Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Povzetek

Oddaljeni protokol Netlogon (imenovan tudi MS-NRPC) je vmesnik RPC, ki se uporablja izključno v napravah, ki so povezani z domeno. MS-NRPC vključuje način preverjanja pristnosti in način za vzpostavitev varnega kanala v storitvi Netlogon. Te posodobitve uveljavijo navedeno obnašanje odjemalca za Netlogon tako, da uporabljajo Secure RPC z varnim kanalom Netlogon med članoma računalnikov in krmilniki imenika Active Directory (AD) (DC).

Ta varnostna posodobitev obravnava ranljivost z uveljavljanjem storitve Secure RPC, ko uporabljate varni kanal za Netlogon v fazah izdaje, ki je razloženo v časovnem razporedu posodobitev za naslavljanje ranljivosti Netlogon CVE-2020-1472 . Če želite zagotoviti zaščito pred gozdovi, je treba posodobiti vse DCs. ker bodo uveljavili varni RPC z varnim kanalom Netlogon. To vključuje krmilnike domene, ki so samo za branje (RODC).

Če želite izvedeti več o ranljivosti, glejte CVE-2020-1472.

Dejanje

Če želite zaščititi okolico in preprečiti izpadi, morate narediti to:

Opomba 1. korak za namestitev posodobitev, izdanih 11. avgusta 2020 ali novejše različice, bo obravnavana varnostna težava v CVE – 2020-1472 za domene in zaupanja imenika Active Directory ter v napravah s sistemom Windows. Če želite v celoti ublažiti varnostno težavo za naprave tretje osebe, boste morali dokončati vse korake.

Opozorilo Od februarja 2021 bo način izvršitve omogočen za vse krmilnike domene v sistemu Windows in bo blokiral občutljive povezave iz neskladnih naprav. V tem času ne boste mogli onemogočiti načina izvrševanja.

  1. Posodobite krmilnike domene z izdano posodobitvijo 11. avgusta 2020 ali novejšo različico.

  2. Ugotovite , katere naprave izdelujejo občutljive povezave tako, da spremljajo dnevnike dogodkov.

  3. Naslov naprave, ki niso skladne s predpisi, ki so občutljive povezave.

  4. Omogočite način izvršbe za naslov CVE-2020-1472 v vašem okolju.


Opomba Če uporabljate operacijski sistem Windows Server 2008 R2 SP1, potrebujete licenco za razširjeno varnostno posodobitev, s katero lahko uspešno namestite vsako posodobitev, ki odpravlja to težavo. Če želite več informacij o programu ESU, si oglejte pogosta vprašanja o življenjskem ciklu – razširjene varnostne posodobitve.

V tem članku:

Čas posodobitev za naslavljanje ranljivosti storitve Netlogon CVE-2020-1472

Posodobitve bodo izdane v dveh fazah: začetna faza za posodobitve, ki so bile izdane v ali po 11. avgustu 2020, in fazo uveljavljanja posodobitev, ki so bile izdane 9. februarja 2021.

11. avgust 2020 – začetna faza uvajanja

Začetna faza uvajanja se začne z posodobitvami, ki so bile izdane 11. avgusta 2020, in se nadaljuje z kasnejšimi posodobitvami do faze uveljavljanja. S temi in poznejšimi posodobitvami spremenite protokol Netlogon za zaščito naprav s sistemom Windows privzeto, dnevniki dogodkov za neskladne odkrivanje naprave in doda možnost, da omogoči zaščito za vse naprave, ki so povezane z domeno, z eksplicitnimi izjemami. Ta izdaja:

  • Uveljavi varno uporabo RPC za račune računalnikov v napravah s sistemom Windows.

  • Uveljavi varno uporabo RPC za skrbniške račune.

  • Uveljavi varno uporabo RPC za vse naprave s sistemom Windows in ne s sistemom Windows DCs.

  • Vključuje nov pravilnik skupine, ki omogoča neskladne račune naprave (tiste, ki uporabljajo občutljive povezave v storitvi Netlogon Secure Channel). Tudi če se DCs izvaja v načinu uveljavljanja ali ko se začne faza uveljavljanja , dovoljene naprave ne bodo zavrnjene povezave.

  • Registrski ključ FullSecureChannelProtection, ki omogoča način izvršitve v DC za vse račune računalnika (faza izvrševanja bo posodobil načinobračuna DCS na DC).

  • Vključuje nove dogodke, ko so računi zavrnjeni ali pa so zavrnjeni v načinu uveljavljanja DC (in bodo še naprej v fazi uveljavljanja). V nadaljevanju tega članka so razloženi določeni ID-ji dogodkov.

Blažitev je sestavljena iz nameščanja posodobitve v vse DCs in RODCs, spremljanje novih dogodkov in naslavljanje neskladnih naprav, ki uporabljajo občutljive povezave storitve Netlogon Secure Channel. V napravah z napravami, ki niso skladne s predpisi, lahko uporabite občutljive povezave z varnim kanalom Netlogon. vendar pa jih je treba posodobiti tako, da podpirajo varno RPC za Netlogon in račun, ki je bil izvršen čim prej, da odpravite tveganje napada.

9. februar 2021 – faza uveljavljanja

9. februarja 2021, ki je izšla, prehaja v fazo uveljavljanja. DCs bo zdaj v načinu izvrševanja , ne glede na registrski ključ načina izvrševanja. Za to morajo vse naprave s sistemom Windows in ne-Windows uporabljati varni RPC z varnim kanalom Netlogon ali izrecno dovoliti račun z dodajanjem izjeme za naprave, ki niso skladne s predpisi. Ta izdaja:

Navodila za uvedbo – uvajanje posodobitev in uveljavljanje skladnosti s predpisi

Začetna faza uvajanja bo sestavljena iz teh korakov:

  1. Uvedba enajstih posodobitevza vse DCS v gozdu.

  2. (a) monitor za opozorilne dogodkein (b) deluje v vsakem dogodku.

  3. (a) ko so vsi opozorilni dogodki obravnavani, lahko z uvedbo načina za uveljavljanjeDC-a omogočite polno zaščito. (b) vsa opozorila bi morala biti odpravljena pred posodobitvijo faze izvrševanja 9. februarja 2021.

1. korak: POSODOBITEV

Uvedba 11. avgusta 2020 posodobitve

Uvedba enajstih posodobitev, ki so na voljo za vse veljavne krmilnike domene (DCs) v gozdu, vključno z krmilniki domene samo za branje (RODCs). Ko uvajate to posodobitev, bo krpar DCs:

  • Začnite uveljavljati varno uporabo RPC za vse račune v napravi s sistemom Windows, skrbniške račune in vse DCs.

  • Zabeležite dnevnike dogodkov 5827 in 5828 v sistemskem dnevniku dogodkov, če so povezave zavrnjene.

  • Zabeležite dnevnike dogodkov 5830 in 5831 v dnevniku dogodkov sistema, če so povezave dovoljene z » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

  • ID dnevnika dogodkov 5829 v dnevniku sistemskih dogodkov vsakič, ko je dovoljena ranljiva povezava Netlogon za varno povezavo z omrežjem. Te dogodke je treba odpraviti, preden je način za uveljavljanje DC konfiguriran ali preden se začne faza izvršitve 9. februarja 2021.

 

korak 2a: Poiščite

Odkrivanje naprav, ki niso skladne z ID-jem dogodka 5829

Ko je 11. avgusta 2020 posodobitve, ki so bile uporabljene v storitvi DCs, se lahko dogodki zbirajo v dnevnikih dogodkov DC, da ugotovite, katere naprave v vašem okolju uporabljajo občutljive povezave na varnem kanalu v storitvi Netlogon (ki niso skladne z napravami v tem članku). Monitor krpar DCs za dogodek ID 5829 dogodkov. Dogodki vključujejo pomembne informacije, s katerimi lahko identificirate naprave, ki niso skladne s predpisi.

Če želite nadzorovati dogodke, uporabite programsko opremo za nadzor dogodkov, ki je na voljo, ali z uporabo skripta za nadzor nad storitvijo DCs.  Če si želite ogledati primer skripta, ki ga lahko prilagodite v svojem okolju, glejte skript za pomoč pri nadzoru ID-jev dogodkov, ki so povezani z posodobitvami storitve Netlogon za CVE-2020-1472

korak 2b: NASLOV

Obravnavanje ID-jev dogodkov 5827 in 5828

Privzeto podprte različice sistema Windows , ki so bile v celoti posodobljene, ne bodo uporabljale občutljivih povezav Netlogon Secure Channel. Če je eden od teh dogodkov prijavljen v sistemski dnevnik dogodkov za napravo s sistemom Windows:

  1. Prepričajte se, da je v napravi nameščeno podprto različico sistema Windows.

  2. Prepričajte se, da je naprava popolnoma posodobljena.

  3. Preverite, ali je član domene: Digitalno šifriranje ali znak varnih podatkov kanala (vedno) nastavljeno na omogočeno.

Za naprave, ki niso v sistemu Windows, ki delujejo kot DC, bodo ti dogodki prijavljeni v dnevniku sistemskih dogodkov, ko boste uporabljali občutljive povezave za storitev Netlogon Secure Channel. Če je eden od teh dogodkov prijavljen:

  • Priporočeno Delo z izdelovalcem naprave (OEM) ali s prodajalcem programske opreme za pridobitev podpore za Secure RPC z varnim kanalom Netlogon

    1. Če DC, ki ni skladen s predpisi, podpira varno RPC z varnim kanalom Netlogon, omogočite Secure RPC v DC-ju.

    2. Če DC, ki ni skladen s posebnimi potrebami trenutno ne podpira varnega RPC, dela z izdelovalcem naprave (OEM) ali prodajalcem programske opreme, da dobi posodobitev, ki podpira varno RPC z varnim kanalom Netlogon.

    3. Umakniti neskladen DC.

  • Občutljive Če DC, ki ni skladen s predpisi, ne more podpirati varnih RPC z varnim kanalom v storitvi Netlogon, preden so v načinu izvrševanja, dodajte DC z uporabo » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel, ki so opisane spodaj.

Opozorilo Če želite, da DCs uporablja občutljive povezave z zvitimi povezavami, bo gozd izpostavljen napadom. Končni cilj mora obravnavati in odstraniti vse račune iz te pravilnike skupine.

 

Obravnavanje dogodka 5829

ID dogodka 5829 se ustvari, ko je med začetno uvajalno fazo omogočena ranljiva povezava. Te povezave bodo zavrnjene, ko so v načinu uveljavljanjaDCS. V teh dogodkih se premaknite v razdelek» ime računalnika «,» domena «in» različica OS «, ki določata, da določite naprave, ki niso skladne s predpisi, in kako jih morate obravnavati.

Način naslavljanja naprav, ki niso skladne s predpisi:

  • Priporočeno Sodelujte z izdelovalcem naprave (OEM) ali z dobaviteljem programske opreme, da pridobite podporo za Secure RPC s storitvijo Secure Channel za Netlogon:

    1. Če naprava, ki ni v skladu s predpisi, podpira varno RPC z varnim kanalom Netlogon in nato omogočite Secure RPC v napravi.

    2. Če naprava, ki ni v skladu s predpisi, trenutno ne podpira varnega RPC-a z varnim kanalom Netlogon, lahko z izdelovalcem naprave ali z dobaviteljem programske opreme dobite posodobitev, ki omogoča, da je varno RPC z varnim kanalom Netlogon omogočeno.

    3. Umakniti neskladne naprave.

  • Občutljive Če naprava, ki ni v skladu s predpisi, ne more podpirati varnega RPC-a z varnim kanalom za Netlogon, preden je DCs v načinu izvrševanja, dodajte napravo z uporabo » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel, ki so opisane spodaj.

Opozorilo Če želite, da računi naprave uporabljajo občutljive povezave s pravilnikom skupine, bodo ti računi AD ogroženi. Končni cilj mora obravnavati in odstraniti vse račune iz te pravilnike skupine.

 

Omogočanje občutljivih povezav v napravah tretjih oseb

Uporabite » Domain Controller: Dovoli občutljive povezave v storitvi Netlogon Secure Channel " pravilnika skupine za dodajanje računov, ki niso skladne s predpisi. To bi morali obravnavati le kot kratkotrajno pravno sredstvo, dokler niso v skladu z navodili neskladne naprave, kot je opisano zgoraj. Opomba Če omogočite občutljive povezave v napravah, ki niso skladne s predpisi, je morda neznan varnostni vpliv, zato bi moralo biti previden.

