Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Fjärrprotokollet för Netlogon (kallas även MS-NRPC) är ett RPC-gränssnitt som uteslutande används i domänansluten enhet. MS-NRPC innehåller autentiseringsmetod och metoder för att upprätta en säker Netlogon-kanal. Dessa uppdateringar tvingar angiven klient för Netlogon att använda Secure RPC med Netlogon Secure Channel mellan medlems datorer och Active Directory (AD)-domänkontrollanter (DC).

Säkerhets uppdateringen löser problemet genom att framtvinga Secure RPC när du använder den säkra kanalen för Netlogon i en stegvis version som beskrivs i uppdaterings perioden för uppdateringar i Netlogon säkerhets problem CVE-2020-1472 . Alla DCs: er måste uppdateras eftersom de ska framtvinga säker RPC med en säker Netlogon-kanal. Det inkluderar skrivskyddade domänkontrollanter (RODC).

Mer information om problemet finns i CVE-2020-1472.

Vidta åtgärder

Om du vill skydda din miljö och förhindra avbrott måste du göra följande:

Anteckning Steg 1 av installation uppdateringar som släpptes den 11 augusti 2020 eller senare löser säkerhets problem i CVE-2020-1472 för Active Directory – domäner och förtroenden, liksom Windows-enheter. Om du vill kunna lösa säkerhets problemet för enheter från tredje part måste du slutföra alla steg.

Varning Från och med den 1 februari 2021 aktive ras verk ställnings läget på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från enheter som inte är kompatibla. Då kommer du inte att kunna inaktivera verk ställnings läget.

  1. Uppdatera dina domänkontrollanter med en uppdatering som släpptes 11 augusti 2020 eller senare.

  2. Ta reda på vilka enheter som blir sårbara anslutningar genom att övervaka händelse loggar.

  3. Adressera icke-kompatibla enheter för att få sårbara anslutningar.

  4. Aktivera verk ställnings läget för att CVE-2020-1472 i din-miljö.


Anteckning Om du använder Windows Server 2008 R2 SP1behöver du en licens för utöknings bara säkerhets uppdateringar (ESU) för att kunna installera alla uppdateringar som löser problemet. Mer information om ESU-programmet hittar du i vanliga frågor och svar om utökade uppdateringar.

I den här artikeln:

Uppdaterings tidpunkt för Netlogon säkerhets problem CVE-2020-1472

Uppdateringarna kommer att släppas i två steg: den första fasen för uppdateringar som släpptes den 11 augusti 2020 och den verk ställande fas för uppdateringar som släpptes den 9 februari 2021.

11 augusti 2020 – Första distributions fas

Den första distributions fasen börjar med uppdateringarna som släpptes den 11 augusti 2020 och fortsätter med senare uppdateringar till den verk ställande fasen. Dessa och senare uppdateringar gör ändringar i Netlogon-protokollet för att skydda Windows-enheter som standard loggar händelser för ej kompatibel enhets identifiering och lägger till möjligheten att aktivera skydd för alla domänanslutna enheter med uttryckliga undantag. Den här versionen:

  • Tillämpar säker RPC-användning för dator konton på Windows-baserade enheter.

  • Tillämpar säker RPC-användning för förtroende konton.

  • Upprätthåller säker RPC-användning för alla Windows-och icke-Windows DCs.

  • Innehåller en ny grup princip för att tillåta icke-kompatibla enhets konton (sådana som använder sårbara säkra kanal anslutningar via Netlogon). Även när DCs körs i verk ställnings läge eller när den tvingande fasen startar, kommer de tillåtna enheterna inte att nekas anslutning.

  • FullSecureChannelProtection register nyckel för att aktivera tillämpnings läget för domänkontrollant för alla dator konton (tillämpnings fas uppdaterar DCS till tvingandeDC-läge).

  • Inkluderar nya händelser när-konton nekas eller nekas i läget för aktive ras domänkontrollant (och fortsätter i genomförande fasen). De speciella händelse-ID: n beskrivs senare i den här artikeln.

Skyddet består av installation av uppdateringen för alla domänkontrollanter och RODC: er, övervakning av nya händelser och Addressing av icke-kompatibla enheter som använder sårbara anslutningar i Secured Netlogon-kanal. Dator konton på enheter som inte är kompatibla kan tillåtas använda sårbara anslutnings kanaler i Netlogon. de bör dock uppdateras så att de stöder Secure RPC för Netlogon och kontot tillämpas så snart som möjligt för att ta bort risken för attacker.

9 februari 2021 – genomförande fas

Versionen från den 9 februari 2021 är över gången till den tvingande fasen. DCs kommer att vara i verk ställande läge oberoende av register nyckeln för tillämpnings läget. Detta kräver att alla Windows-och icke-Windows-enheter ska använda säker RPC med säker Netlogon-kanal eller explicit tillåta kontot genom att lägga till ett undantag för den icke-kompatibla enheten. Den här versionen:

Distributions rikt linjer – distribuera uppdateringar och verkställa efterlevnad

Fasen första distribution består av följande steg:

  1. Distribution av elfte uppdateringar för den elfte uppdateringentill alla domänkontrollanter i skogen.

  2. (a) för varnings händelseroch (b) fungerar för varje händelse.

  3. (a) när alla varnings händelser har åtgärd ATS kan fullständig skydd aktive ras genom att använda lägetför domänkontrollanten. (b) alla varningar bör lösas före den verk ställande uppdateringen från den 9 februari 2021.

steg 1: UPPDATERINGs

Distribuera 11 augusti 2020 uppdateringar

Distribuera de elfte uppdateringen för alla tillämpliga domänkontrollanter (DCs) i skogen, t. ex. skrivskyddade domänkontrollanter. När du har distribuerat denna uppdatering korrigerad DCs kommer:

  • Börja framtvinga säker RPC-användning för alla Windows-baserade enhets konton, förtroende konton och alla domänkontrollanter.

  • Logga händelse-ID 5827 och 5828 i system händelse loggen, om anslutningar nekas.

  • Logga händelse-ID 5830 och 5831 i system händelse loggen, om det är tillåtet att ansluta i "domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

  • Logga händelse-ID 5829 i system händelse loggen när en sårbar säker kanal anslutning för Netlogon tillåts. De här händelserna ska vara adresserade innan det tvingande konfigurations läget för domänkontrollant konfigureras eller innan den tvingande fasen startar den 9 februari 2021.

 

steg 2a: Hitta

Identifiera icke-kompatibla enheter med hjälp av Event ID 5829

Efter att de 11 augusti 2020 uppdateringarna har installerats i DCs kan händelser samlas in i händelse loggar för DOMÄNKONTROLLANT för att avgöra vilka enheter i din miljö som använder sårbara säkra kanal anslutningar i Netlogon (kallas som ej kompatibla enheter i den här artikeln). Övervaka patched DCs för händelse-ID 5829-händelser. I händelserna används relevant information för att identifiera de icke-kompatibla enheterna.

Om du vill övervaka händelser kan du använda tillgängliga program för händelse kontroll eller genom att använda ett skript för att övervaka din domänkontrollant.  Ett exempel skript som du kan använda för att anpassa sig till miljön finns i skript som hjälper dig att övervaka händelse-ID: n som är relaterade till Netlogon-uppdateringar för CVE-2020-1472

steg 2b: ADRESS

Adresserings händelser ID 5827 och 5828

Som standard ska de versioner av Windows som stöds och som inte är helt uppdaterade inte använda sårbara anslutnings kanaler i Netlogon. Om någon av de här händelserna loggas i system händelse loggen för en Windows-enhet:

  1. Kontrol lera att enheten kör versioner av Windows som stöds.

  2. Kontrol lera att enheten har uppdaterats helt.

  3. Kontrol lera att domän medlem: Kryptera eller signera data för säkra kanaler digitalt (alltid) är aktive rad.

För klienter som inte är Windows-enheter som agerar som domänkontrollanter loggas händelserna i system händelse loggen när sårbara anslutningar för säkra kanaler för Netlogon används. Om någon av de här händelserna loggas:

  • Rekommenderas Arbeta med tillverkaren av enheten eller program varan för att få support för säker RPC med säker Netlogon-kanal

    1. Om den icke-kompatibla DOMÄNKONTROLLANTen stöder säker RPC med säker Netlogon-kanal aktiverar du Secure RPC på DOMÄNKONTROLLANTen.

    2. Om den icke-kompatibla DOMÄNKONTROLLANTen för närvarande inte stöder Secure RPC, ska du arbeta med tillverkaren av enhets tillverkaren eller program varu tillverkaren för att få en uppdatering som stöder Secure RPC med Secure Netlogon-kanalen.

    3. Dra tillbaka den icke-kompatibla DOMÄNKONTROLLANTen.

  • Utsatt Om en icke-kompatibel DOMÄNKONTROLLANT inte stöder säker RPC med säker klient för Netlogon innan domänkontrollanten är i verk ställande lägelägger du till domänkontrollanten med hjälp av domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip beskrivs nedan.

Varning Att tillåta DCs att använda sårbara anslutningar av grup principen blir då sårbar för angrepp. Slut målet ska vara att adressera och ta bort alla konton från den här grup principen.

 

Adresserings händelse 5829

Händelse-ID 5829 genereras när en sårbar anslutning tillåts under den första distributions fasen. De här anslutningarna kommer att nekas när DCs är i verk ställnings läge. I de här händelserna ska du fokusera på det dator namn, domän-och OS-versioner som identifieras för att fastställa de icke-kompatibla enheterna och hur de ska tas emot.

Olika sätt att adressera icke-kompatibla enheter:

  • Rekommenderas Arbeta med tillverkaren av enheten eller program varan för att få support för säker RPC med säker Netlogon-kanal:

    1. Om den icke-kompatibla enheten har stöd för Secure RPC med säker Netlogon-kanal aktiverar du Secure RPC på enheten.

    2. Om den icke-kompatibla enheten för närvarande inte stöder Secure RPC med säker Netlogon-kanal kan du arbeta med tillverkaren av tillverkaren eller program varan för att få en uppdatering som gör att Secure RPC med säker Netlogon-kanal aktive ras.

    3. Dra tillbaka den icke-kompatibla enheten.

  • Utsatt Om en icke-kompatibel enhet inte stöder säker RPC med säker klient för Netlogon innan DCs är i verk ställande lägelägger du till enheten med hjälp av domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip beskrivs nedan.

Varning Om du vill att enhets konton ska använda sårbara anslutningar av grup principen innebär detta att annons kontot kommer att medföra risk. Slut målet ska vara att adressera och ta bort alla konton från den här grup principen.

 

Tillåta sårbara anslutningar från tredje parts enheter

Använd domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip för att lägga till icke-kompatibla konton. Det borde bara vara en kortsiktig påföljd tills icke-kompatibla enheter behandlas enligt beskrivningen ovan. Anteckning Att tillåta sårbara anslutningar från icke-kompatibla enheter kan ha okända säkerhets effekter och bör vara försiktiga.

  1. Skapar en eller flera säkerhets grupper för konton som kommer att ha tillåtelse att använda en sårbar säker kanal för Netlogon.

  2. Gå till dator konfiguration i grup princip > Windows-inställningar > säkerhets inställningar > lokala principer > säkerhets alternativ

  3. Sök efter "domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon.

  4. Om gruppen Administratörer eller om någon grupp som inte har skapats för att användas med den här grup principen finns, tar du bort den.

  5. Lägg till en säkerhets grupp som särskilt gjorts för att användas med den här grup principen för säkerhets beskrivningen med behörigheten "Tillåt". Anteckning Behörigheten neka fungerar på samma sätt som om kontot inte lades till, dvs. kontona kommer inte att kunna göra sårbara och säkra kanaler för Netlogon.

  6. När säkerhets gruppen har lagts till måste grup principen replikeras till alla domänkontrollanter.

  7. Kontrol lera regelbundet, övervaka händelser 5827, 5828 och 5829 för att avgöra vilka konton som använder sårbara säkra kanal anslutningar.

  8. Lägg till dator kontona i de säkerhets grupper som behövs. Metod tips Använd säkerhets grupper i grup principen och lägga till konton i gruppen så att medlemskapet replikeras via normal AD-replikering. Det här undviker vanliga uppdateringar av grup principer och fördröjningar vid replikering.

När alla enheter som inte är kompatibla har lösts kan du flytta domänkontrollanten till verk ställnings läge (se nästa avsnitt).

