472, в доменах Active Directory и отношениях доверия между ними, а также на устройствах Windows. Чтобы минимизировать риск возникновения проблемы безопасности для сторонних устройств, необходимо выполнить все указанные действия.
Предупреждение. Начиная с февраля 2021 г. режим применения политик будет включен на всех контроллерах доменов Windows, чтобы блокировать уязвимые подключения на несоответствующих устройствах. Тогда вы не сможете отключить режим применения политик.
-
ОБНОВЛЕНИЕ контроллеров домена (обновление за 11 августа 2020 г. или более поздней версии).
-
ПОИСК устройств, которые используют уязвимые соединения, путем мониторинга журналов событий.
-
ИСПРАВЛЕНИЕ несоответствующих устройств, использующих уязвимые соединения.
-
ВКЛЮЧЕНИЕ режима применения политик для исправления CVE-2020-1472 в своей среде.
Примечание. Если вы используете Windows Server 2008 R2 с пакетом обновления 1 (SP1), для успешной установки обновления, устраняющего эту проблему, требуется лицензия на расширенные обновления безопасности (ESU). Дополнительные сведения о программе расширенных обновлений безопасности см. в статье Вопросы и ответы по жизненному циклу: расширенные обновления безопасности.
В этой статье:
-
Сроки выпуска обновлений для устранения уязвимости Netlogon CVE-2020-1472
-
Руководство по развертыванию: развертывание обновлений и обеспечение соответствия
-
Групповая политика: "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon"
-
Сторонние устройства, реализующие [MS-NRPC]: удаленный протокол Netlogon
Сроки выпуска обновлений для устранения уязвимости Netlogon CVE-2020-1472
Обновления будут выпущены в два этапа: начальный этап — обновления, выпущенные 11 августа 2020 г. и позже, и этап применения политик — обновления, выпущенные 9 февраля 2021 г. и позже.
11 августа 2020 г. — этап начального развертывания
Этап начального развертывания начинается с обновлений, выпущенных 11 августа 2020 г., и продолжается с последующими обновлениями до этапа применения политик. Эти и последующие обновления изменяют протокол Netlogon для защиты устройств с Windows по умолчанию, регистрируют события обнаружения несоответствующих устройств и добавляют возможность включения защиты для всех устройств, подключенных к домену, с явными исключениями. Этот выпуск:
-
Внедряет использование безопасного RPC для учетных записей компьютеров на устройствах с Windows.
-
Внедряет использование безопасного RPC для учетных записей доверия.
-
Внедряет использование безопасного RPC для всех контроллеров доменов (DC) Windows и других контроллеров доменов.
-
Включает новую групповую политику для разрешения несоответствующих учетных записей устройств (использующих уязвимые подключения безопасного канала Netlogon). Даже если DC работают в режиме применения политик или после этапа применения политик, разрешенным устройствам не будет отказано в подключении.
-
Раздел реестра FullSecureChannelProtection для включения режима применения политик DC во всех учетных записях компьютеров (этап применения политик обновит DC до режима применения политик DC).
-
Включает новые события в случае отказа учетных записей или ожидающегося отказа в режиме применения политик DC (с продолжением на этапе применения политик). Конкретные коды событий описаны ниже в этой статье.
Устранение рисков заключается в установке обновления на все DC и RODC, отслеживание новых событий и исправление проблем с несоответствующими устройствами, использующими уязвимые подключения безопасного канала Netlogon. Учетным записям компьютеров на несоответствующих устройствах может быть разрешено использовать уязвимые подключения безопасного канала Netlogon. Но следует их обновить для поддержки безопасного RPC для Netlogon и как можно скорее внедрить учетную запись для устранения риска атаки.