  1. Ustvarjena je varnostna skupina za račune, ki bodo lahko uporabljali varni kanal Netlogon.

  2. V pravilniku skupine odprite konfiguracijo računalnika > nastavitve sistema Windows > varnostne nastavitve > lokalni pravilniki > varnostne možnosti

  3. Poiščite » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «.

  4. Če je v skupini skrbnik ali če je prisoten kateri koli skupini, ki ni posebej ustvarjena za uporabo s tem pravilnikom skupine, jo odstranite.

  5. Dodajte varnostno skupino, ki je posebej narejena za uporabo s tem pravilnikom skupine, z deskriptorjem varnosti z dovoljenjem» dovoli «. Opomba Dovoljenje» zavrnitev «deluje na enak način, kot če račun ni bil dodan, tj. obračuni ne bodo dovoljeni za ustvarjanje varnih kanalov za Netlogon.

  6. Ko je dodana varnostna skupina (e), se mora pravilnik skupine replicirati v vsak DC.

  7. Redno Spremljajte dogodke 5827, 5828 in 5829, da ugotovite, kateri računi bodo uporabljali občutljive povezave varnih kanalov.

  8. Po potrebi dodajte te račune v varnostna skupina. Najboljša praksa Uporabite varnostne skupine v pravilniku skupine in dodajte račune skupini, tako da je članstvo replicirano prek običajnega replikacije AD. S tem preprečite pogoste posodobitve pravilnika skupine in zamude pri replikaciji.

Ko so odpravljene vse naprave, ki niso skladne s predpisi, lahko prestavite DCs v način izvršbe (glejte naslednji razdelek).

Opozorilo Če želite, da DCs uporablja občutljive povezave za skrbniške račune v pravilniku skupine, bo gozd ogrožen zaradi napada. Računi zaupanja so po navadi poimenovani po zaupanja vredni domeni, npr.: DC v domeni – ima zaupanje v DC v domeni-b. Interno je DC v domeni – ima račun zaupanja z imenom» Domain-b $ «, ki predstavlja predmet zaupanja za Domain-b. Če je DC v domeni – želi, da bi bil gozd izpostavljen tveganju napadov tako, da dovoli občutljive povezave storitve Netlogon Secure Channel iz skrbniškega računa» Domain-b «, lahko skrbnik uporabi funkcijo Add-adgroupmember – Identity "ime varnostne skupine" – člani "Domain-b $", da dodate račun zaupanja v varnostno skupino.

 

korak 3a: Omogočanje

Prehod na način izvršbe pred fazo izvršitve iz februarja 2021

Ko so vse naprave, ki niso skladne s predpisi, obravnavane tako, da omogočijo varno RPC ali tako, da omogočijo občutljive povezave z «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine, nastavite registrski ključ FullSecureChannelProtection na 1.

Opomba Če uporabljate » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine, poskrbite, da je pravilnik skupine repliciran in uporabljen za vse DCs, preden nastavite registrski ključ FullSecureChannelProtection.

Ko je uveden FullSecureChannelProtection registrski ključ, bo DCs v načinu izvrševanja. Ta nastavitev zahteva, da so v vseh napravah, ki uporabljajo storitev Netlogon Secure Channel:

Opozorilo Odjemalci tretjih oseb, ki ne podpirajo storitve Secure RPC s povezavami varnih kanalov v storitvi Netlogon, bodo zavrnjeni, ko bo uveden registrski ključ za DC izvrševanje , ki lahko prekine storitev pridobivanja.

 

korak 3b: Faza uveljavljanja

Uvedba 9. februarja 2021 posodobitve

Uvedba posodobitev, ki so bile izdane 9. februarja 2021 ali novejša, bo vklopljena. način za uveljavljanjeDC. Način izvršbe DC je v tem, da morajo biti vse povezave Netlogon zahtevane za uporabo varnih RPC ali pa je bil račun dodan v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. V tem trenutku FullSecureChannelProtection registrski ključ ni več potreben in ne bo več podprt.

» Krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine

Najboljši način je, da uporabite varnostne skupine v pravilniku skupine, tako da je članstvo replicirano prek običajnega replikacije AD. S tem preprečite pogoste posodobitve pravilnika skupine in zamude pri replikaciji.

Pot pravilnika in ime nastavitve

Opis

Pot pravilnika: Konfiguracija računalnika > nastavitve sistema Windows > varnostne nastavitve > lokalni pravilniki > možnosti varnosti

Ime nastavitve: krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel

Ali potrebujete vnovični zagon? Ne

Ta varnostna nastavitev določa, ali krmilnik domene obračuna varno RPC za povezave z varnim kanalom za storitve Netlogon za določene računalnikove račune.

Ta pravilnik naj bo uporabljen za vse krmilnike domene v gozdu tako, da bo omogočal pravilnik za krmilnike domene OU.

Ko je konfigurirana možnost ustvari občutljive povezave (seznam dovoljenih):

  • Dovoli Krmilnik domene bo dovolil navedeni skupini/kontom uporabo zaščitenega kanala Netlogon brez zaščite RPC.

  • Zavrni Ta nastavitev je enaka kot privzeto delovanje. Krmilnik domene potrebuje določeno skupino/račune, če želite uporabiti varni kanal Netlogon z varno storitvijo RPC.

Opozorilo Če omogočite ta pravilnik, bodo izpostavljene vaše naprave, ki so se pridružile domeni, in vaš gozd imenika Active Directory, ki jih lahko ogrozi. Ta pravilnik naj bo uporabljen kot začasni ukrep za naprave tretjih oseb, medtem ko uvajate posodobitve. Ko je naprava tretjih oseb posodobljena tako, da podpira uporabo varnih RPC z varnimi kanali v storitvi Netlogon, je treba račun odstraniti s seznama ustvari občutljive povezave. Če želite bolje razumeti tveganje, da se računi konfigurirajo tako, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.microsoft.com/fwlink/?linkid=2133485.

Privzeto Ta pravilnik ni konfiguriran. Nobeni računalniki ali računi zaupanja niso eksplicitno izvzeti iz varnih RPC z zaščito povezav prek varnih kanalov za Netlogon.

Ta pravilnik je podprt v sistemih Windows Server 2008 R2 SP1 in novejših različicah.

Napake dnevnika dogodkov sistema Windows, ki so povezane z CVE-2020-1472

Na voljo so tri kategorije dogodkov:

1. Dogodki, prijavljeni, ko je povezava zavrnjena, ker je bil poskus občutljive povezave z varnim kanalom Netlogon:

  • Napaka» 5827 «(računi računalnika)

  • Napaka» 5828 «(računi zaupanja)

2. Dogodki, ki so bili prijavljeni, ko je povezava omogočena, ker je bil račun dodan v «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine:

  • Opozorilo 5830 (račun za strojno)

  • Opozorilo 5831 (računi zaupanja)

3. Dogodki, ki so bili prijavljeni, ko je povezava omogočena v prvotni izdaji, ki bo zavrnjena v načinu za izvrševanjeDC:

  • Opozorilo 5829 (račun za strojno)

ID dogodka 5827

ID dogodka 5827 bo zabeležen, ko je onemogočena povezava varni kanal Netlogon iz računalnika zavrnjena.

Dnevnik dogodkov

Sistem

Vir dogodka

NETLOGON

ID dogodka

5827

Raven

Napaka

Besedilo sporočila z dogodkom

Storitev Netlogon je zavrnila ranljivo povezavo storitve Netlogon Secure Channel iz računalnika.

Naprava SamAccountName:

Domena:

Vrsta računa:

Operacijski sistem za naprave:

Naprava za ustvarjanje operacijskega sistema:

Servisni paket za operacijski sistem za naprave:

Če želite več informacij o tem, zakaj je bila ta zavrnitev zavrnjena, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID dogodka 5828

ID dogodka 5828 bo zabeležen, ko je onemogočena povezava varni kanal Netlogon iz skrbniškega računa zavrnjena.

Dnevnik dogodkov

Sistem

Vir dogodka

NETLOGON

ID dogodka

5828

Raven

Napaka

Besedilo sporočila z dogodkom

Storitev Netlogon je nevarna povezava z varnim kanalom Netlogon zavrnjena s skrbniškim računom.

