Rezime
Netlogon Remote Protocol (naziva se i gđica-NRPC) je RPC interfejs koji se koristi isključivo pomoću uređaja koji su spojeni u domenu. GĐICA-NRPC obuhvata metod potvrde identiteta i metod uspostavljanja bezbednog kanala Netlogon. Ove ispravke primenjuju navedeno ponašanje klijenta Netlogon da bi se koristili osigurani RPC pomoću bezbednog kanala za Netlogon na računarima članova i kontroler domena Active Directory (AD) (DC).
Ova bezbednosna ispravka rešava ranjivost nametanjem bezbednog RPC protokola pri korišćenju Netlogon bezbednog kanala u sistemu koje je izdanje pojasnio u određenom trenutku ispravki za adresu Netlogon ranjivosti CVE-2020-1472 . Da bi se obezbedila reklama za šumsko zaštita, sve DCs moraju da budu ažurirane od toga što će sprovesti osigurani RPC pomoću bezbednog kanala Netlogon. Ovo obuhvata kontrolore domena koji su samo za čitanje (RODC).
Da biste saznali više o ranjivosti, pročitajte članak cve-2020-1472.
Preduzmite akciju
Da biste zaštitili okruženje i sprečili prekid nestanka, morate da uradite sledeće:
Napomenu 1. korak instaliranja ispravki objavljenim 11. avgusta 2020 ili novijim adresama u cve-2020-1472 za Active Directory domena i pouzdanost, kao i Windows uređaje. Da biste potpuno ublažili bezbednosni problem za uređaje nezavisnih proizvođača, moraćete da dovršite sve korake.
Upozoravajući Počevši od februar 2021, režim sprovođenja primena će biti omogućen za sve Windows kontrolore domena i blokiraće ranjive veze od neusaglašenih uređaja. U tom trenutku nećete moći da onemogućite režim za primenu.
-
Ažurirajte kontrolore domena pomoću ispravke objavljenog 11. avgusta 2020 ili novijim verzijama.
-
Pronađite koji uređaji rade na ranjivim vezama tako što ćete nadgledati evidencije događaja.
-
Adrese bez usaglašenih uređaja koji rade sa ranjivim vezama.
-
Omogućite režim za primenu da biste rešili cve-2020-1472 u okruženju.
Napomenu Ako koristite Windows Server 2008 R2 SP1, potrebno je da imate licencu za proširenu bezbednosnu ISPRAVKU (ESU) da biste uspešno instalirali ispravku koja se odnosi na ovaj problem. Za više informacija o programu ESU pogledajte najčešća pitanja o programu životni ciklus – proširenim bezbednosnim ispravkama.
U ovom članku:
Vremenski tajming ispravki za adresu Netlogon ranjivosti CVE-2020-1472
Ispravke će biti objavljene u dve faze: Početna faza za ispravke objavljene ili nakon 11. avgusta 2020 i faze sprovođenja za ispravke objavljene ili nakon 9. februara 2021.
11. avgust 2020-faza početne primene
Početna faza primene počinje od ispravki objavljenim 1. avgusta 2020 i nastavlja se kasnijim verzijama do faze sprovođenja. Ove i novije ispravke menjaju protokol Netlogon da bi podrazumevano zaštitili Windows uređaje, evidentiranja događaja za neusaglašenu otkrivanje uređaja i dodaje mogućnost da se omogući zaštita za sve uređaje koji su spojeni u domenu pomoću eksplicitnih izuzetaka. Ovo izdanje:
-
Nametava sigurnu upotrebu protokola za uređaje na računarima zasnovanim na operativnom sistemu Windows.
-
Obavezuje sigurnu primenu protokola za naloge poverenja.
-
Nametava sigurnu primenu za RPC za sve prozore i funkcije koji nisu Windows.
-
Obuhvata nove smernice grupe za omogućavanje neusaglašenih naloga uređaja (oni koji koriste ranjivih Netlogon bezbednih veza kanala). Čak i kada DCs rade u režimu sprovođenja , ili nakon pokretanja faze sprovođenja , omogućenim uređajima neće biti odbijeno povezivanje.
-
Glavni registrator za potpuno obezbeđenje za omogućavanje sistema funkcija DC kontrolor za sve naloge računara (faza sprovođenja će ažurirati DCS u režim SPROVOĐENJApodataka u DC).