9 февраля 2021 г. — этап применения политик
Выпуск за 9 февраля 2021 г. знаменует переход на этап применения политик. Теперь DC будут находиться в режиме применения политик независимо от значения раздела реестра режима применения политик. Для этого на всех устройствах с Windows и других устройствах требуется использовать безопасный RPC с безопасным каналом Netlogon или явным образом разрешить учетную запись, добавив исключение для несоответствующих устройств. Этот выпуск:
-
Внедряет использование безопасного RPC для учетных записей компьютеров на устройствах без Windows, если отсутствует разрешение от групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
-
Запись журнала для события с кодом 5829 будет удалена. Так как все уязвимые подключения запрещаются, в журнале системных событий теперь будут отображаться только события с кодом 5827 и 5828.
Руководство по развертыванию: развертывание обновлений и обеспечение соответствия
Этап начального развертывания состоит из следующих шагов.
-
Развертывание обновлений за 11 августа для всех DC в лесу.
-
(а) Отслеживание событий предупрежденийи (b) принятие мер по каждому событию.
-
(а) После устранения всех событий предупреждений можно включить полную защиту, развернув режим применения политик DC. (b) Все предупреждения следует устранить до обновления этапа применения политик от 9 февраля 2021 г.
Шаг 1. ОБНОВЛЕНИЕ
Развертывание обновлений за 11 августа 2020 г.
Разверните обновления за 11 августа для всех соответствующих контроллеров домена (DC) в лесу, включая контроллеры домена только для чтения (RODC). После развертывания этого обновления исправленные DC:
-
Начнут применять безопасный RPC во всех учетных записях устройств с Windows, учетных записях доверия и всех DC.
-
Регистрируют события с кодами 5827 и 5828 в журнале системных событий, если подключения запрещены.
-
Регистрируют события с кодами 5830 и 5831 в журнале системных событий, если подключения разрешены групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
-
Регистрируют событие с кодом 5829 в журнале системных событий, когда разрешается уязвимое подключение безопасного канала Netlogon. Эти события следует исправить до настройки режима применения политик DC или до начала этапа применения политик 9 февраля 2021 г.
Шаг 2a. ПОИСК
Обнаружение несоответствующих устройств с помощью события с кодом 5829
После применения к DC обновлений за 11 августа 2020 г. в журналах событий DC могут собираться события, чтобы определить, какие устройства в вашей среде используют уязвимые подключения безопасного канала Netlogon (называемые в этой статье несоответствующими устройствами). Отслеживайте исправленные DC для событий с кодом 5829. Эти события будут содержать важные сведения для определения несоответствующих устройств.
Чтобы отслеживать события, используйте доступные программы мониторинга событий или сценарий для отслеживания своих DC. Пример сценария, который можно адаптировать к своей среде, см. в разделе Сценарий для отслеживания кодов событий, связанных с обновлениями Netlogon для CVE-2020-1472
Шаг 2b. ИСПРАВЛЕНИЕ
Исправление событий с кодами 5827 и 5828
Поддерживаемые версии Windows, которые были полностью обновлены, по умолчанию не должны использовать уязвимые подключения безопасного канала Netlogon. Если одно из этих событий зарегистрировано в журнале системных событий для устройства с Windows:
-
Убедитесь, что на устройстве используется поддерживаемая версия Windows.
-
Полностью обновите устройство.
-
Проверьте, что для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала настроено значение "Включен".
Для устройств без Windows, выступающих в роли DC, эти события регистрируются в журнале системных событий при использовании уязвимых подключений безопасного канала Netlogon. Если регистрируется одно из этих событий:
-
Рекомендация. Обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку для безопасного RPC с безопасным каналом Netlogon
-
Если несоответствующий DC поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на DC.
-
Если несоответствующий DC в настоящее время НЕ поддерживает безопасный RPC, обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить обновление, поддерживающее безопасный RPC с безопасным каналом Netlogon.
-
Прекратите использование несоответствующего DC.
-
-
Уязвимость. Если несоответствующий DC не может обеспечить поддержку безопасного RPC с безопасным каналом Netlogon до перевода DC в режим применения политик, добавьте DC с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", описанной ниже.
Предупреждение. Разрешение DC использовать уязвимые подключения с помощью групповой политики сделает лес уязвимым для атаки. Конечной целью должно быть исправление или удаление всех учетных записей из этой групповой политики.
