Исходная дата публикации: 13 августа 2025 г.
Идентификатор базы знаний: 5066014
В этой статье:
Сводка
CVE-2025-49716 устраняет уязвимость типа "отказ в обслуживании", из-за которой удаленные пользователи без проверки подлинности могут выполнить серию удаленных вызовов процедур на основе netlogon (RPC), которые в конечном итоге потребляют всю память на контроллере домена (DC). Чтобы устранить эту уязвимость, в обновление Безопасность Windows за май 2025 г. для Windows Server 2025 г. и в Безопасность Windows Обновления за июль 2025 г. для всех других платформ сервера с Windows Server 2008SP2 до Windows Server 2022 г. включительно. Это обновление включает в себя изменение защиты безопасности для протокола Netlogon Microsoft RPC. Это изменение повышает безопасность за счет ужесточения проверок доступа для набора запросов удаленного вызова процедур (RPC). После установки этого обновления контроллеры домена Active Directory больше не разрешают анонимным клиентам вызывать некоторые запросы RPC через сервер RPC Netlogon. Эти запросы обычно связаны с расположением контроллера домена.
После этого изменения могут быть затронуты некоторые файлы & программного обеспечения службы печати, включая Samba. Samba выпустила обновление, в соответствии с этим изменением. Дополнительные сведения см. в статье Samba 4.22.3 — заметки о выпуске .
Для сценариев, в которых не удается обновить затронутого стороннего программного обеспечения, мы выпустили дополнительные возможности конфигурации в обновлении Безопасность Windows за август 2025 г. Это изменение реализует переключатель на основе раздела реестра между режимом принудительного применения по умолчанию, режимом аудита, который будет регистрировать изменения, но не будет блокировать вызовы RPC netlogon без проверки подлинности, и режим отключено (не рекомендуется).
Принять меры
Чтобы защитить среду и избежать сбоев, сначала обновите все устройства, на которых размещен контроллер домена Active Directory или роль сервера LDS, установив последние обновления Windows. Контроллеры домена с 8 июля 2025 г. или более поздней Безопасность Windows Обновления (или Windows Server контроллеров домена 2025 с майовыми обновлениями) по умолчанию защищены и по умолчанию не принимают вызовы RPC на основе netlogon без проверки подлинности. Контроллеры домена с 12 августа 2025 г. или более поздними Безопасность Windows Обновления по умолчанию не принимают вызовы RPC на основе Netlogon, но могут быть временно настроены для этого.
-
Отслеживайте среду на наличие проблем с доступом. При обнаружении проверьте, являются ли первопричиной изменения защиты RPC netlogon.
-
Если установлены только обновления за июль, включите подробное ведение журнала Netlogon с помощью команды "Nltest.exe /dbflag:0x2080ffff", а затем отслеживайте результирующие журналы на наличие записей, похожих на следующую строку. Поля OpNum и Method могут отличаться и представляют операцию и метод RPC, которые были заблокированы:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: отклонение несанкционированного вызова RPC из [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Если установлены обновления Windows за август или более поздней версии, найдите событие Security-Netlogon 9015 на контроллерах домена, чтобы определить, какие вызовы RPC отклоняются. Если эти вызовы являются критическими, вы можете временно переключить контроллер домена в режим аудита или отключенный режим во время устранения неполадок.
-
Внесите изменения таким образом, чтобы приложение использовало вызовы RPC, прошедшие проверку подлинности Netlogon, или обратитесь к поставщику программного обеспечения для получения дополнительных сведений.
-
-
При переводе контроллеров домена в режим аудита отслеживайте событие Security-Netlogon 9016, чтобы определить, какие вызовы RPC будут отклонены, если вы включили режим принудительного применения. Затем внесите изменения, чтобы приложение использовало вызовы RPC, прошедшие проверку подлинности, или обратитесь к поставщику программного обеспечения для получения дополнительных сведений.