-
Uključuje nove događaje kada su nalozi odbijeni ili se odbijaju u režimu sprovođenja u DC (i nastaviće se u fazi sprovođenja. Specifični ID događaja se objašnjavaju u nastavku ovog članka.
Ublažavanje se sastoji od instalacije ispravke na svim DCs i Rodcima, monitoring za nove događaje i adresiranjem neusaglašenih uređaja koji koriste ranjivih Netlogon konekternih veza. Mašinski nalozi na neusaglašenim uređajima mogu se dopustiti za korišćenje ranjivih Netlogon bezbednih konekterjaka. Međutim, trebalo bi da se ažuriraju da bi podržavali obezbeđivanje RPC za Netlogon, a nalog koji se sprovodi što je pre moguće kako bi se uklonio rizik od napada.
9. februar, 2021. faza sprovođenja
9. februar 2021 izdanje predstavlja prelaz u fazu sprovođenja. Funkcija DCs sada će biti u režimu sprovođenja , bez obzira na ključ registratora "Primena". Ovo zahteva da svi prozori i oni koji nisu Windows rade pomoću bezbednog RPC kanala za Netlogon ili eksplicitno dozvolite nalogu tako što ćete dodati izuzetak za uređaj koji nije usaglašen. Ovo izdanje:
-
Nametava sigurnu korišćenje RPC računara za naloge na računarima koji nisu zasnovani na operativnom sistemu Windows, osim ako to ne dozvoljava "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
-
Evidentiranje ID-a događaja 5829 će biti uklonjeno. Budući da se sve ranjive veze ne odbijaju, sada ćete videti samo ID-ove događaja 5827 i 5828 u evidenciji događaja sistemskih događaja.
Uputstva za primenu – primena ispravki i primena usaglašenosti
Početna faza primene sastojaće se od sledeća koraka:
-
Primenu 11. avgustau љumi.
-
(a) monitor za događaje upozorenjai (b) zakon na svakom događaju.
-
(a) kada sve događaje upozorenja budu adresirane, kompletna zaštita može da se omogući primenom režima za primenuu programu DC. (b) sva upozorenja treba da se reše pre ispravke za fazu 2021 u fazi sprovođenja.
1. korak: Ažuriranje
Primena 11. avgusta, 2020 ispravki
Primenite 11. avgust ispravke svih primenljivih kontrolora domena (DCs) u šumi, uključujući i kontrolore domena samo za čitanje (RODCs). Nakon primene ove ispravke koje su imale funkcije DCs:
-
Počnite da sprovodite sigurnu primenu usluge "bezbedno RPC" za sve naloge uređaja zasnovane na operativnom sistemu Windows, pouzdanost nalozi i sve DCs.
-
ID-ovi događaja evidencije 5827 i 5828 u evidenciji sistemskih događaja, ako se veze odbiju.
-
ID-ovi događaja evidencije 5830 i 5831 u evidenciji sistemskih događaja, ako je vezama dozvoljeno "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
-
ID događaja evidencije 5829 u sistemskoj evidenciji događaja svaki put kada je dozvoljena Netlogon konekcija bezbednog kanala. Ovi događaji treba da se reše da bi se konfigurisao režim sprovođenja funkcije DC ili pre nego što se faza sprovođenja pokrene na 9. februar 2021.
korak 2: PRONALAŽENJE
Otkrivanje neusaglašenih uređaja pomoću ID-a događaja 5829
Nakon 11. avgusta, 2020 ispravki su primenjene na DCs, događaji mogu da se prikupe u programu DC evidencije da bi se utvrdilo koji uređaji u okruženju koriste povezane Netlogon konekcije kanala za Netlogon (koji se nazivaju neusaglašenim uređajima u ovom članku). Monitor povezan sa DCs ekranom za ID događaja 5829 događaja. Događaji uključuju važne informacije za identifikovanje uređaja koji nisu usaglašeni.
Da biste nadgledali događaje, koristite dostupan softver za nadgledanje događaja ili pomoću skripte da biste nadgledali svoje funkcije. Za primer skripte koje možete da prilagodite okruženju, pročitajte članak skripte koje će vam pomoći da nadgledate ID-ove događaja vezanih za Netlogon ispravke za CVE-2020-1472
2. korak: Adresa
Adresiranje ID-ova događaja 5827 i 5828
Podržane verzije operativnog sistema Windows koje su podrazumevano potpuno ažurirane ne bi trebalo da koriste ranjivih Netlogon konekternog kanala za bezbednu prijavu. Ako je neki od ovih događaja evidentiran u sistemska evidencija događaja za Windows uređaj:
-
Potvrdite da uređaj koristi podržane verzije operativnog sistema Windows.
-
Uverite se da je uređaj potpuno ažuriran.
-
Proverite da li je člana domena: Digitalno Šifruj ili potpišite sigurnosni kanali podataka (uvek) podešena na omogućavanje.
Za uređaje koji nisu Windows koji deluju kao DC, ovi događaji će se evidentirati u sistemska evidencija događaja kada koristite ranjivih Netlogon konektore za bezbednu prijavu. Ako se evidentira jedan od ovih događaja:
-
Preporučeno Rad sa snabdevaču proizvođača uređaja (OEM) ili dobavljačem softvera za dobijanje podrške za Secure RPC pomoću Netlogon bezbednog kanala
-
Ako centar za neusaglašenu podršku obezbedi RPC pomoću bezbednog kanala Netlogon, neka omogući sigurnosni RPC na DC-u.
-
Ako centar za neusaglašenu podršku trenutno ne podržava Secure RPC, radite sa proizvođačem proizvođača uređaja (OEM) ili snabdevača softvera da biste dobili ispravku koja podržava Secure RPC pomoću Netlogon bezbednog kanala.
-
Penzionišete DC ne usaglašenu aplikaciju.
-
-
Ranjivi Ako DC koji nije usaglašen ne može da podrži osigurani RPC pomoću bezbednog kanala Netlogon, dodajte DC pomoću funkcije "kontroler domena" : Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe opisane u nastavku.
Upozoravajući Omogućavanje funkcije DCs za korišćenje ranjivih veza u smernicama grupe čini da šuma bude podložna napadu. Krajnji cilj bi trebalo da bude da rešava i uklanja sve naloge iz ovih smernica grupe.
Adresiranje događaja 5829
ID događaja 5829 se generiљe kada se u fazi početne primene bude omogućila ranjiva veza. Ove veze će biti odbijene kada su u režimu sprovođenja. U tim događajima, fokus na verzijama računara, domena i OS verzije identifikovanih da bi se utvrdili uređaji koji nisu usaglašeni i kako treba da im se reši.
Načini za rešavanje Vaših uređaja koji nisu usaglašeni:
-
Preporučeno Radite sa snabdevaču proizvođača uređaja (OEM) ili dobavljačem softvera da biste dobili podršku za Secure RPC pomoću Netlogon bezbednog kanala:
-
Ako uređaj neusaglašeni podržava sigurnu RPC pomoću Netlogon bezbednog kanala, omogućite Secure RPC na uređaju.
-
Ako uređaj koji nije usaglašen trenutno ne podržava Secure RPC kanali pomoću Netlogon-Logon bezbednog kanala, radite sa proizvođačem uređaja ili dobavljačem softvera da biste dobili ispravku koja omogućava bezbednom RPC uređaju pomoću bezbednog kanala za Netlogon za omogućavanje.
-
Penzionisan bez usaglašenih uređaja.
-
-
Ranjivi Ako uređaj koji nije usaglašen nemože da PODRŽI osigurani RPC pomoću bezbednog kanala Netlogon, možete da dodate uređaj pomoću funkcije "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe opisane u nastavku.
Upozoravajući Omogućavanje naloga uređaja za korišćenje ranjivih veza pomoću smernica grupe će biti Riskirajući ove naloge oglasa. Krajnji cilj bi trebalo da bude da rešava i uklanja sve naloge iz ovih smernica grupe.
Omogućavanje ranjivih veza sa uređaja nezavisnih proizvođača
Koristite "kontroler domena: Dozvoljavanje ranjivih Netlogon bezbednih veza kanala "smernica grupe za dodavanje naloga koji nisu usaglašeni. To treba smatrati kratkoročno rešenje dok se ne reše uređaji koji nisu usaglašeni, kao što je opisano iznad. Napomenu Omogućavanje ranjivih veza neusaglašenih uređaja može da ima nepoznat bezbednosni uticaj i treba da bude dozvoljeno da bude oprezna.
-
Kreirao je bezbednosne grupe za naloge kojima će biti dozvoljeno da koriste ranjivi sigurnosni kanali Netlogon prijavljivanja.
-
U smernicama grupe idite na konfiguraciju računara > postavkama operativnog sistema Windows > bezbednosnim postavkama > lokalnim smernicama > bezbednosnim opcijama
-
Potražite "kontroler domena: Dozvolite ranjivom Netlogon sigurnosnu mreћu kanala ".
-
Ako je prisutan grupa administratora ili ako neka grupa nije posebno kreirana za korišćenje sa ovim smernicama grupe, uklonite ga.
-
Dodavanje bezbednosne grupe koja je izričito napravljena za korišćenje sa ovim smernicama grupe za opis bezbednosti uz dozvolu "Dozvoli". Napomenu Dozvola "porekne" ponaša se na isti način kao da nalog nije dodat, tj. nalozima neće biti dozvoljeno da obezbede nedostupne kanale od ranjivog Netlogon.
-
Kada se doda bezbednosna grupa, smernica grupe se moraju replicirati na svaki DC.
-
Povremeno nadgledajte događaje 5827, 5828 i 5829 da biste utvrdili koji nalozi koriste osetljivije konekcije kanala.
-
Ako je potrebno, dodajte ove naloge računara u bezbednosne grupe. Najbolja praksa Koristite bezbednosne grupe u smernicama grupe i Dodajte naloge u grupu kako bi se članstvo repliciralo kroz normalnu replikaciju oglasa. Na taj način se ne mogu posećuju ispravke smernica grupe i odlaganja replikacije.
Kada se reše svi neusaglašeni uređaji, možete da premestite e-uređaje u režim sprovođenja , (pogledajte sledeći odeljak).
Upozoravajući Omogućavanje funkcije DCs za korišćenje ranjivih veza za naloge poverenja pomoću smernica grupe će učiniti šumskom ranjivom za napad. Nalozi poverenja obično se zovu po vjernom domenu, npr.: DC u domenu – a ima pouzdanost sa VAЉINGTONOM u domenu-b. Interno, DC u domenu – a ima nalog pouzdanih naziva "Domain-b $" koji predstavlja objekat pouzdanih domena za domen-b. Ako DC u domenu-u želi da obelodani šumsku opasnost od napada omogućavanjem ranjivog Netlogon bezbednog kanneta za pouzdanost na domenskom domenu-d Trust nalogu, administrator može da koristi člana Add-adgroupmember – identitet "– ime bezbednosne grupe"-Članovi "Domain-d $" da bi dodao nalog za pouzdanost u bezbednosnu grupu.
koraka 3: OMOGUĆAVANJE
Premeštanje u režim sprovođenja unapred u fazi sprovođenja za 2021 februar.
Kada se reši da nisu povezani uređaji koji nisu usaglašeni, omogućavanjem bezbednog RPC-a ili omogućavanjem ranjivih veza sa "kontroler domena: Dozvoljavanje ranjivih Netlogon bezbednih konektora "smernica grupe, podesite šifru registratora Fullbezbednog sistema 1.
Napomenu Ako koristite "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe, uverite se da su smernica grupe kopirane i primenjene na sve DCs pre nego što ste omogućili postavljanje ključa registratora Fullbezbednog sistema.
Kada se taster registratora Fullbezbednog sistema primeni, funkcija DCs će biti u režimu sprovođenja. Ova postavka zahteva da svi uređaji koriste Netlogon sigurnosni kanali ili:
-
Korišćenje bezbednog RPC protokola.
-
Dozvoljeni su u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
Upozoravajući Klijenti nezavisnih proizvođača koji ne podržavaju osigurani RPC pomoću bezbednog kanala za Netlogon osiguraće se negirati kada se taster registratora za primenu programa DC primeni koji može da poremeti usluge proizvodnje.
koraka 3 b: Faza sprovođenja
Primena 9. februara, 2021 ispravki
Primenu ispravki objavljenim od 9. februara, 2021 ili novijeg će se uključiti u režim sprovođenjafunkcije DC. Režim sprovođenja funkcije DC predstavlja kada su sve Netlogon veze neophodni za korišćenje bezbednog RPC ili naloga mora da je dodat u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe. U ovom trenutku, ključ registratora Fullbezbednog sistema više nije potreban i više neće biti podržano.
"Kontroler domena: Omogućavanje ranjivih Netlogon bezbednih veza kanala "smernica grupe"
Najbolja praksa je da koristite bezbednosne grupe u smernicama grupe da bi se učlanjenje repliciralo u normalnu replikaciju oglasa. Na taj način se ne mogu posećuju ispravke smernica grupe i odlaganja replikacije.
|
Ime putanje smernica i postavljenja |
Opis |
|
Putanja smernica: Konfiguracija računara > postavkama operativnog sistema Windows > bezbednosnim postavkama > lokalnim smernicama > bezbednosnim opcijama Obavezno ponovnog pokretanja sistema? Ne |
Ova bezbednosna postavka utvrđuje da li kontroler domena zaobilazi bezbednost za Netlogon Netlogon za pouzdane kanale za navoñen nalog računara. Ova smernica treba da se primeni na sve kontrolore domena u šumi tako što ćete omogućiti smernicama na kontrolorima domena u usluzi. Kada se konfiguriše lista kreiranje ranjivih veza (lista dozvola):
Upozoravajući Omogućavanje ove smernice otkriće vaše uređaje koji su spojeni domenu i vašu aktivnu šumsku oblast direktorijuma, što bi moglo da ih ugrozi. Ova smernica bi trebalo da se koristi kao privremena mera za uređaje nezavisnih proizvođača dok primenjujete ispravke. Kada se uređaj nezavisnih proizvođača ažurira da bi podržao korišćenje bezbednih RPC kanala pomoću sigurnog prijavljivanja na Netlogon, konto bi trebalo da bude uklonjen sa liste kreiranje ranjivih veza. Da biste bolje razumeli rizik konfigurisanja naloga za korišćenje ranjivih Netlogon bezbednih konekcija, posetite https://go.microsoft.com/fwlink/?linkid=2133485. Podrazumevanih Ova smernica nije konfigurisana. Nijedan mašinski nalog nije eksplicitno osloboрen od bezbednog RPC-a uz primenu Netlogon bezbednog kanala. Ova smernica je podržana u operativnom sistemu Windows Server 2008 R2 SP1 i novije verzije. |
Windows evidencije događaja u vezi sa CVE-2020-1472
Postoje tri kategorije događaja:
1. Događaji se evidentiraju kada se veza odbije jer je Pokušano aktivno povezivanje Netlogon bezbednog kanala:
-
5827 (mašinski nalozi) greška
-
5828 (nalozi pouzdanih naloga)
2. Događaji se evidentiraju kada je veza dozvoljena zato što je nalog dodat u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe:
-
5830 (nalozi za računar) upozorenje
-
5831 (nalozi pouzdanih naloga)
3. Događaji se evidentiraju kada je veza dozvoljena u početnom izdanju koja će biti odbijena u režimu sprovođenjaza DC:
-
5829 (nalozi za računar) upozorenje
ID događaja 5827
ID događaja 5827 će biti evidentiran kada se neodobren Netlogon kontakt konektovani kanali sa naloga računara.
|
Evidencija događaja |
Sistem |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5827 |
|
Nivo |
Greška |
|
Tekst poruke o događaju |
Usluga Netlogon zabranila je ranjivom Netlogon vezu bezbednog kanala sa naloga računara. Ime računara za mašinsko savetovanje: Domen: Tip naloga: Sistemski operativni sistem: Kreiranje sustava mašinskih operativnih sistema: Servisni paket za mašinski operativni sistem: Za više informacija o tome zašto je ovo uskraćen, posetite https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID događaja 5828
ID događaja 5828 će biti evidentiran kada se neodobren priključak Netlogon bezbednog kanala sa naloga za pouzdanost.
|
Evidencija događaja |
Sistem |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5828 |
|
Nivo |
Greška |
|
Tekst poruke o događaju |
Usluga Netlogon zabranila je ranjivom Netlogon vezu bezbednog kanala pomoću naloga pouzdanih korisnika. Tip naloga: Ime poverenja: Cilj poverenja: IP adresa klijenta: Za više informacija o tome zašto je ovo uskraćen, posetite https://go.Microsoft.com/fwlink/?LinkId=2133485. |
ID događaja 5829
ID događaja 5829 se evidentira samo u toku početne faze primene, kada je dozvoljena Netlogon sigurnosna kanala sa naloga za računar.
Kada se režim sprovođenja funkcije DC primeni ili kada faza primene počne primenom ispravki od 9. februara, 2021, ove veze će biti odbijene i ID događaja 5827 će biti evidentiran. Zato je važno nadzirati za Event 5829 tokom početne faze primene i ACT pre faze primene da bi se izbegle nestanka.
|
Evidencija događaja |
Sistema |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5829 |
|
Inu |
Upozorenje |
|
Tekst poruke o događaju |
Netlogon usluga je dozvolila ranjivom Netlogon mrežu bezbednog kanala. Upozorenje: Ova veza će biti odbijena kada se objavi faza sprovođenja. Da biste bolje razumeli fazu sprovođenja, posetite https://go.Microsoft.com/fwlink/?LinkId=2133485. Ime računara za mašinsko savetovanje: Domen: Tip naloga: Sistemski operativni sistem: Kreiranje sustava mašinskih operativnih sistema: Servisni paket za mašinski operativni sistem: |
ID događaja 5830
ID događaja 5830 će biti evidentiran kada podložnom Netlogon mrežu bezbednog kanala za uređaj dozvoljava "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
|
Evidencija događaja |
Sistem |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5830 |
|
Nivo |
Upozorenje |
|
Tekst poruke o događaju |
Netlogon usluga je dozvolila ranjivom Netlogon vezu bezbednog kanala zbog toga što je nalogu računara dozvoljeno da se nalazi u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe". Upozorenje: Pomoću ranjivog Netlogon bezbednog kanala otkrićete uređaje koji su spojeni domenu da bi napali. Da biste zaštitili uređaj od napada, uklonite nalog računara iz "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe kada se ažurira klijent za Netlogon korisnika nezavisnih proizvođača. Da biste bolje razumeli rizik od konfigurisanja mašinskih naloga za korišćenje ranjivih Netlogon bezbednih konekcija, posetite https://go.Microsoft.com/fwlink/?LinkId=2133485. Ime računara za mašinsko savetovanje: Domen: Tip naloga: Sistemski operativni sistem: Kreiranje sustava mašinskih operativnih sistema: Servisni paket za mašinski operativni sistem: |
ID događaja 5831
ID događaja 5831 će biti evidentiran kada podložnom Netlogon sigurnu mrežu pouzdanih kanala dozvoljava "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
|
Evidencija događaja |
Sistem |
|
Izvor događaja |
NETLOGON |
|
ID događaja |
5831 |
|
Nivo |
Upozorenje |
|
Tekst poruke o događaju |
Netlogon usluga je dozvolila ranjivom Netlogon vezu bezbednog kanala jer je nalog pouzdanih korisnika dozvoljen u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe". Upozorenje: Pomoću ranjivih Netlogon bezbednog kanala izložiće se aktivnim љumama direktorijuma za napad. Da bi zaštitili aktivne direktorijume šuma od napada, sva poverenja moraju da koriste bezbedan RPC pomoću bezbednog kanala Netlogon. Uklonite nalog pouzdanih naloga iz "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe kada se ažurira klijent za Netlogon klijenta na nezavisnom računaru. Da biste bolje razumeli rizik konfigurisanja naloga za pouzdanost radi korišćenja ranjivih Netlogon bezbednih konekcija, posetite https://go.Microsoft.com/fwlink/?LinkId=2133485. Tip naloga: Ime poverenja: Cilj poverenja: IP adresa klijenta: |
Vrednost registratora za režim sprovođenja.
upozoravajući da može doći do ozbiljnih problema ako neispravno izmenite registrator pomoću uređivača registratora ili pomoću drugog metoda. Ovi problemi mogu da zahteva da ponovo instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator izmenite na sopstveni rizik.
