Súhrn
Vzdialený protokol Netlogon (nazývaný aj MS-NRPC) je rozhranie RPC, ktoré používa výhradne zariadenia pripojené k doméne. Aplikácia MS-NRPC zahŕňa spôsob overenia a spôsob zriadenia zabezpečeného kanála Netlogon. Tieto aktualizácie presadzujú špecifikované správanie klienta Netlogon a používajú zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon medzi členskými počítačmi a radičmi domén služby Active Directory (AD).
Táto aktualizácia zabezpečenia odstraňuje nedostatočné zabezpečenie vynútením zabezpečeného RPC pri použití zabezpečeného kanála Netlogon vo vyplnenom postupnom vydaní vysvetlené v načasovaní aktualizácií na adresu chyby zabezpečenia Netlogon – 2020-1472 . Ak chcete zabezpečiť AD ochranu lesov, všetky DCs musia byť aktualizované, pretože vynútia zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon. Patria sem radiče domén iba na čítanie (RODC).
Ďalšie informácie o zraniteľnosti nájdete v časti CVE-2020-1472.
Prijať opatrenie
Ak chcete zabezpečiť prostredie a zabrániť výpadkom, musíte vykonať nasledovné kroky:
Poznámka: Krok č. 1 inštalácie aktualizácií vydaných 11. augusta 2020 alebo novšej sa bude týkať problému so zabezpečením v prípade, že sa v prípade domén a trustov služby Active Directory, ako aj zariadení 2020-1472 s Windowsom. Ak chcete, aby sa problém so zabezpečením zariadenia tretej strany úplne zmiernil, musíte vykonať všetky kroky.
Upozornenie Vo februári 2021 sa v prípade všetkých radičov domén systému Windows zapne režim vynucovania a zablokujú sa zraniteľné pripojenia zo zariadení, ktoré nie sú kompatibilné. V tomto prípade nebudete môcť režim vynucovania vypnúť.
-
Aktualizujte svoje radiče domén s aktualizáciou vydaná 11. augusta 2020 alebo novšou verziou.
-
Pomocou monitorovania denníkov udalostí môžete zistiť , ktoré zariadenia vytvárajú zraniteľné pripojenia.
-
Adresu nevyhovujúcich zariadení, ktoré robia zraniteľné pripojenia.
-
Povoľte režim vynucovania na adresu CVE-2020-1472 vo svojom prostredí.
Poznámka: Ak používate Windows Server 2008 R2 SP1, na úspešnú inštaláciu aktualizácie, ktorá sa zaoberá týmto problémom, potrebujete licenciu na aktualizáciu rozšírenej aktualizácie zabezpečenia (ESU). Ďalšie informácie o programe ESU nájdete v téme najčastejšie otázky o životnom cykle – rozšírené aktualizácie zabezpečenia.
V tomto článku:
-
Časovanie aktualizácií pre adresu chyba zabezpečenia Netlogon CVE-2020-1472
-
Pokyny na nasadenie – nasadenie aktualizácií a presadzovanie dodržiavania súladu
-
"radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika
-
Chyby denníkov udalostí systému Windows súvisiace s CVE – 2020-1472
-
vykonávacích zariadeniach tretích strán [MS-NRPC]: vzdialeného protokolu Netlogon
Časovanie aktualizácií pre adresu chyba zabezpečenia Netlogon CVE-2020-1472
Aktualizácie sa vydávajú v dvoch fázach: Počiatočná fáza aktualizácií vydaných do 11. augusta 2020 a fázy vynútenia aktualizácií vydaných vo alebo po 9. februári 2021.
11. augusta 2020 – fáza počiatočné nasadenie
Prvá fáza nasadenia začína s aktualizáciami vydanými 11. augusta 2020 a pokračuje s neskoršími aktualizáciami, kým sa nedosiahne fáza vynútenia. Tieto a novšie aktualizácie vykonajú zmeny v protokole Netlogon na ochranu zariadení s Windowsom predvolene denníky udalosti pre zisťovanie nevyhovujúceho zariadenia a zvyšujú možnosť zabezpečenia ochrany všetkých zariadení pripojených do domén s explicitnými výnimkami. Toto vydanie:
-
Vynúti zabezpečenie používania služby RPC pre kontá počítačov v zariadeniach s Windowsom.
-
Vynúti zabezpečenie používania služby RPC pre kontá dôveryhodnosti.
-
Vynúti zabezpečenie používania služby RPC pre všetky okná a iné radiče domén.
