Originalni datum objavljivanja: 13. avgust 2025.

KB ID: 5066014

U ovom članku:

Rezime

CVE-2025-49716 se odnose na ranjivost zabrane korišćenja usluge gde udaljeni neovlašćeni korisnici mogu da upućuju niz poziva udaljene procedure zasnovane na netlogonu (RPC) koji na kraju troše svu memoriju na kontroloru domena (DC). Da bi se umanjila ova ranjivost, izvršena je promena koda u maju 2025. Windows bezbednost Ispravka za Windows Server 2025 i Windows bezbednost Novosti. jula 2025. za sve druge serverske platforme iz programa Windows Server 2008SP2 na Windows Server 2022, uklјuče.  Ova ispravka obuhvata promenu bezbednosnog otežanog pristupa protokolu Microsoft RPC Netlogon. Ova promena poboljšava bezbednost tako što pooštrava provere pristupa za skup zahteva za pozive udaljene procedure (RPC). Kada se ova ispravka instalira, active Directory kontrolori domena više neće dozvoljavati anonimnim klijentima da pozivaju neke RPC zahteve putem Netlogon RPC servera. Ovi zahtevi su obično povezani sa lokacijom kontrolera domena.

Posle ove promene, može uticati na & usluge štampanja, uključujući i sambu. Samba je objavio ispravku da bi se prilagodio ovoj promeni. Više informacija potražite u članku Samba 4.22.3 – napomene uz izdanje.

Da bismo prilagodili scenarije u kojima ugroženi softver nezavisnih proizvođača ne može da se ažurira, objavili smo dodatnu mogućnost konfiguracije u ispravki iz avgusta 2025. Windows bezbednost. Ova promena primenjuje preklopnik zasnovan na ključu registratora između podrazumevanog režima sprovođenja, režima nadzora koji evidentira promene, ali neće blokirati neovlašćene Netlogon RPC pozive i onemogućeni režim (ne preporučuje se).

Preduzimanje radnje

Da biste zaštitili okruženje i izbegli prekede, prvo ažurirajte sve uređaje koji hostuju Active Directory kontroler domena ili LDS Server ulogu tako što ćete instalirati najnovije Windows ispravke. DC-i koji imaju 8. jul 2025. ili noviji Windows bezbednost Novosti (ili Windows Server 2025 DCs sa ispravkama za maj) podrazumevano su bezbedni i podrazumevano ne prihvataju neovlašćene RPC pozive zasnovane na netlogonu. Računari koji imaju RPC pozive zasnovane na 12. avgustu 202 Windows bezbednost Novosti 5. ili novijim verzijama podrazumevano ne prihvataju neovlašćene RPC pozive zasnovane na netlogonu, ali mogu se konfigurisati da to rade privremeno.

  1. Nadgledajte okruženje za probleme sa pristupom. Ako se naiđe na to, potvrdite da li su netlogon RPC ojačene promene osnovni uzrok.

    1. Ako su instalirane samo ispravke za jul, omogućite detaljno Netlogon evidentiranje pomoću komande "Nltest.exe /dbflag:0x2080ffff", a zatim nadgledajte dobijene evidencije za stavke koje su nalik na sledeći red. Polja OpNum i Method mogu da se razlikuju i predstavljaju operaciju i RPC metod koji je blokiran:

      06/23 10:50:39 [KRITIČNO] [5812] NlRpcSecurityCallback: odbijanje neovlašćenog RPC poziva iz [IPAddr] OpNum:34 metod:DsrGetDcNameEx2

    2. Ako su instalirane ispravke za avgust ili novije verzije operativnog sistema Windows, potražite Security-Netlogon Događaj 9015 na računarima da biste utvrdili koji RPC pozivi se odbacuju. Ako su ovi pozivi kritični, možete privremeno da stavite DC u režim nadzora ili onemogućeni režim dok rešavate probleme.

    3. Izvršite promene tako da aplikacija koristi ovlašćene Netlogon RPC pozive ili se za više informacija obratite prodavcu softvera.

  2. Ako stavite DC-e u režim nadzora, nadgledajte događaj Security-Netlogon događaj 9016 da biste utvrdili koji RPC pozivi će biti odbijeni ako uključite režim sprovođenja. Zatim izvršite promene tako da aplikacija koristi ovlašćene Netlogon RPC pozive ili se za dodatne informacije obratite dobavljaču softvera.

