Datum izvirne objave: 13. avgust 2025
ID zbirke znanja: 5066014
V tem članku:
Povzetek
CVE-2025-49716 odpravlja ranljivost za zavrnitev storitve, pri kateri lahko oddaljeni uporabniki, ki niso bili preverjeni, na podlagi Netlogon ustvari niz klicev oddaljene procedure (RPC), ki sčasoma porabljajo ves pomnilnik krmilnika domene (DC). Da bi to ranljivost ublažili, je bila v posodobitvi iz maja 2025 Varnost sistema Windows za Windows Server 2025 narejena sprememba kode in v juliju 2025 Varnost sistema Windows Posodobitve za vse druge platforme strežnika iz Windows Server 2008SP2 to Windows Server 2022, vključno. Ta posodobitev vključuje spremembo protokola Microsoft RPC Netlogon za utrjevanje varnosti. Ta sprememba izboljša varnost tako, da poostri preverjanja dostopa za nabor zahtev klicev oddaljene procedure (RPC). Po namestitvi te posodobitve krmilniki domene imenika Active Directory anonimnim odjemalcem ne dovolijo več priklica nekaterih zahtev RPC prek strežnika Netlogon RPC. Te zahteve so običajno povezane z mestom krmilnika domene.
Po tej spremembi lahko vplivate na &, vključno s programsko opremo za tiskanje datotek Samba. Samba je izdal posodobitev, da sprejme to spremembo. Če želite več informacij, glejte Samba 4.22.3 – opombe ob izdaji.
V primeru, ko prizadete programske opreme drugih proizvajalcev ni mogoče posodobiti, smo v posodobitvi iz avgusta 2025 izdali Varnost sistema Windows konfiguracijo. Ta sprememba uvaja preklopni gumb na osnovi registrskega ključa med privzetim načinom uveljavljanja, načinom nadzora, ki beleži spremembe, ne bo pa blokiral nenajavnih klicev Netlogon RPC in onemogočenega načina (ni priporočeno).)
Ukrepajte
Če želite zaščititi svoje okolje in se izogniti izpadom, najprej posodobite vse naprave, ki gostijo krmilnik domene imenika Active Directory ali vlogo strežnika LDS, tako da namestite najnovejše posodobitve sistema Windows. DCs that have the 8, 2025 or later Varnost sistema Windows Posodobitve (or Windows Server 2025 DCs with May updates) are secure-by-default and do not accept unauthenticated Netlogon-based RPC calls by default. DCs that have the august 12, 2025 or later Varnost sistema Windows Posodobitve do not accept unauthenticated Netlogon-based RPC calls by default, but can be configured to do so temporarily.
-
Spremljajte okolje in poiščite težave z dostopom. Če pride do tega, preverite, ali so korenske spremembe utrjenega klica oddaljene procedure v Netlogonu.
-
Če so nameščene samo julijske posodobitve, omogočite podrobno pisanje dnevnika v storitvi Netlogon z ukazom "Nltest.exe /dbflag:0x2080ffff" in nato spremljajte nastale dnevnike za vnose, podobne tej vrstici. Polji OpNum in Method se lahko razlikujeta in predstavljata metodo operacije in RPC, ki je bila blokirana:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: zavrnitev nepooblaščenega klica RPC iz [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Če so nameščene posodobitve sistema Windows v avgustu ali novejše, v svojih računalnikih poiščite Security-Netlogon dogodka 9015, da ugotovite, kateri klici RPC bodo zavrnjeni. Če so ti klici nujni, lahko med odpravljanjem težav začasno preklopite dc v način nadzora ali Onemogočen način.
-
Naredite spremembe tako, da aplikacija uporablja klice Netlogon RPC s preverjeno pristnostjo, ali pa se za dodatne informacije obrnite na prodajalca programske opreme.
-
-
Če krmilnike domene preklopite v način nadzora, spremljajte dogodek Security-Netlogon 9016, da ugotovite, kateri klici RPC bodo zavrnjeni, če vklopite način uveljavljanja. Nato naredite spremembe tako, da aplikacija uporablja preverjene klice Netlogon RPC ali se za dodatne informacije obrnite na prodajalca programske opreme.
Opomba: V strežnikih Windows 2008 SP2 in Windows 2008 R2 bodo ti dogodki v dnevnikih dogodkov sistema prikazani kot Dogodki storitve Netlogon 5844 oziroma 5845 za način uveljavljanja in način nadzora.