-
Obsahuje novú skupinovú politiku umožňujúcu nevyhovujúce kontá zariadení (tie, ktoré používajú zraniteľné pripojenia zabezpečeného kanála Netlogon). Aj keď sú radiče domén spustené v režime vynucovania alebo po spustení etapy vynútenia , povolené zariadenia nebudú odmietnuté pripojenie.
-
FullSecureChannelProtection kľúč databázy Registry na zapnutie režimu vynucovania v režime DC pre všetky kontá počítačov (fáza vynútenia bude aktualizovať radiče domén v režime výkonuDC).
-
Zahŕňa nové udalosti, keď sú kontá odmietnuté alebo sa zamietajú v režime vynucovania DC (a bude pokračovať vo fáze vynútenia). Špecifické ID udalosti sú vysvetlené ďalej v tomto článku.
Zmiernenie spočíva v inštalácii aktualizácie vo všetkých radičoch domén a RODC, monitorovaní nových udalostí a riešení nevyhovujúcich zariadení, ktoré používajú zraniteľné pripojenia zabezpečeného kanála Netlogon. Počítačové kontá v zariadeniach, ktoré nie sú kompatibilné, môžu mať povolené používať zraniteľné pripojenia zabezpečeného kanála Netlogon. mala by však byť aktualizovaná, aby podporovala zabezpečené služby RPC pre Netlogon a vynútila čo najskôr konto na odstránenie rizika útoku.
9. februára 2021 – fáza vynútenia
9. februára 2021 vydanie označuje prechod na fázu vynútenia. Radiče domén sa teraz budú nachádzať v režime vynucovania bez ohľadu na to, aký je kľúč databázy Registry pre presadzovanie. Vyžaduje to, aby všetky zariadenia s Windowsom a inými zariadeniami ako Windows používali zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon alebo explicitne povolili konto pridaním výnimky pre nevyhovujúce zariadenie. Toto vydanie:
-
Vynúti zabezpečenie používania služby RPC pre kontá počítačov v zariadeniach, ktoré nie sú založené na systéme Windows, pokiaľ to nepovoľuje radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
-
Zapisovanie do denníka udalosti ID 5829 sa odstráni. Keďže sa všetky zraniteľné pripojenia odmietli, v denníku udalostí systému sa zobrazí len udalosť ID 5827 a 5828.
Pokyny na nasadenie – nasadenie aktualizácií a presadzovanie dodržiavania súladu
Prvá fáza nasadenia bude obsahovať tieto kroky:
-
Nasadenie aktualizáciípre všetky radiče domén v doménovej štruktúre.
-
(a) Monitor s výstražnými udalosťamia (b) konať na každej udalosti.
-
(a) po vyriešení všetkých varovných udalostí sa dá povoliť úplná ochrana nasadením režimu vynucovania v režimeDC. (b) všetky varovania by mali byť vyriešené pred aktualizáciou fázy vynútenia 9. februára 2021.
krok 1: AKTUALIZOVAŤ
Nasadenie aktualizácií z 11. augusta 2020
Nasadenie aktualizácií všetkých platných radičov domén (DCs) v doménovej štruktúre vrátane radičov domén iba na čítanie (RODCs). Po nasadení tejto aktualizácie sa opravené DCs:
-
Začnite vynucovať zabezpečené používanie služby RPC pre všetky kontá zariadení s Windowsom, kontá dôveryhodnosti a všetky radiče domén.
-
Prihláste sa ID udalosti 5827 a 5828 v denníku udalostí systému, ak sú pripojenia odmietnuté.
-
Zaznamenajte ID udalosti 5830 a 5831 v denníku systémových udalostí v prípade, že je povolené pripojenie radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
-
Denník ID udalosti 5829 v denníku udalostí systému vždy, keď je zabezpečené zraniteľné pripojenie cez zabezpečený kanál Netlogon. Tieto udalosti by mali byť riešené skôr ako je nakonfigurovaný režim vynútenia jednosmerného prúdu alebo pred začatím fázy vynútenia vo februári 9.2021.
krok 2a: VYHĽADAŤ
Zisťovanie nevyhovujúcich zariadení pomocou ID udalosti 5829
Po 2020 aktualizácií pre DCs sa na radiče domén používajú udalosti, ktoré sa môžu zhromažďovať v denníkoch udalostí v DC a zistiť, ktoré zariadenia vo vašom prostredí používajú zraniteľné pripojenia zabezpečeného kanála Netlogon (v tomto článku sa nazývajú nevyhovujúce zariadenia). Monitorovať opravy radičov domén pre udalosť ID 5829 udalosti. Udalosti budú zahrnovať príslušné informácie na určenie nevyhovujúcich zariadení.
Ak chcete sledovať udalosti, použite dostupné programy na monitorovanie udalostí alebo pomocou skriptu na monitorovanie svojich radičov domén. Ak chcete použiť vzorový skript, ktorý sa dá upraviť vo svojom prostredí, pozrite si tému skript na pomoc pri monitorovaní identifikácií udalosti súvisiacich s aktualizáciami Netlogon pre CVE – 2020-1472
krok 2b: ADRESA
Riešenie ID udalosti 5827 a 5828
Podporované verzie Windowsu , ktoré boli úplne aktualizované, by sa podľa predvoleného nastavenia nemali používať zraniteľné pripojenia zabezpečeného kanála Netlogon. Ak sa niektorá z týchto udalostí prihlási do denníka systémových udalostí pre zariadenie s Windowsom:
-
Skontrolujte, či je v zariadení spustené podporované verzie Windowsu.
-
Skontrolujte, či je zariadenie plne aktualizované.
-
Uistite sa, že člena domény: Digitálne šifrovanie alebo podpisovanie údajov zabezpečeného kanála (vždy) je nastavené na možnosť zapnuté.
V prípade zariadení, ktoré nepoužívajú Windows, ktoré fungujú ako radič domény, sa tieto udalosti zapíšu do denníka systémových udalostí pri používaní zraniteľných pripojení zabezpečeného kanála Netlogon. Ak sa zaznamená niektorá z týchto udalostí:
-
Odporúča sa Ak chcete získať podporu pre zabezpečené služby RPC pomocou služby Netlogon zabezpečeného kanála, práca s výrobcom zariadenia OEM alebo dodávateľom softvéru
-
Ak nevyhovujúce DC podporuje zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon, potom v radiči domény zapnite zabezpečenie protokolu RPC.
-
Ak nevyhovujúci DC momentálne nepodporuje zabezpečenie RPC, na získanie aktualizácie, ktorá podporuje zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon.
-
Odchádzajte z nevyhovujúceho DC.
-
-
Zraniteľné skupiny Ak nevyhovujúci DC nedokáže podporovať zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon pred tým, ako sa radiče domén nachádzajú v režime vynucovania, pridajte DC pomocou radiča domény : Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika opísaná nižšie.
Upozornenie Povolením radičov domén používať zraniteľné pripojenia prostredníctvom skupinovej politiky sa lesným útokom nedarí. Koncový cieľ by mal byť adresa a odstránenie všetkých kont z tejto skupinovej politiky.
Adresovanie udalosti 5829
ID udalosti 5829 sa vygeneruje, keď sa počas počiatočnej fázy nasadenia povoľuje zraniteľné pripojenie. Keď sú radiče domén v režime vynucovania, tieto pripojenia budú odmietnuté. V týchto prípadoch sa zameriavajú na názov počítača, verzie domény a operačného systému, ktoré sú identifikované na určenie nevyhovujúcich zariadení a ako sa musia riešiť.
Spôsoby adresovania nevyhovujúcich zariadení:
-
Odporúča sa Ak chcete získať technickú podporu pre zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon, použite na to výrobcu zariadenia (OEM) alebo dodávateľa softvéru:
-
Ak nevyhovujúce zariadenie podporuje zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon, potom v zariadení zapnite zabezpečenie služby RPC.
-
Ak nevyhovujúce zariadenie momentálne nepodporuje zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon, spolupracujte s výrobcom zariadenia alebo s dodávateľom softvéru, aby ste získali aktualizáciu umožňujúcu zabezpečenie RPC pomocou zabezpečeného kanála Netlogon.
-
Odchádzajte z nevyhovujúceho zariadenia.
-
-
Zraniteľné skupiny Ak nevyhovujúce zariadenie nemôže podporovať zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon pred radičmi domén v režime vynucovania, pridajte zariadenie pomocou radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika opísaná nižšie.
Upozornenie Umožnením kontám zariadení používať zraniteľné pripojenia prostredníctvom skupinovej politiky sa tieto reklamné kontá vystavia rizikom. Koncový cieľ by mal byť adresa a odstránenie všetkých kont z tejto skupinovej politiky.
Umožnenie zraniteľných pripojení zo zariadení tretej strany
Použite radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika pridať nevyhovujúce kontá. Tento postup by sa mal pokladať len za krátkodobý opravný prostriedok dovtedy, kým nevyhovujúce zariadenia nie sú určené, ako je popísané vyššie. Poznámka: Umožnenie zraniteľných pripojení zo zariadení, ktoré nie sú vyhovujúce, môže mať neznáme dôsledky zabezpečenia a malo by sa im umožniť opatrnosť.
-
Vytvorili sa skupiny zabezpečenia pre kontá, ktoré budú môcť používať zraniteľný zabezpečený kanál Netlogon.
-
V časti Skupinová politika prejdite na položku Konfigurácia počítača > nastavenia Windowsu > Nastavenie zabezpečenia > lokálne politiky > Možnosti zabezpečenia
-
Vyhľadajte "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon ".
-
Ak nie je k dispozícii skupina správcov alebo skupina, ktorá nie je špeciálne vytvorená na používanie s touto skupinovou politikou, odstráňte ju.
-
Pridanie skupiny zabezpečenia špeciálne vykonanej pre túto skupinovú politiku do popisovača zabezpečenia s povolením povoliť. Poznámka: Povolenie odmietnuť sa správa rovnako ako v prípade, že sa konto nepridalo, t. j. kontá nebudú môcť uskutočňovať zraniteľné zabezpečené kanály Netlogon.
-
Po pridaní skupiny zabezpečenia musí Skupinová politika replikovať každý radič domény.
-
Pravidelne sledujte udalosti 5827, 5828 a 5829, aby ste zistili, ktoré kontá používajú zraniteľné pripojenia zabezpečeného kanála.
-
Pridajte tieto kontá počítačov do skupiny zabezpečenia podľa potreby. Najvhodnejšie postupy Použite skupiny zabezpečenia v skupinovej politike a pridajte kontá do skupiny tak, aby sa členstvo replikuje prostredníctvom normálnej replikácie reklamy. Vyhnete sa tým častým aktualizáciám skupinovej politiky a oneskoreniu replikácie.
Po vyriešení všetkých zariadení, ktoré nie sú kompatibilné, môžete presunúť svoje radiče domén do režimu vynucovania (Pozrite si nasledujúcu časť).
Upozornenie Umožnenie radičov domén používať zraniteľné pripojenia pre kontá dôveryhodnosti skupinovou politikou spôsobí, že Les bude ohrozený útokom. Dôveryhodné kontá sa obvykle nazývajú dôveryhodnou doménou. napríklad: DC in Domain – a má dôveryhodnosť s RADIČom domény v doméne – b. Interne, DC in Domain – má konto dôveryhodnosti s názvom Domain-b $, ktoré predstavuje objekt dôveryhodnosti pre doménu-b. Ak DC in Domain – chce vystaviť lesné riziko útoku tým, že umožňuje zraniteľné pripojenia zabezpečeného kanála Netlogon z konta dôveryhodnosti domény b, správca môže použiť funkciu Add-adgroupmember – identity "názov skupiny zabezpečenia"-členovia "Domain-b $" a pridať konto dôveryhodnosti do skupiny zabezpečenia.
krok 3a: POVOLENIE
Prechod na režim vynucovania pred vykonaním vynucovacie vo februári 2021
Po vyriešení všetkých nevyhovujúcich zariadení buď zapnutím zabezpečeného RPC alebo povolením zraniteľných pripojení s radičom domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika, nastavte kľúč databázy Registry FullSecureChannelProtection na hodnotu 1.
Poznámka: Ak používate radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika, uistite sa, že skupinovej politiky sa replikujú a použijú sa na všetky radiče domén ešte pred nastavením kľúča databázy Registry FullSecureChannelProtection.
Po nasadení kľúča databázy Registry FullSecureChannelProtection sa DCs bude nachádzať v režime vynucovania. Toto nastavenie vyžaduje, aby všetky zariadenia s použitím zabezpečeného kanála Netlogon buď:
-
Používajte zabezpečené RPC.
-
Sú povolené v "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
Upozornenie Klienti tretej strany, ktorí nepodporujú zabezpečené služby RPC s pripojením zabezpečeného kanála Netlogon, budú odmietnuté, keď sa nasadí kľúč databázy Registry výkonu pre radič domény, ktorý môže narušiť produkčné služby.
krok 3b: Fáza vykonávania
Nasadenie aktualizácií z 9. februára 2021
Nasadenie aktualizácií vydaných 9. februára 2021 alebo novších bude zapnutý režim presadzovaniaslužby DC. Režim vynucovania jednosmerného prúdu je v prípade, že sú všetky pripojenia Netlogon buď povinné používať zabezpečené služby RPC alebo sa konto musí pridať do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika. V súčasnosti už kľúč databázy Registry FullSecureChannelProtection už nie je potrebný a už nebude podporovaný.
"Radič domény: Povolenie skupinovej politiky na zabezpečenie zraniteľných pripojení Netlogon
Najvhodnejšie je používať skupiny zabezpečenia v skupinovej politike tak, aby sa členstvo replikuje prostredníctvom normálnej replikácie reklamy. Vyhnete sa tým častým aktualizáciám skupinovej politiky a oneskoreniu replikácie.
|
Cesta k politike a názov nastavenia |
Opis |
|
Cesta k politike: Konfigurácia počítača > nastavení windowsu > nastavenie zabezpečenia > lokálne politiky > možnosti zabezpečenia Vyžaduje sa reštart? Nie |
Toto nastavenie zabezpečenia určuje, či radič domény obchádza zabezpečené služby RPC pre služby Netlogon zabezpečené pripojenie kanála pre určené kontá počítačov. Táto politika by sa mala používať na všetky radiče domén v doménovej štruktúre, a to tak, že povolíte politiku v rámci OU radičov domén. Po nakonfigurovaní zoznamu vytvoriť zraniteľné pripojenia (zoznam povolených pripojení):
Upozornenie Povolením tejto politiky sa vystavia zariadenia pripojené k doméne a doménový Les služby Active Directory, ktoré by ich mohli ohroziť. Táto politika by sa mala používať ako dočasné opatrenie pre zariadenia tretích strán pri nasadzovaní aktualizácií. Po aktualizácii zariadenia tretej strany na podporu prostredníctvom zabezpečeného RPC pomocou bezpečných kanálov Netlogon sa konto odstráni zo zoznamu vytvoriť zraniteľné pripojenia. Ak chcete lepšie porozumieť riziku konfigurovania kont, aby sa umožnilo používať zraniteľné pripojenia zabezpečeného kanála Netlogon, navštívte lokalitu https://go.microsoft.com/fwlink/?linkid=2133485. Predvolene Táto politika nie je nakonfigurovaná. Žiadne stroje ani kontá dôveryhodnosti sú explicitne vyňaté z zabezpečeného RPC s Netlogon zabezpečeného pripojenia kanála. Táto politika je podporovaná v systéme Windows Server 2008 R2 SP1 a novších verziách. |
Chyby denníkov udalostí systému Windows súvisiace s CVE – 2020-1472
Existujú tri kategórie udalostí:
1. Udalosti, ktoré sa zapíšu do denníka, keď sa pripojenie zamietne, pretože sa vyskytol pokus o zabezpečené pripojenie cez zabezpečený kanál.
-
Chyba 5827 (Machine accounts)
-
5828 (Trust accounts) (chyba dôveryhodnosti)
2. Udalosti, ktoré sa zapíšu do denníka, keď je pripojenie povolené, pretože konto bolo pridané do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika:
-
5830 (počítačové kontá) upozornenie
-
5831 (Trust accounts) upozornenie
3. Udalosti, ktoré sa zapíšu do denníka, keď je v pôvodnom vydaní povolené pripojenie, ktoré bude v režime vynucovaniaDC odmietnuté:
-
5829 (počítačové kontá) upozornenie
ID udalosti 5827
ID udalosti 5827 sa zapíše do denníka, keď sa zamietne zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon z konta zariadenia.
|
Denník udalostí |
Systém |
|
Zdroj udalosti |
NETLOGON |
|
Identifikačné číslo udalosti |
5827 |
|
Úroveň |
Chyba |
|
Text správy udalosti |
Služba Netlogon odmietla zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon z konta zariadenia. Počítačová SamAccountName: Doména: Typ konta: Operačný systém stroja: Zostava operačného systému stroja: Balík Service Pack operačného systému: Ďalšie informácie o tom, prečo bol odmietnutý, nájdete na lokalite https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID udalosti 5828
ID udalosti 5828 sa zapíše do denníka, keď sa odstráni zraniteľné pripojenie k zabezpečenému kanálu cez Netlogon z dôveryhodného konta.
|
Denník udalostí |
Systém |
|
Zdroj udalosti |
NETLOGON |
|
Identifikačné číslo udalosti |
5828 |
|
Úroveň |
Chyba |
|
Text správy udalosti |
Služba Netlogon odmietla zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon pomocou konta dôvery. Typ konta: Názov dôveryhodnosti: Cieľ dôveryhodnosti: IP adresa klienta: Ďalšie informácie o tom, prečo bol odmietnutý, nájdete na lokalite https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID udalosti 5829
ID udalosti 5829 sa zapíše do denníka iba počas počiatočnej fázy nasadenia, keď je povolené zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon z konta zariadenia.