Примечание: На серверах Windows 2008 с пакетом обновления 2 (SP2) и Windows 2008 R2 эти события будут видеться в журналах системных событий как события netlogon 5844 и 5845 соответственно для режима принудительного применения и режима аудита.
Время обновления Windows
Эти обновления Windows выпускались в несколько этапов:
-
Первоначальное изменение Windows Server 2025 г. (13 мая 2025 г.) — первоначальное обновление, которое было защищено от вызовов RPC на основе netlogon, было включено в обновление Безопасность Windows за май 2025 г. за Windows Server 2025 г.
-
Первоначальные изменения на других серверных платформах (8 июля 2025 г.) — обновления, которые были защищены от неуверенных вызовов RPC на основе netlogon для других серверных платформ, были включены в Безопасность Windows Обновления июля 2025 г.
-
Добавлены режим аудита и отключенный режим (12 августа 2025 г.) — принудительное применение по умолчанию с параметром "Режим аудита" или "Отключено" было включено в Безопасность Windows Обновления августа 2025 г.
-
Удаление режимов аудита и отключенных режимов (TBD) — позже режимы аудита и отключения могут быть удалены из ОС. Эта статья будет обновлена после подтверждения дополнительных сведений.
Руководство по развертыванию
Если вы развертываете августовскую Безопасность Windows Обновления и хотите настроить контроллеры домена в режиме аудита или отключения, разверните приведенный ниже раздел реестра с соответствующим значением. Перезапуск не требуется.
|
Путь |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Значение реестра |
DCLocatorRPCSecurityPolicy |
|
Тип значения |
REG_DWORD |
|
Данные о значении |
0 — отключен режим1 — режим аудита2 — режим принудительного применения (по умолчанию) |
Примечание: Запросы без проверки подлинности будут разрешены как в режиме аудита, так и в режиме Отключен.
Недавно добавленные события
12 августа 2025 г. Безопасность Windows Обновления также добавит новые журналы событий на Windows Server 2012 Windows Server контроллеров домена 2022:
|
Журнал событий |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип события |
Сведения |
|
Идентификатор события |
9015 |
|
Текст события |
Netlogon отклонил вызов RPC. Политика находится в режиме принудительного применения. Сведения о клиенте: Имя метода: %method% Метод opnum: %opnum% Адрес клиента: <IP-адрес> Удостоверение клиента: <ИДЕНТИФИКАТОР вызывающего абонента> Дополнительные сведения см. в разделе https://aka.ms/dclocatorrpcpolicy. |
|
Журнал событий |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип события |
Сведения |
|
Идентификатор события |
9016 |
|
Текст события |
Netlogon разрешил вызов RPC, который обычно был бы отклонен. Политика находится в режиме аудита. Сведения о клиенте: Имя метода: %method% Метод opnum: %opnum% Адрес клиента: <IP-адрес> Удостоверение клиента: <ИДЕНТИФИКАТОР вызывающего абонента> Дополнительные сведения см. в разделе https://aka.ms/dclocatorrpcpolicy. |
Примечание: На серверах Windows 2008 с пакетом обновления 2 (SP2) и Windows 2008 R2 эти события будут просматриваться в журналах системных событий как события netlogon 5844 и 5845 соответственно для режимов принудительного применения и аудита.
Часто задаваемые вопросы
Контроллеры домена, которые не обновлены с 8 июля 2025 г. Безопасность Windows Обновления или более поздней версии, по-прежнему разрешают вызовы RPC на основе netlogon, & не будут регистрировать события, связанные с этой уязвимостью.
Контроллеры домена, обновленные с помощью Безопасность Windows Обновления 8 июля 2025 г., не разрешают вызовы RPC на основе Netlogon без проверки подлинности, но не регистрируют событие при блокировке такого вызова.
По умолчанию контроллеры домена, обновленные с помощью Безопасность Windows Обновления 12 августа 2025 г. или более поздней версии, не разрешают вызовы RPC на основе netlogon без проверки подлинности и регистрируют событие при блокировке такого вызова.
Нет.