Vrsta računa:

Ime zaupanja:

Tarča zaupanja:

Naslov IP odjemalca:

Če želite več informacij o tem, zakaj je bila ta zavrnitev zavrnjena, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

ID dogodka 5829

ID dogodka 5829 bo prijavljen le med začetno fazo uvajanja, če je na voljo ranljiva povezava storitve Netlogon Secure Channel iz računalnika.

Ko uvedete način za uveljavljanje DC ali ko se faza izvršitve začne z uvedbo posodobitev 9. februarja 2021, bodo te povezave zavrnjene, ID dogodka 5827 pa bo zabeležen. Zato je pomembno, da monitor za dogodek 5829 med začetno fazo uvajanja in deluje pred fazo uveljavljanja, da se izognete izpadom.

Dnevnik dogodkov

Sistem

Vir dogodkov

NETLOGON

ID dogodka

5829

Ravni

Opozorilo

Besedilo sporočila z dogodkom

Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel.  

Opozorilo: Ta povezava bo zavrnjena, ko je izdana faza izvršitve. Če želite bolje razumeti fazo uveljavljanja, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Naprava SamAccountName:  

Domena:  

Vrsta računa:  

Operacijski sistem za naprave:  

Naprava za ustvarjanje operacijskega sistema:  

Servisni paket za operacijski sistem za naprave:  

ID dogodka 5830

ID dogodka 5830 bo zabeležen, ko je v storitvi na voljo ranljiva povezava za računalnik s storitvijo Secure Channel, ki je omogočena z » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

Dnevnik dogodkov

Sistem

Vir dogodka

NETLOGON

ID dogodka

5830

Raven

Opozorilo

Besedilo sporočila z dogodkom

Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel, ker je račun računalnika dovoljen v» krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine.

Opozorilo: Če uporabljate občutljive kanale za Netlogon, bodo na voljo naprave, ki so se pridružile domeni. Če želite zaščititi napravo pred napadom, odstranite račun računalnika iz» krmilnik domene: Dovoli občutljive povezave storitve Netlogon Secure Channel «, ko je bil posodobljen odjemalec za Netlogon tretje osebe. Če želite bolje razumeti tveganje konfiguracije računalnikov, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485.

Naprava SamAccountName:

Domena:

Vrsta računa:

Operacijski sistem za naprave:

Naprava za ustvarjanje operacijskega sistema:

Servisni paket za operacijski sistem za naprave:

 

ID dogodka 5831

ID dogodka 5831 bo zabeležen, ko je na voljo ranljiva povezava skrbniškega računa za storitev Netlogon Secure Channel » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

Dnevnik dogodkov

Sistem

Vir dogodka

NETLOGON

ID dogodka

5831

Raven

Opozorilo

Besedilo sporočila z dogodkom

Storitev Netlogon je omogočila občutljivo povezavo storitve Netlogon Secure Channel, ker je skrbniški račun omogočen v» krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel ««pravilnik skupine.

Opozorilo: Če uporabljate občutljive kanale Netlogon, bodo gozdovi imenika Active Directory izpostavili napad. Če želite zaščititi gozdove imenika Active Directory pred napadom, morajo vse zaupanje uporabljati varni RPC z varnim kanalom Netlogon. Odstranite račun zaupanja iz» Domain Controller: Dovoli občutljive povezave storitve Netlogon Secure Channel «, ki so na voljo, ko je bil uporabnik storitve Netlogon v krmilniku domene posodobljen. Če želite bolje razumeti tveganje konfiguracije skrbniških računov, da bodo lahko uporabljali občutljive povezave storitve Netlogon Secure Channel, obiščite spletno mesto https://go.Microsoft.com/fwlink/?LinkId=2133485.

Vrsta računa:

Ime zaupanja:

Tarča zaupanja:

Naslov IP odjemalca:

Vrednost registra za način izvršbe

Če z urejevalnikom registra ali na drug način nepravilno spremenite register, lahko pride do težav z opozorilom o resnih težavah. Zaradi teh težav boste morda morali znova namestiti operacijski sistem. Microsoft ne more zagotoviti, da bo te težave mogoče odpraviti. Spremenite register na lastno odgovornost. 

11. avgusta 2020 posodobitve uvedejo to nastavitev registra, da bodo omogočili zgodnji način izvršitve. To bo omogočeno ne glede na nastavitev registra v fazi uveljavljanja, ki se začne 9. februarja 2021: 

Podključ registra

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Vrednost

FullSecureChannelProtection

Podatkovni tip

REG_DWORD

Podatki

1 – omogoči način izvršitve. DCs bo zanikal občutljive povezave v storitvi Netlogon Secure Channel, razen če je račun omogočen z ustvarjanjem občutljivega seznama povezav v «krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.  

0 – DCs bo omogočilo občutljive povezave storitve Netlogon Secure Channel iz naprav, ki niso povezane s sistemom Windows. Ta možnost bo zastarela v izdaji faze izvršbe.

Ali potrebujete vnovični zagon?

Ne

 

Naprave tretjih oseb, ki izvajajo [MS-NRPC]: Oddaljeni protokol Netlogon

Vsi odjemalci in strežniki tretjih oseb morajo uporabljati varni RPC z varnim kanalom Netlogon. Obrnite se na izdelovalca naprave (OEM) ali prodajalce programske opreme, da ugotovite, ali je programska oprema združljiva z najnovejšim oddaljenim protokolom za Netlogon. 

Posodobitve protokolov najdete na spletnem mestu dokumentacija protokola sistema Windows

Pogosta vprašanja (FAQ)

  • Naprave, ki so se pridružile sistemu Windows & tretjih oseb, ki so v imeniku Active Directory (AD).

  • Windows Server & krmilniki domen tretjih oseb v zaupanja vrednih & zaupanje domen, ki imajo račune zaupanja v AD

Naprave tretjih oseb morda niso skladne s predpisi. Če rešitev tretje osebe vzdržuje račun računalnika v AD, se obrnite na dobavitelja, da ugotovite, ali vplivate nanj.

Zamude v replikaciji AD in SYSVOL ali neuspela uporaba pravilnika skupine v storitvi preverjanje pristnosti DC lahko povzročijo spremembe pravilnika skupine » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine, da ne bo več na voljo, zato je račun zavrnjen. 

V teh navodilih boste morda lažje odpravili težavo:

Privzeto podprte različice sistema Windows , ki so bile v celoti posodobljene, ne bodo uporabljale občutljivih povezav Netlogon Secure Channel. Če je v dnevniku sistemskih dogodkov za napravo s sistemom Windows prijavljen ID dogodka 5827:

  1. Prepričajte se, da je v napravi nameščeno podprto različico sistema Windows.

  2. Prepričajte se, da je naprava v celoti posodobljena s storitvijo Windows Update.

  3. Preverite, ali je član domene: Digitalno šifriranje ali podpisovanje podatkov varnih kanalov (vedno) je nastavljeno tako, da je omogočeno v predmetu GPO, ki je povezan z OU za vse vaše DCs, kot je privzeti krmilnik domene GPO.

Da, treba jih je posodobiti, vendar niso posebej dovzetne za CVE-2020-1472.

Ne, DCs so edina vloga, ki jo je prizadel CVE-2020-1472 , ki jo je mogoče posodobiti neodvisno od strežnikov Windows, ki niso DC in druge naprave s sistemom Windows.

Windows Server 2008 SP2 ne ogroža tega določenega CVE, ker ne uporablja AES za varno RPC.

Da, če želite namestiti posodobitve na naslov CVE-2020-1472 za Windows Server 2008 R2 SP1, potrebujete dodatno varnostno posodobitev (EEV) .

Tako, da uvajate 11. avgusta 2020 ali novejše posodobitve za vse krmilnike domene v vašem okolju.

Prepričajte se, da nobena od naprav, ki so dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine imate skrbniške storitve za podjetja ali domene, na primer SCCM ali Microsoft Exchange.  Opomba Vse naprave, ki so na voljo na seznamu dovoljenih, bodo lahko uporabljale občutljive povezave in lahko vaše okolje izpostavijo napadalcu.

Namestitve posodobitev, ki so izšla 11. avgusta 2020 ali novejšo različico, krmilniki domene varujejo račune na računalniku s sistemom Windows, račune zaupanja in račune krmilnika domene. 

