Povzetek
Oddaljeni protokol Netlogon (imenovan tudi MS-NRPC) je vmesnik RPC, ki se uporablja izključno v napravah, ki so povezani z domeno. MS-NRPC vključuje način preverjanja pristnosti in način za vzpostavitev varnega kanala v storitvi Netlogon. Te posodobitve uveljavijo navedeno obnašanje odjemalca za Netlogon tako, da uporabljajo Secure RPC z varnim kanalom Netlogon med članoma računalnikov in krmilniki imenika Active Directory (AD) (DC).
Ta varnostna posodobitev obravnava ranljivost z uveljavljanjem storitve Secure RPC, ko uporabljate varni kanal za Netlogon v fazah izdaje, ki je razloženo v časovnem razporedu posodobitev za naslavljanje ranljivosti Netlogon CVE-2020-1472 . Če želite zagotoviti zaščito pred gozdovi, je treba posodobiti vse DCs. ker bodo uveljavili varni RPC z varnim kanalom Netlogon. To vključuje krmilnike domene, ki so samo za branje (RODC).
Če želite izvedeti več o ranljivosti, glejte CVE-2020-1472.
Dejanje
Če želite zaščititi okolico in preprečiti izpadi, morate narediti to:
Opomba 1. korak za namestitev posodobitev, izdanih 11. avgusta 2020 ali novejše različice, bo obravnavana varnostna težava v CVE – 2020-1472 za domene in zaupanja imenika Active Directory ter v napravah s sistemom Windows. Če želite v celoti ublažiti varnostno težavo za naprave tretje osebe, boste morali dokončati vse korake.
Opozorilo Od februarja 2021 bo način izvršitve omogočen za vse krmilnike domene v sistemu Windows in bo blokiral občutljive povezave iz neskladnih naprav. V tem času ne boste mogli onemogočiti načina izvrševanja.
-
Posodobite krmilnike domene z izdano posodobitvijo 11. avgusta 2020 ali novejšo različico.
-
Ugotovite , katere naprave izdelujejo občutljive povezave tako, da spremljajo dnevnike dogodkov.
-
Naslov naprave, ki niso skladne s predpisi, ki so občutljive povezave.
-
Omogočite način izvršbe za naslov CVE-2020-1472 v vašem okolju.
Opomba Če uporabljate operacijski sistem Windows Server 2008 R2 SP1, potrebujete licenco za razširjeno varnostno posodobitev, s katero lahko uspešno namestite vsako posodobitev, ki odpravlja to težavo. Če želite več informacij o programu ESU, si oglejte pogosta vprašanja o življenjskem ciklu – razširjene varnostne posodobitve.
V tem članku:
-
Čas posodobitev za naslavljanje ranljivosti storitve Netlogon CVE-2020-1472
-
Navodila za uvedbo – uvajanje posodobitev in uveljavljanje skladnosti s predpisi
-
» krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel « pravilnik skupine
-
Napake dnevnika dogodkov sistema Windows, ki so povezane z CVE-2020-1472
-
naprave tretjih oseb, ki izvajajo [MS-NRPC]: Oddaljeni protokol Netlogon
Čas posodobitev za naslavljanje ranljivosti storitve Netlogon CVE-2020-1472
Posodobitve bodo izdane v dveh fazah: začetna faza za posodobitve, ki so bile izdane v ali po 11. avgustu 2020, in fazo uveljavljanja posodobitev, ki so bile izdane 9. februarja 2021.
11. avgust 2020 – začetna faza uvajanja
Začetna faza uvajanja se začne z posodobitvami, ki so bile izdane 11. avgusta 2020, in se nadaljuje z kasnejšimi posodobitvami do faze uveljavljanja. S temi in poznejšimi posodobitvami spremenite protokol Netlogon za zaščito naprav s sistemom Windows privzeto, dnevniki dogodkov za neskladne odkrivanje naprave in doda možnost, da omogoči zaščito za vse naprave, ki so povezane z domeno, z eksplicitnimi izjemami. Ta izdaja:
-
Uveljavi varno uporabo RPC za račune računalnikov v napravah s sistemom Windows.
-
Uveljavi varno uporabo RPC za skrbniške račune.
-
Uveljavi varno uporabo RPC za vse naprave s sistemom Windows in ne s sistemom Windows DCs.