Varning Att tillåta DCs att använda sårbara anslutningar för förtroende konton genom grup principen blir då sårbar för angrepp. Förtroende konton namnges vanligt vis efter den betrodda domänen, t. ex.: DOMÄNKONTROLLANTen i domän-a har förtroende för domänkontrollant i domän-b. I en domän med domän-a finns ett säkerhets konto som kallas "domän-b $" som representerar förtroende objekt för domän-b. Om DOMÄNKONTROLLANTen i domän-a vill exponera en skog för att riskera risk för problem genom att tillåta sårbara säkra kanal anslutningar i Netlogon via domän b-kontot kan en administratör använda Add-ADGroupMember – ID "namn på säkerhets gruppen"-medlemmar "domän-b $" för att lägga till förtroende kontot i säkerhets gruppen.

 

Steg 3a: Aktivera

Övergå till verk ställnings läge före verk ställande fasen 2021 februari

När alla enheter som inte är kompatibla har adresser ATS, antingen genom att aktivera Secure RPC eller genom att tillåta sårbara anslutningar med domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip, ange register nyckeln FullSecureChannelProtection till 1.

Anteckning Om du använder domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip, kontrol lera att grup principen har replikerats och används för alla domänkontrollanter innan du anger register nyckeln FullSecureChannelProtection.

När register nyckeln FullSecureChannelProtection har distribuerats blir DCs i verk ställnings läge. Den här inställningen kräver att alla enheter använder en säker kanal för Netlogon:

Varning Klienter från tredje part som inte har stöd för säkra RPC med säker trafik i Netlogon kommer att nekas när register nyckeln i den tvingande domänkontrollanten distribueras och som kan störa produktions tjänsterna.

 

steg 3B: Verk ställande fas

Distribuera nio uppdateringar för februari 2021

Distribution av uppdateringar som släpptes 9 februari 2021 eller senare aktiverar aktiverat lägeför domänkontrollant. Läget för aktive ras domänkontrollant är när alla anslutningar för Netlogon antingen krävs för att använda Secure RPC, men kontot måste ha lagts till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip. För närvarande behövs inte längre register nyckeln FullSecureChannelProtection och stöds inte längre.

"Domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip

Metod tips är att använda säkerhets grupper i grup principen så att medlemskap replikeras via normal AD-replikering. Det här undviker vanliga uppdateringar av grup principer och fördröjningar vid replikering.

Princip Sök väg och inställnings namn

Beskrivning

Policy väg: Dator konfiguration > Windows-inställningar > säkerhets inställningar > lokala principer > säkerhets alternativ

Inställningens namn: domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon

Omstart krävs? Nej

Med den här säkerhets inställningen bestäms om domänkontrollanten kringgår säkra RPC för anslutningar för säkra kanaler för Netlogon för angivna dator konton.

Principen ska tillämpas på alla domänkontrollanter i en skog genom att aktivera principen för OU för domänkontrollanter.

När listan skapa sårbara anslutningar (listan Tillåt) är konfigurerad:

  • Tillåt Domänkontrollanten kommer att tillåta angivna grupper/konton att använda en säker Netlogon-kanal utan Secure RPC.

  • Inga Den här inställningen är samma som standard beteendet. Domänkontrollanten kräver att angivna grupper/konton använder en säker Netlogon-kanal med Secure RPC.

Varning Aktivering av den här principen utsätter dina domänanslutna enheter och din Active Directory-skog, vilket skulle kunna ge riskerna. Principen ska användas som tillfällig åtgärd för tredjepartsprogram när du distribuerar uppdateringar. När en enhet med en tredje part har uppdaterats till att stöda med säker RPC med Secured-kanaler i Netlogon, ska kontot tas bort från listan skapa sårbara anslutningar. Gå till https://go.microsoft.com/fwlink/?linkid=2133485 för att få bättre förståelse för hur du konfigurerar konton för att få åtkomst till sårbara anslutningar för säkra anslutningar via Netlogon.

Format Principen är inte konfigurerad. Inga datorer eller förtroende konton undantas explicit från Secure RPC med tvingande anslutningar för säkra kanaler i Netlogon.

Den här principen stöds i Windows Server 2008 R2 SP1 och senare.

Windows händelse logg fel som är relaterade till CVE-2020-1472

Det finns tre kategorier av händelser:

1. Händelser som loggas när en anslutning nekas eftersom sårbarheten för säker kanal för Netlogon försökte ansluta:

  • 5827 (dator konton) fel

  • 5828 (förtroende konton) fel

2. Händelser som loggas när en anslutning tillåts eftersom kontot lagts till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip:

  • 5830 (dator konton) varning

  • 5831 (konto för förtroende)

3. Händelser som loggas när en anslutning tillåts i den första versionen som kommer att nekas i lägetför aktive ras domänkontrollant:

  • 5829 (dator konton) varning

Händelse-ID 5827

Händelse-ID 5827 loggas när en sårbar säkerhets kanals anslutning av en sårbar Netlogon från ett dator konto nekas.

Händelse logg

System

Händelsekälla

RESURSERNA

Händelse-ID

5827

Nivå

Fel

Text i händelse meddelande

Tjänsten Netlogon nekade en sårbar säker kanal anslutning från ett dator konto.

Machine SamAccountName:

Reservdomänkontrollant

Kontotyp:

Datorns operativ system:

Version av operativ system för dator:

Service Pack för datorns operativ system:

Mer information om varför detta nekades finns på https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Händelse-ID 5828

Händelse-ID 5828 loggas när en sårbar säkerhets kanals anslutning med ett säkerhets konto nekas.

Händelse logg

System

Händelsekälla

RESURSERNA

Händelse-ID

5828

Nivå

Fel

Text i händelse meddelande

Tjänsten Netlogon nekade en sårbar säker anslutning via Netlogon med ett säkerhets konto.

Kontotyp:

Förtroende namn:

Förtroende mål:

IP-adress för klient:

Mer information om varför detta nekades finns på https://go.Microsoft.com/fwlink/?LinkId=2133485.

 

Händelse-ID 5829

Händelse-ID 5829 loggas bara under den Första distributions fasen, när en sårbar säkerhets kanals anslutning till en sårbar Netlogon från ett dator konto tillåts.

När tvingande läge för aktive ras för domänkontrollanten eller när en verk ställande fas börjar med distributionen av de 9 februari 2021 uppdateringarna, kommer de här anslutningarna att nekas och händelse-ID 5827 loggas. Det är därför viktigt att övervaka för händelse 5829 under den första distributions fasen och agera före verk ställande fas för att undvika avbrott.

Händelse logg

Inställningar

Händelse källa

RESURSERNA

Händelse-ID

5829

Jämn

Meddelande

Text i händelse meddelande

Med tjänsten Netlogon får du en sårbar säker kanal anslutning.  

Varning! Den här anslutningen kommer att nekas när den tvingande fasen släpps. Om du vill ha mer information om genomförandet går du till https://go.Microsoft.com/fwlink/?LinkId=2133485.  

Machine SamAccountName:  

Reservdomänkontrollant  

Kontotyp:  

Datorns operativ system:  

Version av operativ system för dator:  

Service Pack för datorns operativ system:  

Händelse-ID 5830

Händelse-ID 5830 loggas när en sårbar dator med säker dator konto anslutning för Netlogon tillåts av domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Händelse logg

System

Händelsekälla

RESURSERNA

Händelse-ID

5830

Nivå

Varning!

Text i händelse meddelande

Tjänsten Netlogon har tillåtelse att bli utsatt för en sårbar anslutnings kanal för Netlogon eftersom dator kontot är tillåtet i domänkontrollanten: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Varning! Om du använder sårbara och mottagliga Netlogon-kanaler, kommer de domänanslutena enheterna att exponeras för angrepp. Om du vill skydda din enhet från angrepps enheten tar du bort ett dator konto från domänkontrollanten: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip efter att den tredje parts Netlogon-klienten har uppdaterats. Gå till https://go.Microsoft.com/fwlink/?LinkId=2133485för att få bättre förståelse för hur du konfigurerar dator konton så att de kan använda sårbara säkra kanal anslutningar i Netlogon.

Machine SamAccountName:

Reservdomänkontrollant

Kontotyp:

Datorns operativ system:

Version av operativ system för dator:

Service Pack för datorns operativ system:

 

Händelse-ID 5831

Händelse-ID 5831 loggas när en sårbar säker kanals anslutning till ett säkerhets konto för Netlogon tillåts av domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Händelse logg

System

Händelsekälla

RESURSERNA

Händelse-ID

5831

Nivå

Varning!

Text i händelse meddelande

Tjänsten Netlogon har tillåtelse att bli utsatt för en sårbar anslutnings kanal för Netlogon eftersom förtroende kontot är tillåtet i domänkontrollanten: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Varning! Om du använder sårbara Secures-kanaler för Netlogon exponeras Active Directory-skogar för angrepp. Om du vill skydda Active Directory-skogarna från angrepps sätt måste du använda säker RPC med säker och säker kanal för Netlogon. Ta bort ett säkerhets konto från domänkontrollanten: Tillåt sårbara anslutningar för säkra kanaler i Netlogon med grup principer efter att klient resursen för Netlogon på domänkontrollanter har uppdaterats. Gå till https://go.Microsoft.com/fwlink/?LinkId=2133485för att få bättre förståelse för hur du konfigurerar förtroende konton för att få åtkomst till sårbara anslutningar för säkra anslutningar via Netlogon.

Kontotyp:

Förtroende namn:

Förtroende mål:

IP-adress för klient:

Registervärdet för tillämpnings läge

Varning om att allvarliga problem kan uppstå om du ändrar registret på fel sätt med Registereditorn eller med en annan metod. De här problemen kan innebära att du måste installera om operativ systemet. Microsoft kan inte garantera att problemen kan lösas. Ändrar registret på egen risk. 

Uppdateringen 11 augusti 2020 introducerar följande register inställning för att aktivera tillämpnings läget. Detta aktive ras oavsett vilken register inställning som påbörjas den 9 februari 2021: 

Under nyckel för register

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Värde

FullSecureChannelProtection

Datatyp

REG_DWORD

Data

1 – Detta aktiverar verk ställnings läge. DCs kommer att förhindra sårbara anslutningar för säkra anslutningar via Netlogon om kontot inte tillåts av listan skapa sårbara anslutningar i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.  

0 – DCs kommer att tillåta sårbara anslutnings kanaler i Netlogon från enheter som inte är Windows-enheter. Det här alternativet kommer att vara föråldrat i den verk ställande fas versionen.

Omstart krävs?

Nej

 

Enheter från tredje part som tillämpar [MS-NRPC]: Remote-protokoll för Netlogon

Alla klienter och servrar från tredje part måste använda Secure RPC med den säkra kanalen för Netlogon. Kontakta tillverkaren av enheten och program varan för att ta reda på om program varan är kompatibel med det senaste Remote-protokollet för Netlogon. 

Protokoll uppdateringarna hittar du på webbplatsen för Windows-protokollinformation

Vanliga frågor och svar

  • Windows & tredjeparts domän anslutna enheter som har dator konton i Active Directory (AD)

  • Windows Server & domänkontrollanter med tredje part i betrodd & förtroende domäner som har förtroende konton i AD

Enheter från tredje part kanske inte är kompatibla. Om du har ett dator konto i AD för en utomstående lösning kontaktar du åter försäljaren för att ta reda på om du påverkas.

Förseningar i AD-och SYSVOL-replikering eller program fel för grup princip på autentisering DOMÄNKONTROLLANTen kan göra ändringar i grup princip "domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip inte vara frånvarande och leda till att kontot nekas. 

Följande steg kan hjälpa dig att felsöka problemet:

Som standard ska de versioner av Windows som stöds och som inte är helt uppdaterade inte använda sårbara anslutnings kanaler i Netlogon. Om en händelse-ID 5827 loggas i system händelse loggen för en Windows-enhet:

  1. Kontrol lera att enheten kör versioner av Windows som stöds.

  2. Kontrol lera att enheten har uppdaterats helt från Windows Update.

  3. Kontrol lera att domän medlem: Kryptera eller automatiskt kryptera data med säkra kanaler (alltid) är aktive rad i ett GPO som är länkat till ORGANISATIONSENHETen för alla domänkontrollanter, t. ex. domänens Standarddomänkontrollant.

Ja, de bör uppdateras, men de är inte särskilt känsliga för CVE-2020-1472.

Nej, DCs är den enda roll som påverkas av CVE-2020-1472 och kan uppdateras oberoende av Windows-servrar som inte är domänkontrollanter och andra Windows-enheter.

Windows Server 2008 SP2 är inte sårbart för just det här CVE eftersom AES inte används för säkra RPC.

Ja, du kommer att behöva Extended säkerhets uppdatering (ESU) för att installera uppdateringarna för address CVE-2020-1472 för Windows Server 2008 R2 SP1.