11. avgust 2020 ispravki predstavlja sljedeću postavku registratora da bi se omogućila funkcija sprovođenja ranije. Ovo će biti omogućeno bez obzira na postavku registratora u fazi sprovođenja, počevši od 9. februara, 2021:
|
Potključ registratora |
HKEY_LOCAL_MACHINE \System\currentcontrolset\services\netlogjen\parameters |
|
Vrednost |
Fullbezbedna zaštita |
|
Tip podataka |
REG_DWORD |
|
Podaci |
1 – ovo omogućava režim sprovođenja. Funkcija DCs će odbiti ranjivih Netlogon konekternetnog kanala za Netlogon, osim ako nalogu nije dozvoljen pristup na listi kreiranje ranjivih veza u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe. 0 – DCs omogućiće ranjivom Netlogon sigurnosnu mreћu kanala sa uređaja koji nisu Windows. Ova opcija će biti bez odobrenih u fazi objavljivanja u fazi sprovođenja. |
|
Obavezno ponovnog pokretanja sistema? |
Ne |
Implementacija uređaja nezavisnih proizvođača [MS-NRPC]: Netlogon Remote Protocol
Svi klijenti ili serveri nezavisnih proizvođača moraju da koriste bezbedan RPC pomoću bezbednog kanala Netlogon. Obratite se proizvođaču uređaja (OEM) ili proizvođačima softvera da biste utvrdili da li je njihov softver kompatibilan sa najnovijim Netlogon daljinskim protokolom.
Ispravke protokola mogu da se nalaze na lokaciji Windows Protocol dokumentacija dokumenta.
Najčešća pitanja (najčešća pitanja)
-
Windows & uređaja koji su spojeni u domenu na nezavisnom domenu koji imaju mašinski nalog u programu Active Directory (AD)
-
Windows Server & kontrolori domena nezavisnih proizvođača u pouzdanim & pouzdanost domena koji imaju pouzdane naloge u REKLAMI
Uređaji nezavisnih proizvođača možda nisu usaglašeni. Ako vaše rešenje nezavisnog proizvođača održava nalog računara u REKLAMI, obratite se dobavljaču da biste utvrdili da li imate uticaj na njega.
Odlaganja u radu oglasa i SYSVOL replikacije ili neuspesi aplikacije smernica grupe u programu za potvrdu identiteta programa DC mogu da dovedu do promena smernica grupe "kontroler domena: Dozvoljavanje ranjivih Netlogon bezbednih veza kanala "smernica grupe odsutnosti i rezultira zabranjenim nalogom.
Sledeći koraci mogu da pomognu u rešavanju problema:
-
Ako ste podesili smernice tako da sadrže grupu i napravili promene članstva u grupi da biste dodali nalog, proverite da li je DC koji je demantovao vezu replicirao lokalno članstvo u grupi. Napomenu Nije preporučuje se da dodate naloge direktno u smernice grupe.
-
Ako ste napravili promenu u smernicama i dodavali novi nalog ili novu grupu, proverite da li je promena smernica replicirana i primenjena: Pokretanje komandi gpupdatump/Force i gpresult/h
-
Više informacija o rešavanju problema sa aplikacijom smernica grupe i komponentama koje zavise od zavisnih stavki potražite u sledećem članku:
Podržane verzije operativnog sistema Windows koje su podrazumevano potpuno ažurirane ne bi trebalo da koriste ranjivih Netlogon konekternog kanala za bezbednu prijavu. Ako je ID događaja 5827 evidentiran u sistemska evidencija događaja za Windows uređaj:
-
Potvrdite da uređaj koristi podržane verzije operativnog sistema Windows.
-
Uverite se da je uređaj potpuno ažuriran pomoću usluge Windows Update.
-
Proverite da li je člana domena: Digitalno Šifruj ili potpišite sigurnosni kanali (uvek) je podešen na opciju "uključeno" u GPO koji je povezan sa uslugom, kao što su podrazumevani kontroleri domena GPO.
Da, trebalo bi da se ažuriraju, ali nisu posebno ranjivi na cve-2020-1472.
Ne, server je jedina uloga koju utiče cve-2020-1472 i može da se ažurira nezavisno od sistema koji nisu DC Windows i drugih Windows uređaja.
Windows Server 2008 SP2 nije podložan ovom određenom CVE programu jer ne koristi AES za osigurani RPC.
Da, biće vam potrebna Proširena bezbednosna ispravka (ESU) da biste instalirali ispravke na adresi cve-2020-1472 za Windows Server 2008 R2 SP1.
Primenom 11. avgusta 2020 ili novijih ispravki za sve kontrolore domena u okruženju.
Uverite se da nijedan od uređaja dodat u "kontroler domena: Dozvoljavanje ranjivih Netlogon bezbednih konekcija "smernica grupe" imaju usluge Office administracije ili domena – administracije, kao što su SCCM ili Microsoft Exchange. Napomenu Svakom uređaju na listi dozvoli biće dozvoljeno da koristi ranjive veze i može da izloži okruženje napadu.