Časovna usklajenost posodobitev sistema Windows
Te posodobitve sistema Windows so bile izdane v več fazah:
-
Začetna sprememba leta Windows Server 2025 (13. maj 2025) – prvotna posodobitev, ki je bila otečena pred klici RPC, ki temeljijo na Netlogonu, je bila vključena v posodobitev RPC iz maja 2025 Varnost sistema Windows za Windows Server 2025.
-
Začetne spremembe na drugih platformah strežnika (8. julij 2025) – posodobitve, ki so se utrjela proti neauthenticated Netlogon temelji na klicih RPC za druge platforme server so bile vključene v juliju 2025 Varnost sistema Windows Posodobitve.
-
Dodajanje načina nadzora in onemogočenega načina (12. avgust 2025) – v avgustu 2025 so bile privzeto vključene tudi uveljavljanje z možnostjo načina nadzora ali onemogočenega Varnost sistema Windows Posodobitve.
-
Odstranitev načina nadzora in onemogočenega načina (TBD) – pozneje se lahko iz operacijskega sistema odstranita načina nadzora in Onemogočeno. Ta članek bo posodobljen, ko bodo potrjene dodatne podrobnosti.
Navodila za uvedbo
Če uvedete avgustovski Varnost sistema Windows Posodobitve želite konfigurirati računalnike v načinu nadzora ali onemogočenega, uvedi registrski ključ spodaj z ustrezno vrednostjo. Vnovični zagon ni potreben.
|
Steza |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Vrednost registra |
DCLocatorRPCSecurityPolicy |
|
Vrsta vrednosti |
REG_DWORD |
|
Podatki o vrednosti |
0 – Onemogočen način1 – način nadzora2 – način uveljavljanja (privzeto) |
Opomba: Zahteve, ki niso preverjene, bodo dovoljene tako v načinu nadzora kot tudi v onemogočenem načinu.
Novo dodani dogodki
V 12. avgustu 2025 Varnost sistema Windows Posodobitve s krmilniki domene sistema Windows Server 2012 dodali nove dnevnike dogodkov v Windows Server 2022:
|
Dnevnik dogodkov |
Microsoft-Windows-Security-Netlogon/Operational |
|
Vrsta dogodka |
Informacije |
|
ID dogodka |
9015 |
|
Besedilo dogodka |
Netlogon je zavrnil klic RPC. Pravilnik je v načinu vsili. Informacije o odjemalcu: Ime metode: %method% Method opnum: %opnum% Naslov odjemalca: <naslov IP> Identiteta odjemalca: <sid SID> Če želite več informacij, glejte https://aka.ms/dclocatorrpcpolicy. |
|
Dnevnik dogodkov |
Microsoft-Windows-Security-Netlogon/Operational |
|
Vrsta dogodka |
Informacije |
|
ID dogodka |
9016 |
|
Besedilo dogodka |
Netlogon je dovolil klic RPC, ki bi bil običajno zavrnjen. Pravilnik je v načinu nadzora. Informacije o odjemalcu: Ime metode: %method% Method opnum: %opnum% Naslov odjemalca: <naslov IP> Identiteta odjemalca: <sid SID> Če želite več informacij, glejte https://aka.ms/dclocatorrpcpolicy. |
Opomba: V strežnikih Windows 2008 s servisnim paketom SP2 in Windows 2008 R2 bodo ti dogodki prikazani v dnevnikih dogodkov sistema kot na netlogonskih dogodkih 5844 oziroma 5845 za načina uveljavljanja in nadzora.
Pogosta vprašanja
Krmilniki domene, ki niso posodobljeni z 8. julijem 2025 Varnost sistema Windows Posodobitve ali novejšim, bodo še vedno dovolili neov preverjene klice RPC na podlagi Netlogon & ne bodo beležili dogodkov, povezanih s to ranljivostjo.
Krmilniki domene, ki so posodobljeni z 8. julijem 2025 Varnost sistema Windows Posodobitve ne bodo dovolili klicev RPC, ki temeljijo na storitvi Netlogon, ne bodo pa beležili dogodka, ko je tak klic blokiran.
Krmilniki domene, ki so posodobljeni z 12. avgustom 2025 Varnost sistema Windows Posodobitve ali novejšim, privzeto ne dovolijo klicev RPC, ki temeljijo na Storitvi Netlogon, in zabeležijo dogodek, ko je tak klic blokiran.
Ne.