Genom att distribuera de 11 augusti 2020 eller senare uppdateringar till alla domänkontrollanter i miljön.

Kontrol lera att ingen av enheterna läggs till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip har behörighet som företags administratör eller domän administratör, t. ex. SCCM eller Microsoft Exchange.  Anteckning Vilken enhet som helst i listan över tillåtna användare kommer att ha tillåtelse att använda sårbara anslutningar och kan exponera din miljö för angreppet.

Installation av uppdateringar som släpptes 11 augusti 2020 eller senare på domänkontrollanter skyddar Windows-baserade dator konton, kontona för förtroende och domänkontrollant. 

Active Directory-dator konton för domän anslutna enheter från tredje part skyddas inte förrän verk ställnings läget distribueras. Dator konton skyddas inte heller om de läggs till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Kontrol lera att alla domänkontrollanter i miljön har installerat uppdateringarna för 11 augusti 2020 eller senare.

Alla enhets identiteter som har lagts till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip blir sårbar för angrepp.   

Kontrol lera att alla domänkontrollanter i miljön har installerat uppdateringarna för 11 augusti 2020 eller senare. 

Aktivera verk ställnings läget för att förhindra sårbara anslutningar från icke-kompatibla enhets identiteter från tredje part.

Anteckning Med tvingande läge aktiverat är alla enheter från tredje part som har lagts till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip kommer fortfarande att bli sårbara och kan tillåta obehörig åtkomst till nätverket eller enheterna.

I verk ställnings läget ser domänkontrollanterna inte att heller tillåta Netlogon-anslutningar från enheter som inte använder säker RPC om inte kontot har lagts till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Mer information finns i avsnittet om registervärdet för verk ställnings läge .

Endast dator konton för enheter som inte går att skydda genom att aktivera Secure RPC i Netlogon Secure Channel ska läggas till i grup principen. Vi rekommenderar att enheterna blir kompatibla eller ersätter enheterna för att skydda din miljö.

En angripare kan ta över en dator identitet i Active Directory för alla dator konton som lagts till i grup principen och sedan använda alla behörigheter som datorns identitet har.

Om du har en enhet från tredje part som inte har stöd för Secure RPC för den säkra kanalen för Netlogon, och du vill aktivera tillämpnings läget, ska du lägga till dator kontot för den enheten i grup principen. Detta rekommenderas inte och kan medföra risk för din domän.  Vi rekommenderar att du använder den här grup principen för att tillåta att tid uppdaterar eller ersätter alla enheter från tredje part för att göra dem kompatibla.

Verk ställnings läget ska aktive ras så snart som möjligt. Alla enheter från tredje part måste adresseras antingen genom att göra dem kompatibla eller genom att lägga till dem i "domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip. Anteckning Vilken enhet som helst i listan över tillåtna användare kommer att ha tillåtelse att använda sårbara anslutningar och kan exponera din miljö för angreppet.

 

Längre

Term

Attributdefinition

AD

Active Directory

KÄLLDOMÄNKONTROLLANTEN

Domänkontrollant

Verk ställnings läge

Register nyckeln som gör att du kan aktivera verk ställnings läget i förväg den 9 februari 2021.

Verk ställande fas

I början av uppdateringen från den 9 februari 2021 där verk ställnings läge aktive ras på alla Windows-domänkontrollanter, oavsett register inställningar. DCs kommer att förhindra sårbara anslutningar från alla enheter som inte är kompatibla, utom när de läggs till i domänkontrollant: Tillåt sårbara anslutningar för säkra kanaler i Netlogon "grup princip.

Första distributions fas

Från 11 augusti 2020 uppdateringar och fortsätter med senare uppdateringar till den verk ställande fasen.

dator konto

Kallas även för Active Directory-dator eller dator objekt.  I ord listan i MS-NPRC finns fullständig definition.

MS-NRPC

Fjärrprotokoll för Microsoft Netlogon

Ej kompatibel enhet

En icke-kompatibel enhet är en som använder en sårbar säker kanal anslutning för Netlogon.

RODC

skrivskyddade domänkontrollanter

Sårbar anslutning

En sårbar anslutning är en säker anslutnings kanal för Netlogon som inte använder Secure RPC.
Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×