-
Vključuje nov pravilnik skupine, ki omogoča neskladne račune naprave (tiste, ki uporabljajo občutljive povezave v storitvi Netlogon Secure Channel). Tudi če se DCs izvaja v načinu uveljavljanja ali ko se začne faza uveljavljanja , dovoljene naprave ne bodo zavrnjene povezave.
-
Registrski ključ FullSecureChannelProtection, ki omogoča način izvršitve v DC za vse račune računalnika (faza izvrševanja bo posodobil načinobračuna DCS na DC).
-
Vključuje nove dogodke, ko so računi zavrnjeni ali pa so zavrnjeni v načinu uveljavljanja DC (in bodo še naprej v fazi uveljavljanja). V nadaljevanju tega članka so razloženi določeni ID-ji dogodkov.
Blažitev je sestavljena iz nameščanja posodobitve v vse DCs in RODCs, spremljanje novih dogodkov in naslavljanje neskladnih naprav, ki uporabljajo občutljive povezave storitve Netlogon Secure Channel. V napravah z napravami, ki niso skladne s predpisi, lahko uporabite občutljive povezave z varnim kanalom Netlogon. vendar pa jih je treba posodobiti tako, da podpirajo varno RPC za Netlogon in račun, ki je bil izvršen čim prej, da odpravite tveganje napada.
9. februar 2021 – faza uveljavljanja
9. februarja 2021, ki je izšla, prehaja v fazo uveljavljanja. DCs bo zdaj v načinu izvrševanja , ne glede na registrski ključ načina izvrševanja. Za to morajo vse naprave s sistemom Windows in ne-Windows uporabljati varni RPC z varnim kanalom Netlogon ali izrecno dovoliti račun z dodajanjem izjeme za naprave, ki niso skladne s predpisi. Ta izdaja:
-
Uveljavi varno uporabo RPC za obračune računalnikov v napravah, ki niso na voljo v sistemu Windows, razen če to dovoljuje » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
-
Pisanje dnevnika z ID-jem dogodka 5829 bo odstranjeno. Ker so vse občutljive povezave zavrnjene, boste videli, da so v dnevniku dogodkov sistema prikazani le ID-ji dogodkov 5827 in 5828.
Navodila za uvedbo – uvajanje posodobitev in uveljavljanje skladnosti s predpisi
Začetna faza uvajanja bo sestavljena iz teh korakov:
-
Uvedba enajstih posodobitevza vse DCS v gozdu.
-
(a) monitor za opozorilne dogodkein (b) deluje v vsakem dogodku.
-
(a) ko so vsi opozorilni dogodki obravnavani, lahko z uvedbo načina za uveljavljanjeDC-a omogočite polno zaščito. (b) vsa opozorila bi morala biti odpravljena pred posodobitvijo faze izvrševanja 9. februarja 2021.
1. korak: POSODOBITEV
Uvedba 11. avgusta 2020 posodobitve
Uvedba enajstih posodobitev, ki so na voljo za vse veljavne krmilnike domene (DCs) v gozdu, vključno z krmilniki domene samo za branje (RODCs). Ko uvajate to posodobitev, bo krpar DCs:
-
Začnite uveljavljati varno uporabo RPC za vse račune v napravi s sistemom Windows, skrbniške račune in vse DCs.
-
Zabeležite dnevnike dogodkov 5827 in 5828 v sistemskem dnevniku dogodkov, če so povezave zavrnjene.
-
Zabeležite dnevnike dogodkov 5830 in 5831 v dnevniku dogodkov sistema, če so povezave dovoljene z » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
-
ID dnevnika dogodkov 5829 v dnevniku sistemskih dogodkov vsakič, ko je dovoljena ranljiva povezava Netlogon za varno povezavo z omrežjem. Te dogodke je treba odpraviti, preden je način za uveljavljanje DC konfiguriran ali preden se začne faza izvršitve 9. februarja 2021.
korak 2a: Poiščite
Odkrivanje naprav, ki niso skladne z ID-jem dogodka 5829
Ko je 11. avgusta 2020 posodobitve, ki so bile uporabljene v storitvi DCs, se lahko dogodki zbirajo v dnevnikih dogodkov DC, da ugotovite, katere naprave v vašem okolju uporabljajo občutljive povezave na varnem kanalu v storitvi Netlogon (ki niso skladne z napravami v tem članku). Monitor krpar DCs za dogodek ID 5829 dogodkov. Dogodki vključujejo pomembne informacije, s katerimi lahko identificirate naprave, ki niso skladne s predpisi.