Računi računalnikov imenika Active Directory za domene, ki so se pridružile tretjim osebam , niso zaščitene , dokler ne uvedejo načina za uveljavitev. Tudi računi računalnikov niso zaščiteni , če so dodani v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

Poskrbite, da bodo vsi krmilniki domene v vašem okolju namestili 11. avgusta 2020 ali novejše posodobitve.

Vse identitete naprave, ki so bile dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnika skupine bodo občutljive na napade.   

Poskrbite, da bodo vsi krmilniki domene v vašem okolju namestili 11. avgusta 2020 ali novejše posodobitve. 

Omogočite način izvršbe, da zavrnete občutljive povezave iz identitet tretjih oseb, ki niso skladne z drugimi osebami.

Opomba Z omogočenim načinom izvrševanja so vse identitete naprave tretjih oseb, ki so bile dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel» pravilnik skupine bodo še vedno ranljivi in lahko nepooblaščenemu dostopu do vaše omrežje ali naprave omogočijo nepooblaščenim napadalcem.

Način izvršbe obvesti krmilnike domene, da ne dovolijo povezav Netlogon iz naprav, ki ne uporabljajo storitve Secure RPC, razen če so bile te naprave dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

Če želite več informacij, glejte razdelek» vrednost registra «za način izvršbe .

V pravilnik skupine bodo dodani le računi računalnikov za naprave, ki jih ni mogoče zaščititi tako, da omogočijo varno RPC v varnem kanalu Netlogon. Priporočamo, da te naprave v skladu z njimi ali pa jih zamenjate za zaščito okolja.

Napadalec lahko prevzame identiteto stroja imenika Active Directory za kateri koli račun računalnika, ki je dodan pravilniku skupine, nato pa izkoristite vsa dovoljenja, ki jih je imela identiteta stroja.

Če imate napravo tretje osebe, ki ne podpira varnega RPC-a za varni kanal Netlogon in želite omogočiti način uveljavljanja, morate dodati osnovni račun za to napravo v pravilnik skupine. To ni priporočeno in bi lahko vaše domene pustilo v potencialno občutljivem stanju.  Priporočeno je, da s tem pravilnikom skupine omogočite čas, da posodobite ali zamenjate vse naprave tretjih oseb, da bodo skladne s predpisi.

Način izvršbe je treba omogočiti čim prej. Vse naprave tretjih oseb bo treba obravnavati bodisi tako, da bodo skladne s predpisi ali pa jih dodate v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine. Opomba Vse naprave, ki so na voljo na seznamu dovoljenih, bodo lahko uporabljale občutljive povezave in lahko vaše okolje izpostavijo napadalcu.

 

Besednjak

Izrazov

Opredelitev

AD

Imenika Active Directory

DC

Krmilnik domene

Način izvršbe

Registrski ključ, ki vam omogoča, da omogočite način uveljavljanja vnaprej 9. februarja 2021.

Faza uveljavljanja

Faza, ki se začne z 9. februarjem 2021 posodobitvami, kjer bo način za uveljavljanje omogočen za vse krmilnike domene sistema Windows, ne glede na nastavitev registra. DCs bo onemogočil občutljive povezave v vseh napravah, ki niso skladne s predpisi, razen če so dodane v » krmilnik domene: Dovoli občutljive povezave v storitvi Netlogon Secure Channel «pravilnik skupine.

Začetna faza uvajanja

Faza, ki se začne z 11. Augustom 2020 posodobitvami, in se nadaljuje z kasnejšimi posodobitvami do faze uveljavljanja.

račun računalnika

Imenuje se tudi računalnik z imenikom Active Directory ali predmet računalnika.  Če si želite ogledati polno definicijo, glejte Glosar MS-NPRC .

MS-NRPC

Oddaljeni protokol programa Microsoft Netlogon

Naprave, ki niso skladne s predpisi

Naprava, ki ni skladna s predpisi, je tista, ki uporablja ranljivo povezavo z varnim kanalom v storitvi Netlogon.

RODC

krmilniki domene samo za branje

Občutljive povezave

Ranljiva povezava je povezava z varnim kanalom Netlogon, ki ne uporablja varnega RPC-a.
Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×