Pri nasadzovaní režimu vynucovania jednosmerného prúdu alebo po spustení etapy vynútenia s nasadením 9. februára 2021 sa tieto pripojenia odmietli a zapíšu sa do denníka ID udalosti 5827. Z tohto dôvodu je dôležité monitorovať pre udalosť 5829 počas počiatočnej fázy nasadenia a konať skôr ako fáza vynútenia, aby sa zabránilo výpadkom.
|
Denník udalostí |
Systém |
|
Zdroj udalosti |
NETLOGON |
|
ID udalosti |
5829 |
|
Úroveň |
Upozornenie |
|
Text správy udalosti |
Služba Netlogon povoľuje zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon. Upozornenie: Po vydaní etapy vynútenia bude toto pripojenie odmietnuté. Ak chcete lepšie porozumieť fáze výkonu, navštívte lokalitu https://go.Microsoft.com/fwlink/?LinkId=2133485. Počítačová SamAccountName: Doména: Typ konta: Operačný systém stroja: Zostava operačného systému stroja: Balík Service Pack operačného systému: |
ID udalosti 5830
ID udalosti 5830 sa zapíše do denníka v prípade, že je v prípade zraniteľného pripojenia konta zabezpečeného prihlásenia do zariadenia "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
|
Denník udalostí |
Systém |
|
Zdroj udalosti |
NETLOGON |
|
Identifikačné číslo udalosti |
5830 |
|
Úroveň |
Upozornenie |
|
Text správy udalosti |
Služba Netlogon povoľuje zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon, pretože konto zariadenia je povolené v radiči domény: Umožniť zraniteľné pripojenia zabezpečeného kanála Netlogon "skupinovej politiky. Upozornenie: Pri používaní zraniteľných bezpečných kanálov Netlogon sa zariadenia pripojené k doméne vystavia útoku. Ak chcete chrániť svoje zariadenie pred útokmi, odstráňte konto zariadenia z časti radič domény: Umožniť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika po aktualizácii klienta Netlogon tretej strany. Ak chcete lepšie porozumieť riziku konfigurácie počítačov, aby sa umožnilo používať zraniteľné pripojenia prostredníctvom zabezpečeného kanála Netlogon, navštívte lokalitu https://go.Microsoft.com/fwlink/?LinkId=2133485. Počítačová SamAccountName: Doména: Typ konta: Operačný systém stroja: Zostava operačného systému stroja: Balík Service Pack operačného systému: |
ID udalosti 5831
ID udalosti 5831 sa zapíše do denníka v prípade, že je zabezpečené zraniteľné pripojenie konta dôveryhodnosti zabezpečenia kanála "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
|
Denník udalostí |
Systém |
|
Zdroj udalosti |
NETLOGON |
|
Identifikačné číslo udalosti |
5831 |
|
Úroveň |
Upozornenie |
|
Text správy udalosti |
Služba Netlogon povoľuje zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon, pretože konto dôveryhodnosti je povolené v radiči domény: Umožniť zraniteľné pripojenia zabezpečeného kanála Netlogon "skupinovej politiky. Upozornenie: Pri používaní zraniteľných bezpečných kanálov Netlogon sa vystavia lesy služby Active Directory na útok. Ak chcete chrániť lesy služby Active Directory pred útokmi, všetci Dôveryhodní musia používať zabezpečené RPC s Netlogon zabezpečeného kanála. Odstránenie konta dôvery z "radič domény: Umožniť zraniteľné pripojenia zabezpečeného kanála Netlogon prostredníctvom skupinovej politiky po aktualizácii tretej strany klienta Netlogon na radičoch domén. Ak chcete lepšie porozumieť tomu, že je možné nakonfigurovať kontá dôveryhodnosti, aby sa umožnilo používať zraniteľné pripojenia prostredníctvom zabezpečeného kanála Netlogon, navštívte lokalitu https://go.Microsoft.com/fwlink/?LinkId=2133485. Typ konta: Názov dôveryhodnosti: Cieľ dôveryhodnosti: IP adresa klienta: |
Hodnota databázy Registry v režime vynucovania
Upozornenie : Ak databázu Registry nesprávne upravíte pomocou editora databázy Registry alebo iným spôsobom, môžu sa vyskytnúť závažné problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nezaručuje, že tieto problémy sa budú dať vyriešiť. Databázu Registry upravujete na vlastné riziko.
Aktualizácie z 11. augusta 2020 zavádzajú nasledujúce nastavenie databázy Registry, ktoré umožňuje včasný režim vynútenia. Túto možnosť povolíte bez ohľadu na nastavenie databázy Registry vo fáze výkonu, ktorá sa začína 9. februára 2021:
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Hodnota |
FullSecureChannelProtection |
|
Typ údajov |
REG_DWORD |
|
Údaje |
1 – umožňuje to režim vynucovania. Radiče domén depopierajú zraniteľné pripojenia zabezpečeného kanála Netlogon, pokiaľ konto nie je povolené v zozname vytvorenie zraniteľného pripojenia v radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika. 0 – DCs bude umožňovať zraniteľné pripojenia zabezpečeného kanála Netlogon v zariadeniach, ktoré nie sú vo Windowse. Táto možnosť sa vo vydaní etapy vynútenia nezastará. |
|
Vyžaduje sa reštart? |
Nie |
Implementácia zariadení tretej strany [MS-NRPC]: Vzdialený protokol Netlogon
Všetci klienti tretej strany alebo servery musia používať zabezpečené služby RPC pomocou zabezpečeného kanála Netlogon. Ak chcete zistiť, či je ich softvér kompatibilný s najnovším vzdialeným protokolom Netlogon, obráťte sa na výrobcu zariadenia OEM alebo dodávateľa softvéru.
Aktualizácie protokolu nájdete na lokalite s dokumentačnými protokolmi systému Windows.
Najčastejšie otázky
-
Windows & tretích strán pripojené zariadenia, ktoré majú kontá počítačov v službe Active Directory (AD)
-
Windows Server & radiče domén tretej strany v dôveryhodných & dôveryhodnosti domén, ktoré majú kontá dôveryhodnosti v REKLAMnej aplikácii
Zariadenia tretích strán môžu byť nevyhovujúce. Ak vaše riešenie tretích strán spravuje konto počítača v REKLAMe, obráťte sa na dodávateľa a zistite, či sa vám to nevzťahuje.
Oneskorenia v REKLAMe a replikácii v SYSVOL alebo zlyhaní aplikácie skupinovej politiky v overovaní DC môžu spôsobiť zmeny skupinovej politiky "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika byť neprítomná a mať za následok odmietnutie účtu.
Tento problém môže vyriešiť nasledujúci postup:
-
Ak ste nakonfigurovali politiku tak, aby obsahovala skupinu a vykonali sa zmeny členstva v skupinách na pridanie konta, skontrolujte, či sa v radiči domény, ktorá odmietla pripojenie, replikujú zmeny členstva v skupine lokálne. Poznámka: Neodporúča sa pridať kontá priamo do skupinovej politiky.
-
Ak ste vykonali zmeny v politike a pridali nové konto alebo novú skupinu, skontrolujte, či sa zmena politiky replikuje a použije: Spustenie príkazov gpupdate/Force a gpresult prepínač/h nemá
-
Ďalšie informácie o riešení problémov s aplikáciou skupinovej politiky a súvisiacich súčastiach nájdete v týchto témach:
Podporované verzie Windowsu , ktoré boli úplne aktualizované, by sa podľa predvoleného nastavenia nemali používať zraniteľné pripojenia zabezpečeného kanála Netlogon. Ak sa udalosť ID 5827 prihlási do denníka systémových udalostí pre zariadenie s Windowsom:
-
Skontrolujte, či je v zariadení spustené podporované verzie Windowsu.
-
Skontrolujte, či je zariadenie úplne aktualizované z Windows Update.
-
Uistite sa, že člena domény: Digitálne šifrovanie alebo podpisovanie údajov zabezpečeného kanála (vždy) nastavená na možnosť povolené v objekte GPO, ktorý je prepojený s OU pre všetky vaše radiče domén, ako je napríklad predvolený objekt GPO radičov domén.
Áno, mali by sa aktualizovať, ale nie sú osobitne zraniteľné ako CVE-2020-1472.
Nie, radiče domén (DCs) sú jedinou rolou, ktorú ovplyvňuje CVE-2020-1472 a môžu byť aktualizované nezávisle od iných ako doménových serverov Windows.
Windows Server 2008 SP2 nie je zraniteľný pre túto konkrétnu CVE, pretože nepoužíva hodnotu AES pre zabezpečené RPC.
Áno, na inštaláciu aktualizácií na adresu CVE-2020-1472 pre Windows Server 2008 R2 SP1 bude potrebná rozšírená aktualizácia zabezpečenia (ESU) .
Na2020 sadením aktualizácií pre všetky radiče domén vo vašom prostredí.
Uistite sa, že žiadny z zariadení pridaný do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika mať podnikovú správu alebo služby s privilégiami správcu domén, ako napríklad SCCM alebo Microsoft Exchange. Poznámka: Akékoľvek zariadenie v zozname povolených bude mať povolené používať zraniteľné pripojenia a dokáže vystaviť prostredie útoku.
Inštalácia aktualizácií vydaná 11. augusta 2020 alebo novšia na radičoch domén chráni kontá počítačov s Windowsom, kontá dôveryhodnosti a kontá radiča domény.
Kontá služby Active Directory pre doménu pripojené k zariadeniam tretích strán nie sú chránené dovtedy, kým sa nenasadí režim vynucovania. Kontá počítačov sa nechránia aj v prípade, že sa pridajú do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
Uistite sa, že všetky radiče domén vo vašom prostredí nainštalovali aktualizácie z 11. augusta 2020 alebo novšej.
Všetky identity zariadení, ktoré boli pridané do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika nebude zraniteľná pre útok.
Uistite sa, že všetky radiče domén vo vašom prostredí nainštalovali aktualizácie z 11. augusta 2020 alebo novšej.
Režim vynucovania umožňuje zabrániť zraniteľným pripojeniam od nevyhovujúcich identít zariadení tretej strany.
Poznámka: S povoleným režimom vynútenia sa každá identita zariadenia tretej strany, ktorá bola pridaná do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika naďalej bude zraniteľná a môže umožňovať útočníkovi neoprávnený prístup k vašej sieti alebo zariadeniam.
Režim vynucovania oznámi, že radiče domén nepovoľujú pripojenie prostredníctvom protokolu Netlogon z zariadení, ktoré nepoužívajú zabezpečené RPC, pokiaľ toto konto zariadenia nebolo pridané do "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika.
Ďalšie informácie nájdete v téme hodnota databázy Registry v časti režim vynucovania .
Iba počítačové kontá pre zariadenia, ktoré nie je možné zabezpečiť zabezpečením zabezpečenia služby RPC na zabezpečenom kanáli Netlogon, by sa mali pridať do skupinovej politiky. Odporúča sa, aby tieto zariadenia zodpovedali alebo nahradili tieto zariadenia, aby chránili vaše prostredie.
Útočník si môže vziať cez počítačovú identitu služby Active Directory, ktorá je priradená k skupinovej politike, a následne využívať všetky povolenia, ktoré má v počítači identita.
Ak máte zariadenie tretej strany, ktoré nepodporuje zabezpečené služby RPC pre zabezpečený kanál Netlogon a vy chcete povoliť režim vynucovania, mali by ste do skupinovej politiky Pridať konto zariadenia. Toto sa neodporúča a môže sa stať, že vaša doména bude v potenciálne zraniteľnej oblasti. Odporúča sa používať túto skupinovú politiku na to, aby ste mohli čas aktualizovať alebo nahradiť všetky zariadenia tretej strany, aby boli kompatibilné.
Režim presadzovania by mal byť povolený čo najskôr. Akékoľvek zariadenie tretej strany bude musieť byť riešené buď tak, že ich vyhovuje alebo ich pridáte do "radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika. Poznámka: Akékoľvek zariadenie v zozname povolených bude mať povolené používať zraniteľné pripojenia a dokáže vystaviť prostredie útoku.
Slovník
|
Výraz |
Definícia |
|
AD |
Služba Active Directory |
|
DC |
Radič domény |
|
Kľúč databázy Registry, ktorý umožňuje umožniť režim vynucovania pred 9. februárom 2021. |
|
|
Fáza počnúc 9. februára 2021 aktualizácie, v ktorých bude režim vynucovania zapnutý vo všetkých radičoch domén systému Windows bez ohľadu na nastavenie databázy Registry. Radiče domén odmietli zraniteľné pripojenia zo všetkých nevyhovujúcich zariadení, pokiaľ sa nepridajú do radič domény: Povoliť zraniteľné pripojenia zabezpečeného kanála Netlogon "Skupinová politika. |
|
|
Fáza začínajúca na 11. augusta 2020 aktualizuje a pokračuje s neskoršími aktualizáciami dovtedy, kým sa nedosiahne fáza vynútenia. |
|
|
konto počítača |
Označuje sa aj ako objekt služby Active Directory, počítač alebo počítač. Pozrite si tému glosár v NPRC pre úplnú definíciu. |
|
Vzdialený protokol Microsoft Netlogon |
|
|
Nevyhovujúce zariadenie |
Nevyhovujúce zariadenie je také, ktoré používa zraniteľné pripojenie prostredníctvom zabezpečeného kanála Netlogon. |
|
RODC |
radiče domén iba na čítanie |
|
Zraniteľné pripojenie |
Zraniteľným prepojením je zabezpečené pripojenie cez Netlogon, ktoré nepoužíva zabezpečené RPC. |