Če želite nadzorovati dogodke, uporabite programsko opremo za nadzor dogodkov, ki je na voljo, ali z uporabo skripta za nadzor nad storitvijo DCs. Če si želite ogledati primer skripta, ki ga lahko prilagodite v svojem okolju, glejte skript za pomoč pri nadzoru ID-jev dogodkov, ki so povezani z posodobitvami storitve Netlogon za CVE-2020-1472
korak 2b: NASLOV
Obravnavanje ID-jev dogodkov 5827 in 5828
Privzeto podprte različice sistema Windows , ki so bile v celoti posodobljene, ne bodo uporabljale občutljivih povezav Netlogon Secure Channel. Če je eden od teh dogodkov prijavljen v sistemski dnevnik dogodkov za napravo s sistemom Windows:
-
Prepričajte se, da je v napravi nameščeno podprto različico sistema Windows.
-
Prepričajte se, da je naprava popolnoma posodobljena.
-
Preverite, ali je član domene: Digitalno šifriranje ali znak varnih podatkov kanala (vedno) nastavljeno na omogočeno.
Za naprave, ki niso v sistemu Windows, ki delujejo kot DC, bodo ti dogodki prijavljeni v dnevniku sistemskih dogodkov, ko boste uporabljali občutljive povezave za storitev Netlogon Secure Channel. Če je eden od teh dogodkov prijavljen:
-
Priporočeno Delo z izdelovalcem naprave (OEM) ali s prodajalcem programske opreme za pridobitev podpore za Secure RPC z varnim kanalom Netlogon
-
Če DC, ki ni skladen s predpisi, podpira varno RPC z varnim kanalom Netlogon, omogočite Secure RPC v DC-ju.
-
Če DC, ki ni skladen s posebnimi potrebami trenutno ne podpira varnega RPC, dela z izdelovalcem naprave (OEM) ali prodajalcem programske opreme, da dobi posodobitev, ki podpira varno RPC z varnim kanalom Netlogon.
-
Umakniti neskladen DC.
-
-
Občutljive Če DC, ki ni skladen s predpisi, ne more podpirati varnih RPC z varnim kanalom v storitvi Netlogon, preden so v načinu izvrševanja, dodajte DC z uporabo » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel, ki so opisane spodaj.
Opozorilo Če želite, da DCs uporablja občutljive povezave z zvitimi povezavami, bo gozd izpostavljen napadom. Končni cilj mora obravnavati in odstraniti vse račune iz te pravilnike skupine.
Obravnavanje dogodka 5829
ID dogodka 5829 se ustvari, ko je med začetno uvajalno fazo omogočena ranljiva povezava. Te povezave bodo zavrnjene, ko so v načinu uveljavljanjaDCS. V teh dogodkih se premaknite v razdelek» ime računalnika «,» domena «in» različica OS «, ki določata, da določite naprave, ki niso skladne s predpisi, in kako jih morate obravnavati.
Način naslavljanja naprav, ki niso skladne s predpisi:
-
Priporočeno Sodelujte z izdelovalcem naprave (OEM) ali z dobaviteljem programske opreme, da pridobite podporo za Secure RPC s storitvijo Secure Channel za Netlogon:
-
Če naprava, ki ni v skladu s predpisi, podpira varno RPC z varnim kanalom Netlogon in nato omogočite Secure RPC v napravi.
-
Če naprava, ki ni v skladu s predpisi, trenutno ne podpira varnega RPC-a z varnim kanalom Netlogon, lahko z izdelovalcem naprave ali z dobaviteljem programske opreme dobite posodobitev, ki omogoča, da je varno RPC z varnim kanalom Netlogon omogočeno.
-
Umakniti neskladne naprave.
-
-
Občutljive Če naprava, ki ni v skladu s predpisi, ne more podpirati varnega RPC-a z varnim kanalom za Netlogon, preden je DCs v načinu izvrševanja, dodajte napravo z uporabo » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel, ki so opisane spodaj.
Opozorilo Če želite, da računi naprave uporabljajo občutljive povezave s pravilnikom skupine, bodo ti računi AD ogroženi. Končni cilj mora obravnavati in odstraniti vse račune iz te pravilnike skupine.
Omogočanje občutljivih povezav v napravah tretjih oseb
Uporabite » Domain Controller: Dovoli občutljive povezave v storitvi Netlogon Secure Channel " pravilnika skupine za dodajanje računov, ki niso skladne s predpisi. To bi morali obravnavati le kot kratkotrajno pravno sredstvo, dokler niso v skladu z navodili neskladne naprave, kot je opisano zgoraj. Opomba Če omogočite občutljive povezave v napravah, ki niso skladne s predpisi, je morda neznan varnostni vpliv, zato bi moralo biti previden.
-
Ustvarjena je varnostna skupina za račune, ki bodo lahko uporabljali varni kanal Netlogon.
-
V pravilniku skupine odprite konfiguracijo računalnika > nastavitve sistema Windows > varnostne nastavitve > lokalni pravilniki > varnostne možnosti
-
Poiščite » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «.
-
Če je v skupini skrbnik ali če je prisoten kateri koli skupini, ki ni posebej ustvarjena za uporabo s tem pravilnikom skupine, jo odstranite.
-
Dodajte varnostno skupino, ki je posebej narejena za uporabo s tem pravilnikom skupine, z deskriptorjem varnosti z dovoljenjem» dovoli «. Opomba Dovoljenje» zavrnitev «deluje na enak način, kot če račun ni bil dodan, tj. obračuni ne bodo dovoljeni za ustvarjanje varnih kanalov za Netlogon.
-
Ko je dodana varnostna skupina (e), se mora pravilnik skupine replicirati v vsak DC.
-
Redno Spremljajte dogodke 5827, 5828 in 5829, da ugotovite, kateri računi bodo uporabljali občutljive povezave varnih kanalov.
-
Po potrebi dodajte te račune v varnostna skupina. Najboljša praksa Uporabite varnostne skupine v pravilniku skupine in dodajte račune skupini, tako da je članstvo replicirano prek običajnega replikacije AD. S tem preprečite pogoste posodobitve pravilnika skupine in zamude pri replikaciji.
Ko so odpravljene vse naprave, ki niso skladne s predpisi, lahko prestavite DCs v način izvršbe (glejte naslednji razdelek).
Opozorilo Če želite, da DCs uporablja občutljive povezave za skrbniške račune v pravilniku skupine, bo gozd ogrožen zaradi napada. Računi zaupanja so po navadi poimenovani po zaupanja vredni domeni, npr.: DC v domeni – ima zaupanje v DC v domeni-b. Interno je DC v domeni – ima račun zaupanja z imenom» Domain-b $ «, ki predstavlja predmet zaupanja za Domain-b. Če je DC v domeni – želi, da bi bil gozd izpostavljen tveganju napadov tako, da dovoli občutljive povezave storitve Netlogon Secure Channel iz skrbniškega računa» Domain-b «, lahko skrbnik uporabi funkcijo Add-adgroupmember – Identity "ime varnostne skupine" – člani "Domain-b $", da dodate račun zaupanja v varnostno skupino.
korak 3a: Omogočanje
Prehod na način izvršbe pred fazo izvršitve iz februarja 2021
Ko so vse naprave, ki niso skladne s predpisi, obravnavane tako, da omogočijo varno RPC ali tako, da omogočijo občutljive povezave z «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine, nastavite registrski ključ FullSecureChannelProtection na 1.
Opomba Če uporabljate » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine, poskrbite, da je pravilnik skupine repliciran in uporabljen za vse DCs, preden nastavite registrski ključ FullSecureChannelProtection.
Ko je uveden FullSecureChannelProtection registrski ključ, bo DCs v načinu izvrševanja. Ta nastavitev zahteva, da so v vseh napravah, ki uporabljajo storitev Netlogon Secure Channel:
-
Uporabite varni RPC.
-
Omogočena je » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
Opozorilo Odjemalci tretjih oseb, ki ne podpirajo storitve Secure RPC s povezavami varnih kanalov v storitvi Netlogon, bodo zavrnjeni, ko bo uveden registrski ključ za DC izvrševanje , ki lahko prekine storitev pridobivanja.
korak 3b: Faza uveljavljanja
Uvedba 9. februarja 2021 posodobitve
Uvedba posodobitev, ki so bile izdane 9. februarja 2021 ali novejša, bo vklopljena. način za uveljavljanjeDC. Način izvršbe DC je v tem, da morajo biti vse povezave Netlogon zahtevane za uporabo varnih RPC ali pa je bil račun dodan v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. V tem trenutku FullSecureChannelProtection registrski ključ ni več potreben in ne bo več podprt.
» Krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine
Najboljši način je, da uporabite varnostne skupine v pravilniku skupine, tako da je članstvo replicirano prek običajnega replikacije AD. S tem preprečite pogoste posodobitve pravilnika skupine in zamude pri replikaciji.
Pot pravilnika in ime nastavitve |
Opis |
Pot pravilnika: Konfiguracija računalnika > nastavitve sistema Windows > varnostne nastavitve > lokalni pravilniki > možnosti varnosti Ali potrebujete vnovični zagon? Ne |
Ta varnostna nastavitev določa, ali krmilnik domene obračuna varno RPC za povezave z varnim kanalom za storitve Netlogon za določene računalnikove račune. Ta pravilnik naj bo uporabljen za vse krmilnike domene v gozdu tako, da bo omogočal pravilnik za krmilnike domene OU. Ko je konfigurirana možnost ustvari občutljive povezave (seznam dovoljenih):
Opozorilo Če omogočite ta pravilnik, bodo izpostavljene vaše naprave, ki so se pridružile domeni, in vaš gozd imenika Active Directory, ki jih lahko ogrozi. Ta pravilnik naj bo uporabljen kot začasni ukrep za naprave tretjih oseb, medtem ko uvajate posodobitve. Ko je naprava tretjih oseb posodobljena tako, da podpira uporabo varnih RPC z varnimi kanali v storitvi Netlogon, je treba račun odstraniti s seznama ustvari občutljive povezave. Če želite bolje razumeti tveganje, da se računi konfigurirajo tako, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.microsoft.com/fwlink/?linkid=2133485. Privzeto Ta pravilnik ni konfiguriran. Nobeni računalniki ali računi zaupanja niso eksplicitno izvzeti iz varnih RPC z zaščito povezav prek varnih kanalov za Netlogon. Ta pravilnik je podprt v sistemih Windows Server 2008 R2 SP1 in novejših različicah. |
Napake dnevnika dogodkov sistema Windows, ki so povezane z CVE-2020-1472
Na voljo so tri kategorije dogodkov:
1. Dogodki, prijavljeni, ko je povezava zavrnjena, ker je bil poskus občutljive povezave z varnim kanalom Netlogon:
-
Napaka» 5827 «(računi računalnika)
-
Napaka» 5828 «(računi zaupanja)
2. Dogodki, ki so bili prijavljeni, ko je povezava omogočena, ker je bil račun dodan v «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine:
-
Opozorilo 5830 (račun za strojno)
-
Opozorilo 5831 (računi zaupanja)
3. Dogodki, ki so bili prijavljeni, ko je povezava omogočena v prvotni izdaji, ki bo zavrnjena v načinu za izvrševanjeDC:
-
Opozorilo 5829 (račun za strojno)
ID dogodka 5827
ID dogodka 5827 bo zabeležen, ko je onemogočena povezava varni kanal Netlogon iz računalnika zavrnjena.
Dnevnik dogodkov |
Sistem |
Vir dogodka |
NETLOGON |
ID dogodka |
5827 |
Raven |
Napaka |
Besedilo sporočila z dogodkom |
Storitev Netlogon je zavrnila ranljivo povezavo storitve Netlogon Secure Channel iz računalnika. Naprava SamAccountName: Domena: Vrsta računa: Operacijski sistem za naprave: Naprava za ustvarjanje operacijskega sistema: Servisni paket za operacijski sistem za naprave: Če želite več informacij o tem, zakaj je bila ta zavrnitev zavrnjena, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID dogodka 5828
ID dogodka 5828 bo zabeležen, ko je onemogočena povezava varni kanal Netlogon iz skrbniškega računa zavrnjena.
Dnevnik dogodkov |
Sistem |
Vir dogodka |
NETLOGON |
ID dogodka |
5828 |
Raven |
Napaka |
Besedilo sporočila z dogodkom |
Storitev Netlogon je nevarna povezava z varnim kanalom Netlogon zavrnjena s skrbniškim računom. Vrsta računa: Ime zaupanja: Tarča zaupanja: Naslov IP odjemalca: Če želite več informacij o tem, zakaj je bila ta zavrnitev zavrnjena, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID dogodka 5829
ID dogodka 5829 bo prijavljen le med začetno fazo uvajanja, če je na voljo ranljiva povezava storitve Netlogon Secure Channel iz računalnika.
Ko uvedete način za uveljavljanje DC ali ko se faza izvršitve začne z uvedbo posodobitev 9. februarja 2021, bodo te povezave zavrnjene, ID dogodka 5827 pa bo zabeležen. Zato je pomembno, da monitor za dogodek 5829 med začetno fazo uvajanja in deluje pred fazo uveljavljanja, da se izognete izpadom.
Dnevnik dogodkov |
Sistem |
Vir dogodkov |
NETLOGON |
ID dogodka |
5829 |
Ravni |
Opozorilo |
Besedilo sporočila z dogodkom |
Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel. Opozorilo: Ta povezava bo zavrnjena, ko je izdana faza izvršitve. Če želite bolje razumeti fazo uveljavljanja, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485. Naprava SamAccountName: Domena: Vrsta računa: Operacijski sistem za naprave: Naprava za ustvarjanje operacijskega sistema: Servisni paket za operacijski sistem za naprave: |
ID dogodka 5830
ID dogodka 5830 bo zabeležen, ko je v storitvi na voljo ranljiva povezava za računalnik s storitvijo Secure Channel, ki je omogočena z » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
Dnevnik dogodkov |
Sistem |
Vir dogodka |
NETLOGON |
ID dogodka |
5830 |
Raven |
Opozorilo |
Besedilo sporočila z dogodkom |
Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel, ker je račun računalnika dovoljen v» krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine. Opozorilo: Če uporabljate občutljive kanale za Netlogon, bodo na voljo naprave, ki so se pridružile domeni. Če želite zaščititi napravo pred napadom, odstranite račun računalnika iz» krmilnik domene: Dovoli občutljive povezave storitve Netlogon Secure Channel «, ko je bil posodobljen odjemalec za Netlogon tretje osebe. Če želite bolje razumeti tveganje konfiguracije računalnikov, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485. Naprava SamAccountName: Domena: Vrsta računa: Operacijski sistem za naprave: Naprava za ustvarjanje operacijskega sistema: Servisni paket za operacijski sistem za naprave: |
ID dogodka 5831
ID dogodka 5831 bo zabeležen, ko je na voljo ranljiva povezava skrbniškega računa za storitev Netlogon Secure Channel » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
Dnevnik dogodkov |
Sistem |
Vir dogodka |
NETLOGON |
ID dogodka |
5831 |
Raven |
Opozorilo |
Besedilo sporočila z dogodkom |
Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel, ker je skrbniški račun omogočen v» krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine. Opozorilo: Če uporabljate občutljive kanale Netlogon, bodo gozdovi imenika Active Directory izpostavili napad. Če želite zaščititi gozdove imenika Active Directory pred napadom, morajo vse zaupanje uporabljati varni RPC z varnim kanalom Netlogon. Odstranite račun zaupanja iz» Domain Controller: Dovoli občutljive povezave storitve Netlogon Secure Channel «, ki so na voljo, ko je bil uporabnik storitve Netlogon v krmilniku domene posodobljen. Če želite bolje razumeti tveganje konfiguracije skrbniških računov, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485. Vrsta računa: Ime zaupanja: Tarča zaupanja: Naslov IP odjemalca: |
Vrednost registra za način izvršbe
Če z urejevalnikom registra ali na drug način nepravilno spremenite register, lahko pride do težav z opozorilom o resnih težavah. Zaradi teh težav boste morda morali znova namestiti operacijski sistem. Microsoft ne more zagotoviti, da bo te težave mogoče odpraviti. Spremenite register na lastno odgovornost.
11. avgusta 2020 posodobitve uvedejo to nastavitev registra, da bodo omogočili zgodnji način izvršitve. To bo omogočeno ne glede na nastavitev registra v fazi uveljavljanja, ki se začne 9. februarja 2021:
Podključ registra |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Vrednost |
FullSecureChannelProtection |
Podatkovni tip |
REG_DWORD |
Podatki |
1 – omogoči način izvršitve. DCs bo zanikal občutljive povezave v storitvi Netlogon Secure Channel, razen če je račun omogočen z ustvarjanjem občutljivega seznama povezav v «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. 0 – DCs bo omogočilo občutljive povezave storitve Netlogon Secure Channel iz naprav, ki niso povezane s sistemom Windows. Ta možnost bo zastarela v izdaji faze izvršbe. |
Ali potrebujete vnovični zagon? |
Ne |
Naprave tretjih oseb, ki izvajajo [MS-NRPC]: Oddaljeni protokol Netlogon
Vsi odjemalci in strežniki tretjih oseb morajo uporabljati varni RPC z varnim kanalom Netlogon. Obrnite se na izdelovalca naprave (OEM) ali prodajalce programske opreme, da ugotovite, ali je programska oprema združljiva z najnovejšim oddaljenim protokolom za Netlogon.
Posodobitve protokolov najdete na spletnem mestu dokumentacija protokola sistema Windows.
Pogosta vprašanja (FAQ)
-
Naprave, ki so se pridružile sistemu Windows & tretjih oseb, ki so v imeniku Active Directory (AD).
-
Windows Server & krmilniki domen tretjih oseb v zaupanja vrednih & zaupanje domen, ki imajo račune zaupanja v AD
Naprave tretjih oseb morda niso skladne s predpisi. Če rešitev tretje osebe vzdržuje račun računalnika v AD, se obrnite na dobavitelja, da ugotovite, ali vplivate nanj.
Zamude v replikaciji AD in SYSVOL ali neuspela uporaba pravilnika skupine v storitvi preverjanje pristnosti DC lahko povzročijo spremembe pravilnika skupine » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine, da ne bo več na voljo, zato je račun zavrnjen.
V teh navodilih boste morda lažje odpravili težavo:
-
Če ste pravilnik konfigurirali tako, da vsebuje skupino in da je prišlo do sprememb članstva v skupini, da dodate račun, preverite, ali je DC, ki je zanikal povezavo, repliciral spremembe članstva v skupini lokalno. Opomba Ne priporočamo, da dodate račune neposredno na pravilnik skupine.
-
Če ste spremenili pravilnik in dodali nov račun ali novo skupino, preverite, ali je spremenjena sprememba pravilnikov in uporabljeno: Zaženite ukaze gpupdate/Force in gpresult stikalo/h nima
-
Če želite več informacij o odpravljanju težav z aplikacijo pravilnikov skupine in odvisnimi povezanimi komponentami, glejte to:
Privzeto podprte različice sistema Windows , ki so bile v celoti posodobljene, ne bodo uporabljale občutljivih povezav Netlogon Secure Channel. Če je v dnevniku sistemskih dogodkov za napravo s sistemom Windows prijavljen ID dogodka 5827:
-
Prepričajte se, da je v napravi nameščeno podprto različico sistema Windows.
-
Prepričajte se, da je naprava v celoti posodobljena s storitvijo Windows Update.
-
Preverite, ali je član domene: Digitalno šifriranje ali podpisovanje podatkov varnih kanalov (vedno) je nastavljeno tako, da je omogočeno v predmetu GPO, ki je povezan z OU za vse vaše DCs, kot je privzeti krmilnik domene GPO.
Da, treba jih je posodobiti, vendar niso posebej dovzetne za CVE-2020-1472.
Ne, DCs so edina vloga, ki jo je prizadel CVE-2020-1472 , ki jo je mogoče posodobiti neodvisno od strežnikov Windows, ki niso DC in druge naprave s sistemom Windows.
Windows Server 2008 SP2 ne ogroža tega določenega CVE, ker ne uporablja AES za varno RPC.
Da, če želite namestiti posodobitve na naslov CVE-2020-1472 za Windows Server 2008 R2 SP1, potrebujete dodatno varnostno posodobitev (EEV) .
Tako, da uvajate 11. avgusta 2020 ali novejše posodobitve za vse krmilnike domene v vašem okolju.
Prepričajte se, da nobena od naprav, ki so dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine imate skrbniške storitve za podjetja ali domene, na primer SCCM ali Microsoft Exchange. Opomba Vse naprave, ki so na voljo na seznamu dovoljenih, bodo lahko uporabljale občutljive povezave in lahko vaše okolje izpostavijo napadalcu.
Namestitve posodobitev, ki so izšla 11. avgusta 2020 ali novejšo različico, krmilniki domene varujejo račune na računalniku s sistemom Windows, račune zaupanja in račune krmilnika domene.
Računi računalnikov imenika Active Directory za domene, ki so se pridružile tretjim osebam , niso zaščitene , dokler ne uvedejo načina za uveljavitev. Tudi računi računalnikov niso zaščiteni , če so dodani v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
Poskrbite, da bodo vsi krmilniki domene v vašem okolju namestili 11. avgusta 2020 ali novejše posodobitve.
Vse identitete naprave, ki so bile dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnika skupine bodo občutljive na napade.
Poskrbite, da bodo vsi krmilniki domene v vašem okolju namestili 11. avgusta 2020 ali novejše posodobitve.
Omogočite način izvršbe, da zavrnete občutljive povezave iz identitet tretjih oseb, ki niso skladne z drugimi osebami.
Opomba Z omogočenim načinom izvrševanja so vse identitete naprave tretjih oseb, ki so bile dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine bodo še vedno ranljivi in lahko nepooblaščenemu dostopu do vaše omrežje ali naprave omogočijo nepooblaščenim napadalcem.
Način izvršbe obvesti krmilnike domene, da ne dovolijo povezav Netlogon iz naprav, ki ne uporabljajo storitve Secure RPC, razen če so bile te naprave dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.
Če želite več informacij, glejte razdelek» vrednost registra «za način izvršbe .
V pravilnik skupine bodo dodani le računi računalnikov za naprave, ki jih ni mogoče zaščititi tako, da omogočijo varno RPC v varnem kanalu Netlogon. Priporočamo, da te naprave v skladu z njimi ali pa jih zamenjate za zaščito okolja.
Napadalec lahko prevzame identiteto stroja imenika Active Directory za kateri koli račun računalnika, ki je dodan pravilniku skupine, nato pa izkoristite vsa dovoljenja, ki jih je imela identiteta stroja.
Če imate napravo tretje osebe, ki ne podpira varnega RPC-a za varni kanal Netlogon in želite omogočiti način uveljavljanja, morate dodati osnovni račun za to napravo v pravilnik skupine. To ni priporočeno in bi lahko vaše domene pustilo v potencialno občutljivem stanju. Priporočeno je, da s tem pravilnikom skupine omogočite čas, da posodobite ali zamenjate vse naprave tretjih oseb, da bodo skladne s predpisi.
Način izvršbe je treba omogočiti čim prej. Vse naprave tretjih oseb bo treba obravnavati bodisi tako, da bodo skladne s predpisi ali pa jih dodate v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. Opomba Vse naprave, ki so na voljo na seznamu dovoljenih, bodo lahko uporabljale občutljive povezave in lahko vaše okolje izpostavijo napadalcu.
Besednjak
Izrazov |
Opredelitev |
AD |
Imenika Active Directory |
DC |
Krmilnik domene |
Registrski ključ, ki vam omogoča, da omogočite način uveljavljanja vnaprej 9. februarja 2021. |
|
Faza, ki se začne z 9. februarjem 2021 posodobitvami, kjer bo način za uveljavljanje omogočen za vse krmilnike domene sistema Windows, ne glede na nastavitev registra. DCs bo onemogočil občutljive povezave v vseh napravah, ki niso skladne s predpisi, razen če so dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. |
|
Faza, ki se začne z 11. Augustom 2020 posodobitvami, in se nadaljuje z kasnejšimi posodobitvami do faze uveljavljanja. |
|
račun računalnika |
Imenuje se tudi računalnik z imenikom Active Directory ali predmet računalnika. Če si želite ogledati polno definicijo, glejte Glosar MS-NPRC . |
Oddaljeni protokol programa Microsoft Netlogon |
|
Naprave, ki niso skladne s predpisi |
Naprava, ki ni skladna s predpisi, je tista, ki uporablja ranljivo povezavo z varnim kanalom v storitvi Netlogon. |
RODC |
krmilniki domene samo za branje |
Občutljive povezave |
Ranljiva povezava je povezava z varnim kanalom Netlogon, ki ne uporablja varnega RPC-a. |