Instaliranje ispravki objavljenim 11. avgusta 2020 ili novijim verzijama na upravljačima domena štiti Windows mašinske naloge, naloge poverenja i naloge kontrolora domena.
Active Directory mašinski nalozi za domen pridruženi su uređaji nezavisnih proizvođača nisu zaštićeni dok se ne primeni režim primene. Nalozi računara takođe nisu zaštićeni ako su dodati u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
Uverite se da su svi upravljači domena u okruženju instalirali 11. avgust 2020 ili noviju ispravku.
Svi identiteti uređaja koji su dodati u "kontroler domena: Dozvoli ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe će biti podložne napadu.
Uverite se da su svi upravljači domena u okruženju instalirali 11. avgust 2020 ili noviju ispravku.
Omogućite režim za primenu kako bi porekao ranjive veze od neusaglašenih identiteta nezavisnih proizvođača.
Napomenu Sa omogućenim režimom sprovođenja, bilo koji identitet nezavisnih proizvođača koji su dodati u "kontroler domena: Dozvoljavanje ranjivih Netlogon bezbednog kanala "smernica grupe i dalje će biti podložno ranjivom i može dopustiti napadaču neovlašćeni pristup mreži ili uređajima.
Režim za primenu saopštava kontrolorima domena da ne dozvoljavaju Netlogon veze sa uređaja koji ne koriste sigurnosni RPC osim ako nisu dodati nalog uređaja u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe.
Više informacija potražite u odeljku funkcija registratora za odeljak režim sprovođenja .
Samo mašinski nalozi za uređaje koji ne mogu da se osiguraju omogućavanjem bezbednog RPC-a na Netlogon bezbednom kanalu treba dodati smernicama grupe. Preporučuje se da ove uređaje usarade ili zamene ove uređaje da bi zaštitili okruženje.
Napadač može da preuzme Active Directory mašinski identitet bilo kog naloga računara koji je dodat smernicama grupe i potom koristi sve dozvole za identitet računara.
Ako imate uređaj nezavisnih proizvođača koji ne podržava Secure RPC za Netlogon sigurnosni kanali i želite da omogućite režim sprovođenja, trebalo bi da dodate nalog računara za taj uređaj u smernicama grupe. Ovo se ne preporučuje i možete da ostavite domen u potencijalno ranjivom stanju. Preporučuje se da koristite ove smernice grupe da biste omogućili vreme da ažurirate ili zamenite uređaje nezavisnih proizvođača kako bi bili usaglašeni.
Režim sprovođenja organa trebalo bi da bude omogućen što je pre moguće. Bilo koji uređaj nezavisnih proizvođača treba da se reši tako što će ih učiniti usaglašenim ili dodavanjem u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe. Napomenu Svakom uređaju na listi dozvoli biće dozvoljeno da koristi ranjive veze i može da izloži okruženje napadu.
Rečnik
|
Kratko |
Anja |
|
Rekla |
Active Directory |
|
TONOM |
Kontroler domena |
|
Ključ registratora koji vam omogućava da omogućite režim sprovođenja u programu unapred 9. februara, 2021. |
|
|
Faza počevši od 9. februara 2021 ispravki gde će režim sprovođenja organa biti omogućen za sve Windows kontrolore domena, bez obzira na postavku registratora. Funkcija DCs će odbiti ranjivih konektora od svih uređaja koji nisu usaglašeni, osim ako se ne dodaju u "kontroler domena: Omogućite ranjivom Netlogon sigurnosnu mreћu kanala "smernica grupe. |
|
|
Faza počevši od 11. avgusta 2020 i nastavlja se uz noviju ispravku dok ne dođe do faze sprovođenja. |
|
|
nalog računara |
Naziva se i Active Directory računar ili objekat računara. Pročitajte članak MS-NNR rečnik za punu definiciju. |
|
Remote ProtoCol za Microsoft Netlogon |
|
|
Neusaglašeni uređaj |
Uređaj koji nije usaglašen je onaj koji koristi ranjivom Netlogon mrežu bezbednog kanala. |
|
RODC |
kontrolori domena samo za čitanje |
|
Ranjiva veza |
Osetljivoj vezi je Netlogon konekcija bezbednog kanala koja ne koristi sigurnosni RPC. |