Исправление события с кодом 5829
Событие с кодом 5829 создается, если на этапе начального развертывания разрешено уязвимое подключение. Такие подключения будут запрещены в режиме применения политик DC. Для этих событий нужно обратить внимание на имя компьютера, домен и версии ОС, идентифицированные для определения несоответствующих устройств, и на способы их исправления.
Способы исправления несоответствующих устройств:
-
Рекомендация. Обратитесь к изготовителю устройства (OEM) или поставщику программного обеспечения, чтобы получить поддержку для безопасного RPC с безопасным каналом Netlogon:
-
Если несоответствующее устройство поддерживает безопасный RPC с безопасным каналом Netlogon, включите безопасный RPC на устройстве.
-
Если несоответствующее устройство в настоящее время НЕ поддерживает безопасный RPC с безопасным каналом Netlogon, обратитесь к изготовителю устройства или поставщику программного обеспечения, чтобы получить обновление, разрешающее включить безопасный RPC с безопасным каналом Netlogon.
-
Прекратите использование несоответствующего устройства.
-
-
Уязвимость. Если несоответствующее устройство не может обеспечить поддержку безопасного RPC с безопасным каналом Netlogon до перевода DC в режим применения политик, добавьте устройство с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", описанной ниже.
Предупреждение. Разрешение учетным записям устройств использовать уязвимые подключения с помощью групповой политики подвергнет эти учетные записи AD риску. Конечной целью должно быть исправление или удаление всех учетных записей из этой групповой политики.
Разрешение уязвимых подключений из сторонних устройств
Используйте групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", чтобы добавить несоответствующие учетные записи. Это следует рассматривать только в качестве краткосрочного решения, пока несоответствующие устройства не будут исправлены, как описано выше. Примечание. Разрешение уязвимых подключений для несоответствующих устройств следует предоставлять с осторожностью, учитывая неизвестное влияние на безопасность.
-
Создание групп безопасности для учетных записей, которым будет разрешено использовать уязвимый безопасный канал Netlogon.
-
В групповой политике выберите "Конфигурация компьютера" > "Параметры Windows" > "Параметры безопасности" > "Локальные политики" > "Параметры безопасности"
-
Найдите параметр "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
-
Если имеется группа администраторов или любая другая группа, не созданная специально для использования с этой групповой политикой, удалите ее.
-
Добавьте группу безопасности, созданную специально для использования с этой групповой политикой, в дескриптор безопасности с параметром "Разрешить". Примечание. Параметр "Запретить" соответствует поведению без добавления учетной записи, то есть учетным записям будет запрещено создавать уязвимые безопасные каналы Netlogon.
-
После добавления групп безопасности групповая политика должна реплицироваться на каждый DC.
-
Периодически отслеживайте события 5827, 5828 и 5829, чтобы определить, какие учетные записи используют уязвимые подключения безопасного канала.
-
При необходимости добавляйте эти учетные записи компьютеров в группы безопасности. Рекомендация. Используйте группы безопасности в групповой политике и добавляйте учетные записи в группу, чтобы это участие реплицировались в рамках обычной репликации AD. Это позволит избежать частого обновления групповой политики и задержек репликации.
После исправления всех несоответствующих устройств вы можете перевести свои DC в режим применения политик (см. следующий раздел).
Предупреждение. Разрешение DC использовать уязвимые подключения для учетных записей доверия с помощью групповой политики сделает лес уязвимым для атаки. Учетные записи доверия обычно именуются по доверенному домену, например: DC в домене-a имеет отношение доверия с DC в домене-b. DC в домене-a внутри имеет учетную запись доверия "domain-b$", представляющую объект доверия для домена-b. Если DC в домене-а подвергает лес риску атаки, разрешая уязвимые подключения безопасного канала Netlogon из учетной записи доверия домена-b, администратор может использовать команду Add-adgroupmember –identity "Имя группы безопасности" -members "domain-b$", чтобы добавить учетную запись доверия в группу безопасности.
Шаг 3a. ВКЛЮЧЕНИЕ
Переход в режим применения политик до этапа применения политик в феврале 2021 г.
После исправления всех несоответствующих устройств путем включения безопасного RPC или разрешения уязвимых подключений с помощью групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" присвойте разделу реестра FullSecureChannelProtection значение 1.
Примечание. Если вы используете групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" убедитесь в репликации и применении групповой политики ко всем DC до настройки раздела реестра FullSecureChannelProtection.
После развертывания раздела реестра FullSecureChannelProtection контроллеры домена (DC) будут находиться в режиме применения политик. Этот параметр требует, чтобы все устройства, использующие безопасный канал Netlogon, отвечали одному из следующих условий:
-
Использование безопасного RPC.
-
Были разрешены в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Внимание! Сторонние клиенты, не поддерживающие безопасный RPC с подключениями безопасного протокола Netlogon, будут запрещены после развертывания раздела реестра режима применения политик DC, что может нарушить службы рабочей среды.
Шаг 3b. Этап применения политик
Развертывание обновлений за 9 февраля 2021 г.
Развертывание обновлений, выпущенных 9 февраля 2021 г. и позднее, включит режим применения политик DC. Режим применения политик DC — это состояние, при котором все подключения Netlogon должны использовать безопасный RPC или учетная запись должна быть добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". В этот момент раздел реестра FullSecureChannelProtection больше не нужен и больше не будет поддерживаться.
Групповая политика "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon"
Рекомендуется использовать группы безопасности в групповой политике, чтобы участие реплицировались в рамках обычной репликации AD. Это позволит избежать частого обновления групповой политики и задержек репликации.
|
Путь политики и имя параметра |
Описание |
|
Путь политики: "Конфигурация компьютера" > "Параметры Windows" > "Параметры безопасности" > "Локальные политики" > "Параметры безопасности" Требуется перезагрузка? Нет |
Этот параметр безопасности определяет, обходит ли контроллер домена безопасный RPC для подключений безопасного канала Netlogon для определенных учетных записей компьютеров. Эту политику следует применить ко всем контроллерам домена в лесу, включив политику в OU контроллеров домена. При настройке списка "Создание уязвимых подключений" (список разрешений):
Предупреждение. Включение этой политики предоставит доступ к вашим устройствам, подключенным к домену, и к вашему лесу Active Directory, что может подвергнуть их риску. Эту политику следует использовать в качестве временной меры для сторонних устройств при развертывании обновлений. После обновления стороннего устройства для поддержки использования безопасного RPC с безопасными каналами Netlogon следует удалить учетную запись из списка "Создание уязвимых подключений". Дополнительные сведения о риске настройки учетных записей с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. По умолчанию: Эта политика не настроена. Никакие компьютеры и учетные записи доверия не исключаются явным образом из обязательного применения безопасного RPC с подключениями безопасного канала Netlogon. Эта политика поддерживается в Windows Server 2008 R2 с пакетом обновления 1 (SP1) и более поздних версиях. |
Ошибки в журнале событий Windows, связанные с CVE-2020-1472
Существует три категории событий.
1. События, регистрируемые при отказе в подключении из-за попыток уязвимого подключения безопасного канала Netlogon:
-
Ошибка 5827 (учетные записи компьютеров)
-
Ошибка 5828 (учетные записи доверия)
2. События, регистрируемые при разрешении подключения, так как учетная запись была добавлена в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon":
-
Предупреждение 5830 (учетные записи компьютеров)
-
Предупреждение 5831 (учетные записи доверия)
3. События, регистрируемые в том случае, если подключение разрешено в исходном выпуске, но будет запрещено в режиме применения политик DC:
-
Предупреждение 5829 (учетные записи компьютеров)
Событие с кодом 5827
Событие с кодом 5827 регистрируется, если запрещено уязвимое подключение безопасного канала Netlogon из учетной записи компьютера.
|
Журнал событий |
Система |
|
Источник события |
NETLOGON |
|
Код события |
5827 |
|
Уровень |
Ошибка |
|
Текст сообщения об ошибке |
Служба Netlogon запретила уязвимое подключение безопасного канала Netlogon из учетной записи компьютера. SamAccountName компьютера: Домен: Тип учетной записи: Операционная система компьютера: Сборка операционной системы компьютера: Пакет обновления операционной системы компьютера: Дополнительные сведения о причинах запрета см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. |
Событие с кодом 5828
Событие с кодом 5828 регистрируется, если запрещено уязвимое подключение безопасного канала Netlogon из учетной записи доверия.
|
Журнал событий |
Система |
|
Источник события |
NETLOGON |
|
Код события |
5828 |
|
Уровень |
Ошибка |
|
Текст сообщения об ошибке |
Служба Netlogon запретила уязвимое подключение безопасного канала Netlogon с использованием учетной записи доверия. Тип учетной записи: Имя доверия: Цель доверия: IP-адрес клиента: Дополнительные сведения о причинах запрета см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. |
Событие с кодом 5829
Событие с кодом 5829 регистрируется только на этапе начального развертывания, если разрешено уязвимое подключение безопасного канала Netlogon из учетной записи компьютера.
После развертывания режима применения политик DC или после начала этапа применения политик с развертыванием обновлений за 9 февраля 2021 г. эти подключения будут запрещены и будет регистрироваться событие с кодом 5827. Поэтому важно отслеживать событие 5829 во время этапа начального развертывания и принимать меры до этапа применения политик, чтобы избежать сбоев.
|
Журнал событий |
Система |
|
Источник события |
NETLOGON |
|
Код события |
5829 |
|
Уровень |
Предупреждение |
|
Текст сообщения об ошибке |
Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon. Предупреждение. Это подключение будет запрещено после начала этапа применения политик. Дополнительные сведения об этапе применения политик см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. SamAccountName компьютера: Домен: Тип учетной записи: Операционная система компьютера: Сборка операционной системы компьютера: Пакет обновления операционной системы компьютера: |
Событие с кодом 5830
Событие с кодом 5830 регистрируется, если уязвимое подключение безопасного канала Netlogon из учетной записи компьютера разрешено групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
|
Журнал событий |
Система |
|
Источник события |
NETLOGON |
|
Код события |
5830 |
|
Уровень |
Предупреждение |
|
Текст сообщения об ошибке |
Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon, так как учетная запись компьютера разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". Предупреждение. Использование уязвимых безопасных каналов Netlogon подвергает риску атак устройства, подключенные к домену. Чтобы защитить устройство от атак, удалите учетную запись компьютера из групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" после обновления стороннего клиента Netlogon. Дополнительные сведения о риске настройки учетных записей компьютеров с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. SamAccountName компьютера: Домен: Тип учетной записи: Операционная система компьютера: Сборка операционной системы компьютера: Пакет обновления операционной системы компьютера: |
Событие с кодом 5831
Событие с кодом 5831 регистрируется, если уязвимое подключение безопасного канала Netlogon из учетной записи доверия разрешено групповой политикой "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
|
Журнал событий |
Система |
|
Источник события |
NETLOGON |
|
Код события |
5831 |
|
Уровень |
Предупреждение |
|
Текст сообщения об ошибке |
Служба Netlogon разрешила уязвимое подключение безопасного канала Netlogon, так как учетная запись доверия разрешена в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". Предупреждение. Использование уязвимых безопасных каналов Netlogon подвергает риску атак леса Active Directory. Чтобы защитить леса Active Directory от атак, все доверия должны использовать безопасный RPC с безопасным каналом Netlogon. Удалите учетную запись доверия из групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" после обновления стороннего клиента Netlogon в контроллерах домена. Дополнительные сведения о риске настройки учетных записей доверия с разрешением уязвимых подключений безопасного канала Netlogon см. на странице https://go.microsoft.com/fwlink/?linkid=2133485. Тип учетной записи: Имя доверия: Цель доверия: IP-адрес клиента: |
Значение реестра для режима применения политик
Предупреждение. При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы, в некоторых случаях требующие переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы удастся решить. При изменении реестра полагайтесь на свой опыт и знания.
Обновления за 11 августа 2020 г. добавляют следующий параметр реестра для раннего включения режима применения политик. Он будет включен независимо от параметра реестра на этапе применения политик с 9 февраля 2021 г.:
|
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Значение |
FullSecureChannelProtection |
|
Тип данных |
REG_DWORD |
|
Данные |
1 — включает режим применения политик. DC запретят уязвимые подключения безопасного канала Netlogon, если учетная запись не разрешена списком "Создание уязвимых подключений" в групповой политике "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". 0 — DC разрешат уязвимые подключения безопасного канала Netlogon от устройств без Windows. Этот параметр перестанет поддерживаться на этапе применения политик. |
|
Требуется перезагрузка? |
Нет |
Сторонние устройства, реализующие [MS-NRPC]: удаленный протокол Netlogon
Все сторонние клиенты и серверы должны использовать безопасный RPC с безопасным каналом Netlogon. Обратитесь к изготовителю устройства (OEM) или поставщикам программного обеспечения, чтобы определить, совместимо ли их программное обеспечение с последним удаленным протоколом Netlogon.
Обновления протокола доступны на сайте документация по протоколам Windows.
Часто задаваемые вопросы
-
Windows и сторонние устройства, подключенные к доменам, с учетными записями компьютеров в Active Directory (AD)
-
Windows Server и сторонние контроллеры доменов в доверенных и доверяющих доменах с учетными записями доверия в AD
Сторонние устройства могут не соответствовать требованиям. Если стороннее решение содержит учетную запись компьютера в AD, обратитесь к поставщику, чтобы узнать, затронуты ли вы.
Задержки репликации AD и SYSVOL или сбои приложений групповой политики при проверке подлинности DC могут привести к изменениям с отсутствием групповой политики "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon", что приводит к запрету учетной записи.
Следующие действия могут помочь с устранением этой проблемы:
-
Если вы настроили политику с добавлением группы и изменили участников группы, чтобы добавить учетную запись, проверьте, что DC, запретивший подключение, локально реплицировал изменения участников группы. Примечание. Не рекомендуется добавлять учетные записи непосредственно в групповую политику.
-
Если вы внесли изменения в политику и добавили новую учетную запись или новую группу, убедитесь, что изменение политики реплицировано и применено: Выполните команды gpupdate /force и gpresult /h
-
Дополнительные сведения по устранению неполадок с приложениями групповой политики и компонентам с зависимостями см. в следующих статьях:
Поддерживаемые версии Windows, которые были полностью обновлены, по умолчанию не должны использовать уязвимые подключения безопасного канала Netlogon. Если событие с кодом 5827 зарегистрировано в журнале системных событий для устройства с Windows:
-
Убедитесь, что на устройстве используется поддерживаемая версия Windows.
-
Полностью обновите устройство из Центра обновления Windows.
-
Проверьте, что для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала настроено значение "Включен" в объекте групповой политики, связанном с OU для всех ваших DC, например в стандартном объекте групповой политики контроллеров домена.
Да, их нужно обновить, хотя они не уязвимы для CVE-2020-1472.
Нет, только DC уязвимы для CVE-2020-1472, их можно обновить независимо от не-DC серверов Windows и других устройств Windows.
Версия Windows Server 2008 с пакетом обновления 2 (SP2) не уязвима для данной CVE, так как не использует AES для безопасного RPC.
Да, чтобы установить обновления и исправить CVE-2020-1472 для Windows Server 2008 R2 с пакетом обновления 1 (SP1), потребуется расширенное обновление безопасности (ESU).
Разверните обновления за 11 августа 2020 г. или более поздней версии для всех контроллеров домена в вашей среде.
Убедитесь, что на устройствах, добавленных в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" нет служб с правами администратора предприятия или администратора домена, например SCCM или Microsoft Exchange. Примечание. Любому устройству в списке разрешений будет позволено использовать уязвимые подключения, что может поставить под угрозу безопасность вашей среды.
Установка обновлений за 11 августа 2020 г. или более поздней версии для контроллеров домена защищает учетные записи компьютеров с Windows, учетные записи доверия и учетные записи контроллеров домена.
Учетные записи компьютеров Active Directory для сторонних устройств, подключенных к доменам, не будут защищены, пока не будет развернут режим применения политик. Также не будут защищены учетные записи компьютеров, добавленные в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Установите обновления за 11 августа 2020 г. или более поздней версии для всех контроллеров домена в вашей среде.
Все удостоверения устройств, добавленных в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" уязвимы для атак.
Установите обновления за 11 августа 2020 г. или более поздней версии для всех контроллеров домена в вашей среде.
Включите режим применения политик, чтобы запретить уязвимые подключения для удостоверений несоответствующих сторонних устройств.
Примечание. При включенном режиме применения политик все удостоверения сторонних устройств, добавленных в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon" будут по-прежнему уязвимы и смогут предоставлять злоумышленникам несанкционированный доступ к устройствам или сети.
Режим применения политик сообщает контроллерам домена, чтобы они запретили подключения Netlogon для устройств, которые не используют безопасный RPC, если учетные записи этих устройств не добавлены в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon".
Дополнительные сведения см. в разделе Значение реестра для режима применения политик.
В групповую политику необходимо добавить только учетные записи компьютеров, которые не могут быть защищены с помощью включения безопасного RPC для безопасного канала Netlogon. Рекомендуем обеспечить соответствие этих устройств или заменить их, чтобы защитить вашу среду.
Злоумышленник может захватить удостоверение компьютера любой учетной записи компьютера Active Directory, добавленной в групповую политику, а затем использовать любые разрешения, заданные этим удостоверением.
Если у вас есть стороннее устройство, не поддерживающее безопасный RPC для безопасного канала Netlogon, и вам нужно включить режим применения политик, тогда может потребоваться добавить учетную запись этого устройства в групповую политику. Не рекомендуется, так как это может сделать ваш домен потенциально уязвимым. Рекомендуем использовать эту групповую политику временно, чтобы обновить или заменить сторонние устройства для обеспечения их соответствия.
Режим применения политик нужно включить как можно скорее. Уязвимость сторонних устройств необходимо исправить, обеспечив их соответствие или добавив их в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". Примечание. Любому устройству в списке разрешений будет позволено использовать уязвимые подключения, что может поставить под угрозу безопасность вашей среды.
Словарь терминов
|
Термин |
Определение |
|
AD |
Active Directory |
|
DC |
Контроллер домена |
|
Раздел реестра, позволяющий включить режим применения политик до 9 февраля 2021 г. |
|
|
Этап начинается с обновлений за 9 февраля 2021 г., в которых включается режим применения политик на всех устройствах с контроллерах доменов Windows независимо от настройки реестра. Контроллеры доменов (DC) будут запрещать уязвимые подключения от всех несоответствующих устройств, если они не добавлены в групповую политику "Контроллер домена: разрешить уязвимые подключения безопасного канала Netlogon". |
|
|
Этап начинается с обновлений за 11 августа 2020 г. и продолжается с последующими обновлениями до этапа применения политик. |
|
|
учетная запись компьютера |
Также называется компьютером Active Directory или объект-компьютером. Полное определение см. в словаре терминов MS-NPRC. |
|
Удаленный протокол Microsoft Netlogon |
|
|
Несоответствующее устройство |
Несоответствующее устройство — это устройство, использующее уязвимое подключение безопасного канала Netlogon. |
|
RODC |
Контроллеры домена только для чтения |
|
Уязвимое подключение |
Уязвимое подключение — это подключение безопасного канала Netlogon, не использующее безопасный RPC. |