Napomena: Na Windows 2008 SP2 i Windows 2008 R2 serverima, ovi događaji će se videti u evidencijama događaja sistema kao Netlogon Events 5844 i 5845, tim redom, za režim sprovođenja i režim nadzora.

Vremenski raspored ispravki za Windows

Ove ispravke za Windows objavljene su u nekoliko faza:

  1. Početna promena Windows Server 2025. (13. maj 2025.) – Originalna ispravka koja je ojačana u odnosu na neovlašćene RPC pozive zasnovane na netlogonu uključena je u maju 2025. Windows bezbednost Ispravka za Windows Server 2025.

  2. Početne promene na drugim platformama servera (8. jul 2025.) – Ispravke koje su se ojačile u odnosu na neovlašćene RPC pozive zasnovane na netlogonu za druge serverske platforme uključene su u Windows bezbednost Novosti.

  3. Dodavanje režima nadzora i onemogućenog režima (12. avgust 2025.) – Sprovođenje je podrazumevano sa opcijom za režime nadzora ili onemogućenosti uključeno u Windows bezbednost Novosti. avgusta 2025.

  4. Uklanjanje režima nadzora i onemogućenog režima (TBD) – Kasnije će režimi nadzora i onemogućenosti biti uklonjeni iz operativnog sistema. Ovaj članak će biti ažuriran kada budu potvrđeni dodatni detalji.

Uputstva za primenu

Ako primenite avgustski Windows bezbednost Novosti i želite da konfigurišete računare u režim nadzora ili onemogućenosti, primenite ključ registratora ispod sa odgovarajućom vrednošću. Nije potrebno ponovno pokretanje.

Putanja

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Vrednost registratora

DCLocatorRPCSecurityPolicy

Tip vrednosti

REG_DWORD

Podaci o vrednosti

0 - Onemogućeni režim1 – režimnadzora 2 – režim sprovođenja (podrazumevano)

Napomena: Nepotvrđeni zahtevi će biti dozvoljeni i u režimima "Nadzor" i "Onemogućeno".

Novi dodati događaji

Događaj od 12. avgusta 2025. Windows bezbednost Novosti dodaće i nove evidencije događaja za Windows Server 2012. po Windows Server 2022. kontrolera domena:

Evidencija događaja

Microsoft-Windows-Security-Netlogon/Operational

Tip događaja

Informacije

ID događaja

9015

Tekst događaja

Netlogon je odbio RPC poziv. Smernice su u režimu nametanja.

Informacije o klijentu: Ime metoda: %method% Opnum metoda: %opnum% Adresa klijenta: <IP> Identitet klijenta: <SID pozivaoca>

Dodatne informacije potražite u https://aka.ms/dclocatorrpcpolicy.

Evidencija događaja

Microsoft-Windows-Security-Netlogon/Operational

Tip događaja

Informacije

ID događaja

9016

Tekst događaja

Netlogon je dozvolio RPC poziv koji obično ne bi bio odbijen. Smernice su u režimu nadzora.

Informacije o klijentu: Ime metoda: %method% Opnum metoda: %opnum% Adresa klijenta: <IP> Identitet klijenta: <SID pozivaoca>

Dodatne informacije potražite u https://aka.ms/dclocatorrpcpolicy.

Napomena: Na Windows 2008 SP2 i Windows 2008 R2 serverima, ovi događaji će se videti u evidencijama događaja System kao Netlogon Events 5844 i 5845, tim redom, za režime sprovođenja i nadzora.

Najčešća pitanja (najčešća pitanja)

DC-ovi koji nisu ažurirani 8. jula 2025. Windows bezbednost Novosti ili novijim verzijama, i dalje će omogućiti neovlašćene RPC pozive zasnovane na netlogonu & evidentira događaje koji se odnose na ovu ranjivost.

DC-Windows bezbednost Novosti koji su ažurirani pozivima 8. jula 2025. neće dozvoliti neovlašćene RPC pozive zasnovane na netlogonu, ali neće evidentirati događaj kada je takav poziv blokiran.

DC-ove koji se ažuriraju 12. avgusta 2025. Windows bezbednost Novosti ili novijim verzijama neće dozvoliti neovlašćene RPC pozive zasnovane na netlogonu i evidentiraće događaj kada je takav poziv blokiran.

Ne.

Facebook LinkedIn E-pošta

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost