Ursprungligt publiceringsdatum: den 13 augusti 2025

KB-ID: 5066014

I den här artikeln:

Sammanfattning

CVE-2025-49716 åtgärdar en säkerhetsrisk med överbelastning där oautentiserade fjärranvändare kan göra en serie Netlogon-baserade RPC-anrop (Remote Procedure Calls) som så småningom förbrukar allt minne på en domänkontrollant (DC). För att minimera den här säkerhetsrisken gjordes en kodändring i maj 2025-Windows-säkerhet-uppdateringen för Windows Server 2025 och Windows-säkerhet Uppdateringar för juli 2025 för alla andra serverplattformar från Windows Server 2008SP2 till Windows Server 2022.  Den här uppdateringen innehåller en säkerhetshärdningsändring av Microsoft RPC Netlogon-protokollet. Den här ändringen förbättrar säkerheten genom att skärpa åtkomstkontrollerna för en uppsättning RPC-begäranden (Remote Procedure Call). När den här uppdateringen har installerats tillåter Active Directory-domänkontrollanter inte längre anonyma klienter att anropa vissa RPC-begäranden via Netlogon RPC-servern. Dessa begäranden är vanligtvis relaterade till domänkontrollantens plats.

Efter den här ändringen kan vissa fil- & utskriftstjänstprogram påverkas, inklusive Samba. Samba har släppt en uppdatering för att anpassa den här ändringen. Mer information finns i Samba 4.22.3 – Viktig information.

För att kunna hantera scenarier där program från tredje part inte kan uppdateras släppte vi ytterligare konfigurationsfunktioner i Windows-säkerhet-uppdateringen från augusti 2025. Den här ändringen implementerar en registernyckelbaserad växlingsknapp mellan standardläget för tillämpning, ett granskningsläge som loggar ändringar men inte blockerar oautentiserade Netlogon RPC-anrop och ett inaktiverat läge (rekommenderas inte).)

Vidta åtgärder

För att skydda din miljö och undvika avbrott måste du först uppdatera alla enheter som är värd för Active Directory-domänkontrollanten eller LDS Server-rollen genom att installera de senaste Windows-uppdateringarna. DCs som har Windows-säkerhet Uppdateringar från 8 juli 2025 eller senare (eller Windows Server 2025 DCs med majuppdateringar) är säkra som standard och accepterar inte oautentiserade Netlogon-baserade RPC-samtal som standard. DCs som har den 12 augusti 2025 eller senare Windows-säkerhet Uppdateringar inte accepterar oautentiserade Netlogon-baserade RPC-anrop som standard, men kan konfigureras för att göra det tillfälligt.

  1. Övervaka din miljö för åtkomstproblem. Om det uppstår kontrollerar du om Netlogon RPC-härdningsändringarna är orsaken.

    1. Om bara juliuppdateringar installeras aktiverar du utförlig Netlogon-loggning med kommandot "Nltest.exe /dbflag:0x2080ffff" och övervakar sedan resulterande loggar för poster som liknar följande rad. Fälten OpNum och Method kan variera och representera den åtgärd och RPC-metod som blockerades:

      06/23 10:50:39 [KRITISKT] [5812] NlRpcSecurityCallback: avvisa ett obehörigt RPC-samtal från [IPAddr] OpNum:34 Method:DsrGetDcNameEx2

    2. Om windows-uppdateringarna för augusti eller senare installeras letar du efter Security-Netlogon Händelse 9015 på dina DC:er för att avgöra vilka RPC-samtal som avvisas. Om dessa samtal är kritiska kan du tillfälligt placera domänkontrollanten i granskningsläge eller inaktiverat läge medan du felsöker.

    3. Gör ändringar så att appen använder autentiserade Netlogon RPC-samtal eller kontakta programvaruleverantören för mer information.

  2. Om du placerar DC:er i granskningsläge övervakar du för Security-Netlogon händelse 9016 för att avgöra vilka RPC-anrop som skulle avvisas om du aktiverade tvingande läge. Gör sedan ändringar så att appen använder autentiserade Netlogon RPC-samtal eller kontakta programvaruleverantören för mer information.

Obs!: På Windows 2008 SP2- och Windows 2008 R2-servrar visas dessa händelser i systemhändelseloggarna som Netlogon-händelser 5844 respektive 5845 för tvingande läge respektive granskningsläge.

Tidsinställning för Windows-uppdateringar

Dessa Windows-uppdateringar släpptes i flera faser:

  1. Ursprunglig ändring den Windows Server 2025 (13 maj 2025) – Den ursprungliga uppdateringen som härdades mot oautentiserade Netlogon-baserade RPC-anrop inkluderades i maj 2025-Windows-säkerhet-uppdateringen för Windows Server 2025.

  2. Initiala ändringar på andra serverplattformar (8 juli 2025) – Uppdateringarna som hårdnade mot oautentiserade Netlogon-baserade RPC-anrop för andra serverplattformar inkluderades i Windows-säkerhet Uppdateringar i juli 2025.

  3. Tillägg av granskningsläge och inaktiverat läge (12 augusti 2025) – Tillämpning som standard med ett alternativ för gransknings- eller inaktiverade lägen inkluderades i Windows-säkerhet Uppdateringar augusti 2025.

  4. Borttagning av granskningsläge och inaktivt läge (TBD) – Vid ett senare tillfälle kan gransknings- och inaktiverade lägen tas bort från operativsystemet. Den här artikeln uppdateras när ytterligare information bekräftas.

Distributionsvägledning

Om du distribuerar Windows-säkerhet Uppdateringar augusti och vill konfigurera dina DC:er i gransknings- eller inaktiverat läge distribuerar du registernyckeln nedan med rätt värde. Ingen omstart krävs.

Sökväg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Registervärde

DCLocatorRPCSecurityPolicy

Värdetyp

REG_DWORD

Värdedata

0 – inaktiverat läge1 – granskningsläge2 – tvingande läge (standard)

Obs!: Oautentiserade begäranden tillåts i både gransknings- och inaktiverade lägen.

Nyligen tillagda händelser

Den 12 augusti 2025 Windows-säkerhet Uppdateringar kommer också att lägga till nya händelseloggar på Windows Server 2012 via Windows Server 2022 domänkontrollanter:

Händelselogg

Microsoft-Windows-Security-Netlogon/Operational

Händelsetyp

Information

Händelse-ID

9015

Händelsetext

Netlogon nekade ett RPC-samtal. Principen är i tvingande läge.

Klientinformation: Metodnamn: %method% Metod opnum: %opnum% Klientadress: <IP-adress> Klientidentitet: <uppringarens SID->

Mer information finns i https://aka.ms/dclocatorrpcpolicy.

Händelselogg

Microsoft-Windows-Security-Netlogon/Operational

Händelsetyp

Information

Händelse-ID

9016

Händelsetext

Netlogon tillät ett RPC-samtal som normalt skulle ha nekats. Principen är i granskningsläge.

Klientinformation: Metodnamn: %method% Metod opnum: %opnum% Klientadress: <IP-adress> Klientidentitet: <uppringarens SID->

Mer information finns i https://aka.ms/dclocatorrpcpolicy.

Obs!: På Windows 2008 SP2- och Windows 2008 R2-servrar visas dessa händelser i systemhändelseloggarna som Netlogon Events 5844 respektive 5845 för lägena Tvingande och Granskning.

Vanliga frågor och svar (vanliga frågor och svar)

De DCs som inte uppdateras med Windows-säkerhet Uppdateringar från 8 juli 2025 eller senare tillåter fortfarande oautentiserade Netlogon-baserade RPC-anrop & inte loggar händelser som är relaterade till den här säkerhetsrisken.

DCs som uppdateras med Windows-säkerhet Uppdateringar från 8 juli 2025 tillåter inte oautentiserade Netlogon-baserade RPC-samtal, men loggar inte en händelse när ett sådant samtal blockeras.

Som standard tillåter inte DC:er som uppdateras med Windows-säkerhet Uppdateringar från 12 augusti 2025 eller senare, oautentiserade Netlogon-baserade RPC-samtal, och en händelse loggas när ett sådant samtal blockeras.

Nej.

Facebook LinkedIn E-post

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter