บทสรุป
โพรโทคอล Netlogon ระยะไกล (หรือที่เรียกว่า NRPC) คืออินเทอร์เฟซ RPC ที่ใช้แบบเอกสิทธิ์เฉพาะบุคคลโดยอุปกรณ์ที่เข้าร่วมโดเมน NRPC มีวิธีการรับรองความถูกต้องและวิธีการสร้างแชนเนลที่ปลอดภัย Netlogon การอัปเดตเหล่านี้บังคับใช้ลักษณะการทำงานของไคลเอ็นต์ Netlogon ที่ระบุเพื่อใช้การรักษาความปลอดภัยของ RPC ด้วยแชนเนล secure Netlogon ระหว่างคอมพิวเตอร์ของสมาชิกและตัวควบคุมโดเมน Active Directory (AD) (DC)
การปรับปรุงการรักษาความปลอดภัยนี้จะจัดการกับความเสี่ยงด้านความปลอดภัยในการบังคับใช้การรักษาความปลอดภัยของ RPC เมื่อใช้แชนเนล secure Netlogon ในการเผยแพร่ที่ได้รับการเผยแพร่ในช่วงเวลาของการอัปเดตไปยังที่อยู่ Netlogon-2020-1472ส่วน เมื่อต้องการให้การปกป้องฟอเรสต์ AD, DCs ทั้งหมดต้องได้รับการอัปเดตแล้วเนื่องจากพวกเขาจะบังคับใช้การรักษาความปลอดภัยของ RPC ด้วยแชนเนล secure Netlogon ซึ่งรวมถึงตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC)
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ให้ดูที่CVE-2020-1472
ดำเนินการ
เมื่อต้องการปกป้องสภาพแวดล้อมของคุณและป้องกันไม่ให้หยุดชะงักคุณจะต้องทำดังต่อไปนี้:
หมายเหตุ: ขั้นตอนที่1จากการติดตั้งการอัปเดตที่เผยแพร่ในวันที่11สิงหาคม๒๐๒๐หรือเวอร์ชันที่ใหม่กว่าจะมีปัญหาด้านการรักษาความปลอดภัยใน CVE-2020-1472 สำหรับโดเมนและความเชื่อถือไดเรกทอรีที่ใช้งานอยู่ตลอดจนอุปกรณ์ที่ใช้ Windows เมื่อต้องการลดปัญหาด้านความปลอดภัยสำหรับอุปกรณ์ของบริษัทอื่นอย่างสมบูรณ์คุณจะต้องทำตามขั้นตอนทั้งหมดให้เสร็จสมบูรณ์
คำเตือน การเริ่มต้นของเดือนกุมภาพันธ์๒๐๒๑จะเปิดใช้งานโหมดการบังคับใช้ในตัวควบคุมโดเมนของ Windows ทั้งหมดและจะบล็อกการเชื่อมต่อที่เปราะบางจากอุปกรณ์ที่ไม่เข้ากัน ในขณะนั้นคุณจะไม่สามารถปิดใช้งานโหมดการบังคับใช้ได้
-
อัปเด ตตัวควบคุมโดเมนของคุณด้วยการอัปเดตที่เผยแพร่ในวันที่11สิงหาคม๒๐๒๐หรือใหม่กว่า
-
ค้นหา อุปกรณ์ที่ทำให้การเชื่อมต่อที่มีความเปราะบางของการตรวจสอบบันทึกเหตุการณ์
-
ที่อยู่อุปกรณ์ที่ ไม่เข้ากันได้ทำให้การเชื่อมต่อที่มีความเสี่ยง
-
เปิดใช้งาน โหมดการบังคับให้กับที่อยู่ CVE-2020-1472ในสภาพแวดล้อมของคุณ
หมายเหตุ: ถ้าคุณกำลังใช้Windows Server ๒๐๐๘ R2 SP1คุณจำเป็นต้องมีสิทธิ์การใช้งานการอัปเดตความปลอดภัยเพิ่มเติม (ESU) เพื่อติดตั้งการอัปเดตที่อยู่ในปัญหานี้เสร็จเรียบร้อยแล้ว สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรม ESU โปรดดูคำถามที่ถามบ่อยเกี่ยวกับวัฏจักร-การอัปเดตความปลอดภัยเพิ่มเติม
ในบทความนี้:
-
การกำหนดเวลาของการอัปเดตไปยังที่อยู่ Netlogon ความเสี่ยง CVE-2020-1472
-
"ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง " นโยบายกลุ่ม
-
ข้อผิดพลาดในการบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2020-1472
-
อุปกรณ์ของบริษัทอื่นที่ใช้งาน [MS-NRPC]: โพรโทคอล Netlogon ระยะไกล
การกำหนดเวลาของการอัปเดตไปยังที่อยู่ Netlogon ความเสี่ยง CVE-2020-1472
การอัปเดตจะถูกเผยแพร่ในสองขั้นตอน: ขั้นตอนเริ่มต้นสำหรับการอัปเดตที่เผยแพร่ในวันที่11สิงหาคม๒๐๒๐และขั้นตอนการบังคับใช้สำหรับการอัปเดตที่เผยแพร่ในวันที่9กุมภาพันธ์๒๐๒๑
11สิงหาคม๒๐๒๐-ขั้นตอนการปรับใช้ครั้งแรก
ขั้นตอนการปรับใช้เริ่มต้นจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่11สิงหาคม๒๐๒๐และยังมีการอัปเดตในภายหลังจนกว่าจะถึงขั้นตอนการบังคับใช้ การอัปเดตเหล่านี้และใหม่กว่าจะทำการเปลี่ยนแปลงไปยังโพรโทคอล Netlogon เพื่อป้องกันอุปกรณ์ Windows ตามค่าเริ่มต้นบันทึกเหตุการณ์สำหรับการค้นหาอุปกรณ์ที่ไม่เข้ากันและเพิ่มความสามารถในการเปิดใช้งานการป้องกันสำหรับอุปกรณ์ที่เข้าร่วมโดเมนทั้งหมดที่มีข้อยกเว้นที่ชัดเจน การเผยแพร่นี้:
-
บังคับใช้การใช้งาน RPC ที่ปลอดภัยสำหรับบัญชีเครื่องบนอุปกรณ์ที่ใช้ Windows
-
บังคับใช้การใช้งาน RPC ที่ปลอดภัยสำหรับบัญชีความเชื่อถือ
-
บังคับใช้การใช้งาน RPC ที่ปลอดภัยสำหรับ Windows และที่ไม่ใช่ Windows DCs
-
รวมนโยบายกลุ่มใหม่เพื่ออนุญาตให้ใช้บัญชีอุปกรณ์ที่ไม่เข้ากันได้ (ผู้ที่ใช้การเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง) แม้ว่า DCs กำลังทำงานในโหมดการบังคับใช้หรือหลังจากเริ่มต้นการบังคับใช้อุปกรณ์ที่อนุญาตจะไม่ได้รับการปฏิเสธการเชื่อมต่อ
-
FullSecureChannelProtection รีจิสทรีคีย์เพื่อเปิดใช้งานโหมดการบังคับใช้ DC สำหรับบัญชีเครื่องทั้งหมด (ขั้นตอนการบังคับใช้จะอัปเดต DCs กับโหมดการบังคับใช้ dc)
-
มีเหตุการณ์ใหม่เมื่อบัญชีถูกปฏิเสธหรือถูกปฏิเสธในโหมดการบังคับใช้ DC (และจะดำเนินการต่อในขั้นตอนการบังคับใช้) Event Id จะอธิบายในภายหลังในบทความนี้
การปรับปรุงจะมีการติดตั้งการอัปเดตบน DCs และ RODCs ทั้งหมดการตรวจสอบสำหรับเหตุการณ์ใหม่และการจัดการกับอุปกรณ์ที่ไม่เข้ากันได้ที่ใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง บัญชีเครื่องบนอุปกรณ์ที่ไม่สามารถเข้ากันได้สามารถใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง อย่างไรก็ตามพวกเขาควรได้รับการอัปเดตเพื่อสนับสนุน RPC secure สำหรับ Netlogon และบัญชีผู้ใช้จะถูกนำไปใช้โดยเร็วที่สุดเท่าที่เป็นไปได้เพื่อเอาความเสี่ยงของการโจมตีออก
9กุมภาพันธ์๒๐๒๑-ขั้นตอนการบังคับใช้
การเผยแพร่ในวันที่9กุมภาพันธ์๒๐๒๑ให้ทำเครื่องหมายการเปลี่ยนไปยังขั้นตอนการบังคับใช้ ขณะนี้ DCs จะอยู่ในโหมดการบังคับใช้โดยไม่คำนึงถึงคีย์รีจิสทรีของโหมดการบังคับใช้ ซึ่งจำเป็นต้องใช้อุปกรณ์ Windows และที่ไม่ใช่ Windows ทั้งหมดในการใช้งาน RPC ที่ปลอดภัยด้วยแชนเนล secure Netlogon หรืออนุญาตให้บัญชีได้โดยการเพิ่มข้อยกเว้นสำหรับอุปกรณ์ที่ไม่เข้ากัน การเผยแพร่นี้:
-
บังคับใช้การใช้งาน RPC ที่ปลอดภัยสำหรับบัญชีผู้ใช้บนอุปกรณ์ที่ไม่ได้ใช้ Windows เว้นแต่จะได้รับอนุญาตจาก "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
-
การบันทึกเหตุการณ์ ID ๕๘๒๙จะถูกเอาออก เนื่องจากการเชื่อมต่อที่มีความเปราะบางจะถูกปฏิเสธคุณจะเห็นเฉพาะเหตุการณ์ Id ๕๘๒๗และ๕๘๒๘ในบันทึกเหตุการณ์ของระบบเท่านั้น
แนวทางการปรับใช้-ปรับใช้การอัปเดตและบังคับใช้การปฏิบัติตาม
ขั้นตอนการ ปรับใช้เริ่มต้นจะประกอบด้วยขั้นตอนต่อไปนี้:
-
การปรับใช้การอัปเดต11สิงหาคมไปยัง DCs ทั้งหมดในฟอเรสต์
-
(a)การตรวจสอบเหตุการณ์การแจ้งเตือนและการกระทำ (b)ในแต่ละเหตุการณ์
-
(a) เมื่อเหตุการณ์การแจ้งเตือนทั้งหมดได้รับการแก้ไขแล้วการป้องกันทั้งหมดสามารถเปิดใช้งานได้โดยการปรับใช้โหมดการบังคับใช้ DC (ข) คำเตือนทั้งหมดควรได้รับการแก้ไขก่อนที่จะมีการอัปเดตการบังคับใช้9กุมภาพันธ์ของ๒๐๒๑
ขั้นตอนที่ 1: อัปเด
ปรับใช้การอัปเดต11สิงหาคม๒๐๒๐
ปรับใช้การอัปเดต11สิงหาคมไปยังตัวควบคุมโดเมนที่เกี่ยวข้องทั้งหมด (DCs) ในฟอเรสต์รวมถึงตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) หลังจากปรับใช้การอัปเดต DCs นี้จะ:
-
เริ่มบังคับใช้การใช้งาน RPC ที่ปลอดภัยสำหรับบัญชีอุปกรณ์ที่ใช้ Windows ทั้งหมดบัญชีเชื่อถือและ DCs ทั้งหมด
-
บันทึกเหตุการณ์ Id ๕๘๒๗และ๕๘๒๘ในบันทึกเหตุการณ์ของระบบถ้าการเชื่อมต่อถูกปฏิเสธ
-
บันทึกเหตุการณ์ Id ๕๘๓๐และ๕๘๓๑ในบันทึกเหตุการณ์ของระบบถ้าการเชื่อมต่อได้รับอนุญาตโดย "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
-
บันทึก event ID ๕๘๒๙ในบันทึกเหตุการณ์ของระบบเมื่อใดก็ตามที่มีการเชื่อมต่อการรักษาความปลอดภัย Netlogon ที่มีความเสี่ยง เหตุการณ์เหล่านี้ควรได้รับการแก้ไขก่อนที่จะมีการกำหนดค่าโหมดการบังคับใช้ DC หรือก่อนเริ่มต้นการบังคับใช้ในวันที่9กุมภาพันธ์๒๐๒๑
ขั้นตอนที่ 2a: ค้นหา
การตรวจหาอุปกรณ์ที่ไม่สอดคล้องกันโดยใช้ event ID ๕๘๒๙
หลังจากวันที่11สิงหาคมการอัปเดต๒๐๒๐ได้ถูกนำไปใช้กับ DCs เหตุการณ์สามารถรวบรวมในบันทึกเหตุการณ์ DC เพื่อกำหนดว่าอุปกรณ์ใดในสภาพแวดล้อมของคุณกำลังใช้การเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง (เรียกว่าอุปกรณ์ที่ไม่เข้ากันได้ในบทความนี้) การตรวจสอบการ patched DCs สำหรับเหตุการณ์ ID ๕๘๒๙เหตุการณ์ เหตุการณ์จะรวมข้อมูลที่เกี่ยวข้องสำหรับการระบุอุปกรณ์ที่ไม่สอดคล้องกัน
เมื่อต้องการตรวจสอบเหตุการณ์ให้ใช้ซอฟต์แวร์การตรวจสอบเหตุการณ์ที่พร้อมใช้งานหรือโดยการใช้สคริปต์เพื่อตรวจสอบ DCs ของคุณ สำหรับตัวอย่างสคริปต์ที่คุณสามารถปรับให้เหมาะกับสภาพแวดล้อมของคุณให้ดูสคริปต์ที่จะช่วยในการตรวจสอบ id เหตุการณ์ที่เกี่ยวข้องกับการอัปเดต Netlogon สำหรับ CVE-2020-1472
ขั้นตอนที่ 2b: ที่อยู่
จัดการเหตุการณ์ IDs ๕๘๒๗และ๕๘๒๘
ตามค่าเริ่มต้น การสนับสนุน Windows เวอร์ชันที่ได้รับการอัปเดตแล้วจะไม่สามารถใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง ถ้าหนึ่งในเหตุการณ์เหล่านี้ถูกบันทึกในบันทึกเหตุการณ์ของระบบสำหรับอุปกรณ์ Windows:
-
ยืนยันว่าอุปกรณ์กำลังใช้งาน Windows เวอร์ชันที่ได้รับการสนับสนุน
-
ตรวจสอบให้แน่ใจว่าอุปกรณ์ได้รับการอัปเดตแล้ว
-
ตรวจสอบเพื่อให้แน่ใจว่าสมาชิกโดเมน : การเข้ารหัสลับแบบดิจิทัลหรือเซ็นชื่อแชนเนลที่ปลอดภัย (เสมอ) ถูกตั้งค่าเป็นเปิดใช้งาน
สำหรับอุปกรณ์ที่ไม่ใช่ Windows ที่ทำหน้าที่เป็น DC เหตุการณ์เหล่านี้จะถูกบันทึกในบันทึกเหตุการณ์ของระบบเมื่อใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง ถ้าหนึ่งในเหตุการณ์เหล่านี้ถูกบันทึก:
-
แนะนำ ทำงานกับผู้ผลิตอุปกรณ์ (OEM) หรือผู้จำหน่ายซอฟต์แวร์เพื่อรับการสนับสนุนสำหรับ RPC ที่ปลอดภัยด้วยแชนเนล secure Netlogon
-
ถ้า DC ที่ไม่สอดคล้องกันสนับสนุนการรักษาความปลอดภัย RPC ด้วยแชนเนล secure Netlogon แล้วเปิดใช้งาน RPC ที่ปลอดภัยบน DC
-
ถ้า DC ที่ไม่สอดคล้องกันไม่สนับสนุนการรักษาความปลอดภัยของ RPC ให้ทำงานกับผู้ผลิตอุปกรณ์ (OEM) หรือผู้จำหน่ายซอฟต์แวร์เพื่อรับการอัปเดตที่สนับสนุนการรักษาความปลอดภัยของ RPC ด้วยแชนเนล secure Netlogon
-
เลิกใช้งาน DC ที่ไม่สอดคล้องกัน
-
-
เปราะบาง ถ้า DC ที่ไม่สอดคล้องกันไม่สามารถสนับสนุนการรักษาความปลอดภัย RPC ด้วยแชนเนล secure Netlogon ก่อน DCs อยู่ในโหมดการบังคับใช้ให้เพิ่ม DC โดยใช้ตัวควบคุมโดเมน " อนุญาตให้มีการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม ที่อธิบายไว้ด้านล่าง
คำเตือน การอนุญาตให้ DCs ใช้การเชื่อมต่อที่มีความเปราะบางของนโยบายกลุ่มจะทำให้ฟอเรสต์เสี่ยงต่อการถูกโจมตี เป้าหมายสิ้นสุดควรจะอยู่และเอาบัญชีผู้ใช้ทั้งหมดออกจากนโยบายกลุ่มนี้
จัดการเหตุการณ์๕๘๒๙
Event ID ๕๘๒๙จะถูกสร้างขึ้นเมื่อมีการเชื่อมต่อที่มีความเสี่ยงในระหว่างขั้นตอนการปรับใช้ครั้งแรก การเชื่อมต่อเหล่านี้จะถูกปฏิเสธเมื่อ DCs อยู่ในโหมดการบังคับใช้ ในเหตุการณ์เหล่านี้โฟกัสจะอยู่บนชื่อเครื่อง, โดเมนและเวอร์ชันของระบบปฏิบัติการที่ระบุไว้เพื่อตรวจสอบอุปกรณ์ที่ไม่เข้ากันและวิธีที่พวกเขาต้องการแก้ไข
วิธีในการจัดการอุปกรณ์ที่ไม่เข้ากันได้:
-
แนะนำ ทำงานกับผู้ผลิตอุปกรณ์ (OEM) หรือผู้จำหน่ายซอฟต์แวร์เพื่อรับการสนับสนุนสำหรับการรักษาความปลอดภัย RPC ด้วยแชนเนล secure Netlogon:
-
ถ้าอุปกรณ์ที่ไม่สอดคล้องกันสนับสนุนการรักษาความปลอดภัย RPC ด้วยแชนเนล secure Netlogon ให้เปิดใช้งาน RPC ที่ปลอดภัยบนอุปกรณ์
-
ถ้าอุปกรณ์ที่ไม่เข้ากันได้ในขณะนี้ไม่สนับสนุนการรักษาความปลอดภัยของ RPC ด้วยแชนเนล secure Netlogon ให้ทำงานกับผู้ผลิตอุปกรณ์หรือผู้จำหน่ายซอฟต์แวร์เพื่อรับการอัปเดตที่ช่วยรักษาความปลอดภัยของ RPC ด้วยแชนเนล secure Netlogon จะเปิดใช้งาน
-
ถอนอุปกรณ์ที่ไม่เข้ากัน
-
-
เปราะบาง ถ้าอุปกรณ์ที่ไม่เข้ากันได้กับไม่สามารถสนับสนุนการรักษาความปลอดภัย RPC ด้วยแชนเนล secure Netlogon ก่อน Dc อยู่ในโหมดการบังคับใช้ให้เพิ่มอุปกรณ์โดยใช้ตัวควบคุมโดเมน " อนุญาตให้มีการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม ที่อธิบายไว้ด้านล่าง
คำเตือน การอนุญาตให้บัญชีผู้ใช้ของอุปกรณ์ใช้การเชื่อมต่อที่มีความเปราะบางจากนโยบายกลุ่มจะใส่บัญชีผู้ใช้โฆษณาเหล่านี้ที่มีความเสี่ยง เป้าหมายสิ้นสุดควรจะอยู่และเอาบัญชีผู้ใช้ทั้งหมดออกจากนโยบายกลุ่มนี้
อนุญาตการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ของบริษัทอื่น
ใช้ตัวควบคุมโดเมน " อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม การเพิ่มบัญชีที่ไม่สอดคล้องกัน การทำเช่นนี้ควรจะถือว่าเป็นการรักษาระยะสั้นจนกว่าอุปกรณ์ที่เข้ากันไม่ได้จะถูกส่งตามที่อธิบายไว้ด้านบน หมายเหตุ: การอนุญาตให้มีการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่เข้ากันได้อาจมีผลกระทบต่อความปลอดภัยที่ไม่รู้จักและควรได้รับอนุญาตด้วยความระมัดระวัง
-
สร้างกลุ่มความปลอดภัยสำหรับบัญชีที่จะได้รับอนุญาตให้ใช้แชนเนล secure Netlogon ที่มีความเสี่ยง
-
ในนโยบายกลุ่มให้ไปที่การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าการรักษาความปลอดภัย > นโยบายภายในตัวเลือกการรักษาความปลอดภัย >
-
ค้นหา "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "
-
ถ้ากลุ่มผู้ดูแลระบบหรือถ้ากลุ่มใดก็ตามที่ไม่ได้ถูกสร้างขึ้นโดยเฉพาะสำหรับใช้กับนโยบายกลุ่มนี้อยู่ให้เอาออก
-
เพิ่มกลุ่มการรักษาความปลอดภัยที่ทำโดยเฉพาะสำหรับใช้กับนโยบายกลุ่มนี้กับตัวอธิบายความปลอดภัยที่มีสิทธิ์ "อนุญาต" หมายเหตุ: สิทธิ์ "ปฏิเสธ" จะทำงานในลักษณะเดียวกับว่าไม่ได้เพิ่มบัญชีผู้ใช้เช่น บัญชีผู้ใช้จะไม่ได้รับอนุญาตให้ใช้แชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง
-
เมื่อเพิ่มกลุ่มการรักษาความปลอดภัยแล้วนโยบายกลุ่มจะต้องทำซ้ำกับทุก DC
-
เป็นระยะๆการตรวจสอบเหตุการณ์๕๘๒๗, ๕๘๒๘และ๕๘๒๙เพื่อตรวจสอบว่าบัญชีผู้ใช้ใดบ้างที่ใช้การเชื่อมต่อช่องทางที่ปลอดภัย
-
เพิ่มบัญชีเครื่องเหล่านั้นลงในกลุ่มความปลอดภัยตามต้องการ แนวทางปฏิบัติที่ดีที่สุด ใช้กลุ่มความปลอดภัยในนโยบายกลุ่มและเพิ่มบัญชีผู้ใช้ไปยังกลุ่มเพื่อให้สมาชิกได้รับการจำลองแบบผ่านการจำลองแบบ AD ปกติ การทำเช่นนี้จะเป็นการหลีกเลี่ยงการอัปเดตของนโยบายกลุ่มบ่อยๆและการจำลองความล่าช้า
เมื่ออุปกรณ์ที่ไม่เข้ากันได้ทั้งหมดได้รับการส่งแล้วคุณสามารถย้าย DCs ของคุณไปยังโหมดการบังคับใช้ (ดูส่วนถัดไป)
คำเตือน การอนุญาตให้ DCs ใช้การเชื่อมต่อที่มีความเสี่ยงสำหรับบัญชีความเชื่อถือโดยนโยบายกลุ่มจะทำให้ฟอเรสต์มีความเสี่ยงต่อการถูกโจมตี โดยทั่วไปแล้วบัญชีความเชื่อถือมักจะตั้งชื่อหลังจากโดเมนที่เชื่อถือได้เช่น: DC ในโดเมน-a มีความน่าเชื่อถือด้วย DC ในโดเมน b ภายใน DC ในโดเมน-a มีบัญชีความเชื่อถือที่ชื่อว่า "โดเมน-b $" ซึ่งแสดงถึงวัตถุเชื่อถือสำหรับโดเมน b ถ้า DC ในโดเมน-ต้องการทำให้ฟอเรสต์เสี่ยงต่อการโจมตีโดยการอนุญาตให้มีการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงจากการเชื่อมต่อโดเมน b, ผู้ดูแลระบบสามารถใช้ adgroupmember –ข้อมูลประจำตัว "ชื่อของกลุ่มความปลอดภัย"-สมาชิก "โดเมน b $" เมื่อต้องการเพิ่มบัญชีเชื่อถือลงในกลุ่มความปลอดภัย
ขั้นตอนที่ 3a: เปิดใช้งาน
การย้ายไปยังโหมดการบังคับใช้ล่วงหน้าของขั้นตอนการบังคับใช้๒๐๒๑กุมภาพันธ์
หลังจากที่อุปกรณ์ทั้งหมดที่ไม่ได้รับการรับรองความถูกต้องได้รับการแก้ไขโดยการเปิดใช้งาน RPC ที่ปลอดภัยหรือทำให้การเชื่อมต่อที่มีความเสี่ยงกับ "ตัวควบคุมโดเมน: อนุญาตให้มีการเชื่อมต่อช่องทางที่ปลอดภัย Netlogon "นโยบายกลุ่มตั้งค่าคีย์รีจิสทรี FullSecureChannelProtection เป็น1
หมายเหตุ: ถ้าคุณกำลังใช้ "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่มตรวจสอบให้แน่ใจว่านโยบายกลุ่มถูกจำลองแบบและนำไปใช้กับ DCs ทั้งหมดก่อนการตั้งค่าคีย์รีจิสทรี FullSecureChannelProtection
เมื่อมีการปรับใช้ FullSecureChannelProtection รีจิสทรีคีย์ DCs จะอยู่ในโหมดการบังคับใช้ การตั้งค่านี้กำหนดให้อุปกรณ์ทั้งหมดใช้แชนเนลที่ปลอดภัย Netlogon อย่างใดอย่างหนึ่ง:
-
ใช้การรักษาความปลอดภัย RPC
-
ได้รับอนุญาตใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
คำเตือน ไคลเอ็นต์ของบริษัทอื่นที่ไม่สนับสนุนการรักษาความปลอดภัย RPC ด้วยการเชื่อมต่อแชนเนล secure Netlogon จะถูกปฏิเสธเมื่อมีการปรับใช้รีจิสทรีคีย์การบังคับใช้ของ DC ซึ่งสามารถรบกวนบริการการผลิตได้
ขั้นตอน 3b: ขั้นตอนการบังคับใช้
ปรับใช้การอัปเดต9กุมภาพันธ์๒๐๒๑
การปรับใช้การอัปเดตที่เผยแพร่ในวันที่9กุมภาพันธ์๒๐๒๑หรือใหม่กว่าจะเปิดใช้งานโหมดการบังคับใช้ DC โหมดการบังคับใช้ DC คือเมื่อการเชื่อมต่อ Netlogon ทั้งหมดจำเป็นต้องใช้การรักษาความปลอดภัยของ RPC หรือบัญชีผู้ใช้จะต้องถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม ในตอนนี้คีย์รีจิสทรี FullSecureChannelProtection จะไม่จำเป็นต้องใช้อีกต่อไปและจะไม่ได้รับการสนับสนุนอีกต่อไป
"ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
แนวทางปฏิบัติที่ดีที่สุดคือการใช้กลุ่มความปลอดภัยในนโยบายกลุ่มเพื่อให้สมาชิกได้รับการจำลองแบบผ่านการจำลองแบบ AD ปกติ การทำเช่นนี้จะเป็นการหลีกเลี่ยงการอัปเดตของนโยบายกลุ่มบ่อยๆและการจำลองความล่าช้า
พาธและชื่อการตั้งค่านโยบาย |
รายละเอียด |
เส้นทางนโยบาย: การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าการรักษาความปลอดภัย > นโยบายภายในตัวเลือกการรักษาความปลอดภัย > จำเป็นต้องเริ่มต้นระบบใหม่ใช่หรือไม่ ไม่มี |
การตั้งค่าการรักษาความปลอดภัยนี้จะกำหนดว่าตัวควบคุมโดเมน bypasses secure RPC สำหรับการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon สำหรับบัญชีผู้ใช้ที่ระบุ นโยบายนี้ควรถูกนำไปใช้กับตัวควบคุมโดเมนทั้งหมดในฟอเรสต์โดยการเปิดใช้งานนโยบายบน OU ของตัวควบคุมโดเมน เมื่อมีการกำหนดค่ารายการการเชื่อมต่อที่มีความเสี่ยง (รายการที่อนุญาต):
คำเตือน การเปิดใช้งานนโยบายนี้จะทำให้อุปกรณ์ที่เข้าร่วมโดเมนของคุณและฟอเรสต์ Active Directory ของคุณซึ่งสามารถนำความเสี่ยงมาใช้ได้ นโยบายนี้ควรใช้เป็นการวัดชั่วคราวสำหรับอุปกรณ์ของบริษัทอื่นขณะที่คุณปรับใช้การอัปเดต เมื่ออุปกรณ์ของบุคคลที่สามได้รับการอัปเดตเพื่อสนับสนุนการใช้งาน RPC ที่ปลอดภัยด้วยแชนเนล secure Netlogon บัญชีผู้ใช้ควรถูกเอาออกจากรายการสร้างการเชื่อมต่อที่มีความเสี่ยง เพื่อให้เข้าใจความเสี่ยงในการกำหนดค่าบัญชีผู้ใช้ให้ได้รับอนุญาตให้ใช้การเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงโปรดเยี่ยมชม https://go.microsoft.com/fwlink/?linkid=2133485 เริ่มต้น นโยบายนี้ไม่ได้รับการกำหนดค่า ไม่มีบัญชีผู้ใช้หรือความเชื่อถือได้รับการยกเว้นจาก RPC secure ด้วยการใช้งานการเชื่อมต่อของแชนเนล secure Netlogon นโยบายนี้ได้รับการสนับสนุนบน Windows Server ๒๐๐๘ R2 SP1 และเวอร์ชันที่ใหม่กว่า |
ข้อผิดพลาดในการบันทึกเหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2020-1472
มีเหตุการณ์3ประเภทคือ
1. เหตุการณ์ที่บันทึกเมื่อการเชื่อมต่อถูกปฏิเสธเนื่องจากการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ได้รับการพยายามดำเนินการดังนี้:
-
ข้อผิดพลาด๕๘๒๗ (บัญชีเครื่อง)
-
ข้อผิดพลาด๕๘๒๘ (บัญชีเชื่อถือ)
2. เหตุการณ์ที่บันทึกเมื่อได้รับอนุญาตการเชื่อมต่อเนื่องจากบัญชีผู้ใช้ถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม:
-
๕๘๓๐ (บัญชีของเครื่อง) คำเตือน
-
๕๘๓๑ (บัญชีเชื่อถือ) คำเตือน
3. เหตุการณ์ที่บันทึกเมื่อการเชื่อมต่อได้รับอนุญาตในการวางจำหน่ายครั้งแรกซึ่งจะถูกปฏิเสธในโหมดการบังคับใช้ DC:
-
๕๘๒๙ (บัญชีของเครื่อง) คำเตือน
Event ID ๕๘๒๗
Event ID ๕๘๒๗จะถูกบันทึกเมื่อการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงจากบัญชีผู้ใช้ของเครื่องถูกปฏิเสธ
บันทึกเหตุการณ์ |
ระบบ |
แหล่งของเหตุการณ์ |
NETLOGON |
ID เหตุการณ์ |
๕๘๒๗ |
ระดับ |
ข้อผิดพลาด |
ข้อความเหตุการณ์ |
บริการ Netlogon จะปฏิเสธการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงจากบัญชีของเครื่อง SamAccountName เครื่อง: โดเมน: ชนิดบัญชีผู้ใช้: ระบบปฏิบัติการของเครื่อง: รุ่นของระบบปฏิบัติการของเครื่อง: ชุดบริการระบบปฏิบัติการของเครื่อง: สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสาเหตุนี้ถูกปฏิเสธโปรดเยี่ยมชมhttps://go.microsoft.com/fwlink/?linkid=2133485 |
Event ID ๕๘๒๘
Event ID ๕๘๒๘จะถูกบันทึกเมื่อการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงจากบัญชีเชื่อถือถูกปฏิเสธ
บันทึกเหตุการณ์ |
ระบบ |
แหล่งของเหตุการณ์ |
NETLOGON |
ID เหตุการณ์ |
๕๘๒๘ |
ระดับ |
ข้อผิดพลาด |
ข้อความเหตุการณ์ |
บริการ Netlogon จะปฏิเสธการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงโดยใช้บัญชีเชื่อถือ ชนิดบัญชีผู้ใช้: ชื่อความเชื่อถือ: เป้าหมายความเชื่อถือ: ที่อยู่ IP ของไคลเอ็นต์: สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสาเหตุนี้ถูกปฏิเสธโปรดเยี่ยมชมhttps://go.microsoft.com/fwlink/?linkid=2133485 |
Event ID ๕๘๒๙
Event ID ๕๘๒๙จะถูกบันทึกในระหว่าง ขั้นตอนการปรับใช้ครั้งแรกเท่านั้นเมื่อมีการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงจากบัญชีของเครื่อง
เมื่อเปิดใช้งาน โหมดการบังคับใช้ DC หรือเมื่อ ขั้นตอนการบังคับใช้เริ่มต้นด้วยการปรับปรุงการอัปเดตเดือนกุมภาพันธ์ 9, ๒๐๒๑การเชื่อมต่อเหล่านี้จะถูกปฏิเสธและ Event ID ๕๘๒๗จะถูกบันทึก นี่คือสาเหตุที่ทำให้เกิดการตรวจสอบสำหรับเหตุการณ์๕๘๒๙ในระหว่างขั้นตอนการปรับใช้เบื้องต้นและดำเนินการก่อนการบังคับใช้ขั้นตอนเพื่อหลีกเลี่ยงการหยุดชะงัก
บันทึกเหตุการณ์ |
ระบบ |
แหล่งข้อมูลของเหตุการณ์ |
NETLOGON |
ID เหตุการณ์ |
๕๘๒๙ |
ระดับ |
คำเตือน |
ข้อความเหตุการณ์ |
บริการ Netlogon จะอนุญาตให้มีการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง คำเตือน การเชื่อมต่อนี้จะถูกปฏิเสธเมื่อมีการเผยแพร่ขั้นตอนการบังคับใช้ เมื่อต้องการทำความเข้าใจขั้นตอนการบังคับใช้ให้ดียิ่งขึ้นโปรดเยี่ยมชมhttps://go.microsoft.com/fwlink/?linkid=2133485 SamAccountName เครื่อง: โดเมน: ชนิดบัญชีผู้ใช้: ระบบปฏิบัติการของเครื่อง: รุ่นของระบบปฏิบัติการของเครื่อง: ชุดบริการระบบปฏิบัติการของเครื่อง: |
Event ID ๕๘๓๐
Event ID ๕๘๓๐จะถูกบันทึกเมื่อการเชื่อมต่อบัญชีผู้ใช้ที่มีความปลอดภัยของ Netlogon ที่มีความเสี่ยงจากการเชื่อมต่อบัญชีผู้ใช้ "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
บันทึกเหตุการณ์ |
ระบบ |
แหล่งของเหตุการณ์ |
NETLOGON |
ID เหตุการณ์ |
๕๘๓๐ |
ระดับ |
คำเตือน |
ข้อความเหตุการณ์ |
บริการ Netlogon จะอนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงเนื่องจากบัญชีผู้ใช้ได้รับอนุญาตในตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม คำเตือน การใช้แชนเนลที่มีความปลอดภัยของ Netlogon จะเปิดเผยให้อุปกรณ์ที่เข้าร่วมโดเมนถูกโจมตี เมื่อต้องการป้องกันอุปกรณ์ของคุณจากการโจมตีให้เอาบัญชีผู้ใช้ออกจาก "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "นโยบายกลุ่มหลังจากไคลเอ็นต์ Netlogon ของบริษัทอื่นได้รับการอัปเดต เพื่อให้เข้าใจความเสี่ยงในการกำหนดค่าบัญชีผู้ใช้ให้ได้รับอนุญาตให้ใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงโปรดเยี่ยมชมhttps://go.microsoft.com/fwlink/?linkid=2133485 SamAccountName เครื่อง: โดเมน: ชนิดบัญชีผู้ใช้: ระบบปฏิบัติการของเครื่อง: รุ่นของระบบปฏิบัติการของเครื่อง: ชุดบริการระบบปฏิบัติการของเครื่อง: |
Event ID ๕๘๓๑
Event ID ๕๘๓๑จะถูกบันทึกเมื่อการเชื่อมต่อความเชื่อถือของแชนเนลที่ปลอดภัยของ Netlogon จะได้รับอนุญาตโดย "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
บันทึกเหตุการณ์ |
ระบบ |
แหล่งของเหตุการณ์ |
NETLOGON |
ID เหตุการณ์ |
๕๘๓๑ |
ระดับ |
คำเตือน |
ข้อความเหตุการณ์ |
บริการ Netlogon จะอนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงเนื่องจากบัญชีเชื่อถือได้รับอนุญาตในตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม คำเตือน การใช้แชนเนลที่มีความปลอดภัยของ Netlogon จะเปิดเผยให้ใช้งาน Active Directory forests เพื่อโจมตี เมื่อต้องการปกป้องฟอเรสต์ Active Directory ของคุณจากการถูกโจมตีความเชื่อถือทั้งหมดต้องใช้ RPC ที่ปลอดภัยด้วยแชนเนล secure Netlogon เอาบัญชีเชื่อถือจาก "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยง "นโยบายกลุ่มหลังจากไคลเอ็นต์ Netlogon ของบริษัทอื่นบนตัวควบคุมโดเมนได้รับการอัปเดต เพื่อให้เข้าใจความเสี่ยงในการกำหนดค่าบัญชีความเชื่อถือให้ได้รับอนุญาตให้ใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยงโปรดเยี่ยมชมhttps://go.microsoft.com/fwlink/?linkid=2133485 ชนิดบัญชีผู้ใช้: ชื่อความเชื่อถือ: เป้าหมายความเชื่อถือ: ที่อยู่ IP ของไคลเอ็นต์: |
ค่ารีจิสทรีสำหรับโหมดการบังคับใช้
คำเตือนปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ registry Editor หรือใช้วิธีอื่น ปัญหาเหล่านี้อาจจำเป็นต้องติดตั้งระบบปฏิบัติการใหม่ ไมโครซอฟท์ไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้จะสามารถแก้ไขได้ ปรับเปลี่ยนรีจิสทรีด้วยความเสี่ยงของคุณเอง
การอัปเดต11สิงหาคม๒๐๒๐จะแนะนำการตั้งค่ารีจิสทรีต่อไปนี้เพื่อเปิดใช้งานโหมดการบังคับใช้ก่อน การทำเช่นนี้จะเปิดใช้งานโดยไม่คำนึงถึงการตั้งค่ารีจิสทรีในขั้นตอนการบังคับใช้เริ่มต้นในวันที่9กุมภาพันธ์๒๐๒๑:
ซับคีย์รีจิสทรี |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
ค่า |
FullSecureChannelProtection |
ชนิดข้อมูล |
REG_DWORD |
ข้อมูล |
1-ซึ่งจะเปิดใช้งานโหมดการบังคับใช้ DCs จะปฏิเสธการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงยกเว้นว่าบัญชีผู้ใช้ได้รับอนุญาตจากรายการการเชื่อมต่อที่มีความเสี่ยงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม 0– DCs จะอนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ใช่ Windows ตัวเลือกนี้จะไม่ได้รับการสนับสนุนในการเผยแพร่ขั้นตอนการบังคับใช้ |
จำเป็นต้องเริ่มต้นระบบใหม่ใช่หรือไม่ |
ไม่มี |
อุปกรณ์ของบริษัทอื่นที่ใช้งาน [MS-NRPC]: โพรโทคอล Netlogon ระยะไกล
ไคลเอ็นต์หรือเซิร์ฟเวอร์ของบริษัทอื่นทั้งหมดจำเป็นต้องใช้การรักษาความปลอดภัย RPC กับแชนเนล secure Netlogon โปรดติดต่อผู้ผลิตอุปกรณ์ (OEM) หรือผู้จำหน่ายซอฟต์แวร์เพื่อตรวจสอบว่าซอฟต์แวร์ของพวกเขาเข้ากันได้กับโพรโทคอล Netlogon ระยะไกลล่าสุดหรือไม่
สามารถพบการอัปเดตของโพรโทคอลใน ไซต์เอกสารประกอบโพรโทคอล Windowsได้
คำถามที่ถามบ่อย (FAQ)
-
Windows & อุปกรณ์ที่เข้าร่วมโดเมนของบริษัทอื่นที่มีบัญชีผู้ใช้ใน Active Directory (AD)
-
Windows Server & ตัวควบคุมโดเมนของบริษัทอื่นที่เชื่อถือได้ & โดเมนที่เชื่อถือได้ที่มีบัญชีผู้ใช้ที่เชื่อถือได้ใน AD
อุปกรณ์ของบริษัทอื่นอาจไม่สอดคล้องกัน ถ้าโซลูชันของบริษัทอื่นของคุณรักษาบัญชีผู้ใช้ใน AD ให้ติดต่อผู้จำหน่ายเพื่อตรวจสอบว่าคุณได้รับผลกระทบต่อหรือไม่
ความล่าช้าในการจำลองแบบ AD และ Sysvol หรือแอปพลิเคชันนโยบายกลุ่มความล้มเหลวในการรับรองความถูกต้องของ DC อาจทำให้เกิดการเปลี่ยนแปลงนโยบายกลุ่ม "ตัวควบคุมโดเมน: อนุญาตให้มีการเชื่อมต่อช่องทางที่ปลอดภัย Netlogon "นโยบายกลุ่ม จะขาดงานและทำให้ไม่สามารถใช้งานได้ในบัญชีผู้ใช้ที่ถูกปฏิเสธ
ขั้นตอนต่อไปนี้อาจช่วยแก้ไขปัญหาได้:
-
ถ้าคุณกำหนดค่านโยบายให้มีกลุ่มและทำการเปลี่ยนแปลงการเป็นสมาชิกของกลุ่มเพื่อเพิ่มบัญชีผู้ใช้ให้ตรวจสอบว่า DC ที่ปฏิเสธการเชื่อมต่อถูกจำลองแบบการเปลี่ยนแปลงการเป็นสมาชิกของกลุ่มภายในเครื่อง หมายเหตุ: ไม่แนะนำให้เพิ่มบัญชีผู้ใช้ในนโยบายกลุ่มโดยตรง
-
ถ้าคุณทำการเปลี่ยนแปลงนโยบายและเพิ่มบัญชีผู้ใช้ใหม่หรือกลุ่มใหม่ตรวจสอบว่าการเปลี่ยนแปลงนโยบายถูกจำลองแบบและนำไปใช้: เรียกใช้คำสั่งgpupdate/forceและgpresult $ h
-
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการแก้ไขปัญหาแอปพลิเคชันนโยบายกลุ่มและคอมโพเนนต์ที่เกี่ยวข้องกันให้ดูต่อไปนี้:
ตามค่าเริ่มต้น การสนับสนุน Windows เวอร์ชันที่ได้รับการอัปเดตแล้วจะไม่สามารถใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง ถ้า event ID ๕๘๒๗ถูกบันทึกในบันทึกเหตุการณ์ของระบบสำหรับอุปกรณ์ Windows:
-
ยืนยันว่าอุปกรณ์กำลังใช้งาน Windows เวอร์ชันที่ได้รับการสนับสนุน
-
ตรวจสอบให้แน่ใจว่าอุปกรณ์ได้รับการอัปเดตอยู่เสมอจากการอัปเดต Windows
-
ตรวจสอบเพื่อให้แน่ใจว่าสมาชิกโดเมน : การเข้ารหัสลับแบบการเซ็นชื่อแบบดิจิทัลหรือเซ็นชื่อแชนเนลที่ปลอดภัย (เสมอ) ถูกตั้งค่าเป็นเปิดใช้งานใน GPO ที่ลิงก์ไปยัง OU สำหรับ DCs ของคุณทั้งหมดเช่นวัตถุนโยบายกลุ่มเริ่มต้นของตัวควบคุมโดเมน
ใช่พวกเขาควรได้รับการอัปเดตแล้วแต่พวกเขาจะไม่มีความเสี่ยงต่อการCVE-2020-1472โดยเฉพาะ
ไม่, DCs คือบทบาทเท่านั้นที่ได้รับผลกระทบจากCVE-2020-1472และสามารถอัปเดตตามเซิร์ฟเวอร์ windows ที่ไม่ใช่ DC และอุปกรณ์ windows อื่นๆได้อย่างอิสระ
Windows Server ๒๐๐๘ SP2 จะไม่มีความเสี่ยงต่อการ CVE ที่เฉพาะเจาะจงเนื่องจากไม่ได้ใช้ AES สำหรับความปลอดภัยของ RPC
ใช่คุณจำเป็นต้องมีการอัปเดตความปลอดภัยเพิ่มเติม (ESU)เพื่อติดตั้งการอัปเดตไปยังที่อยู่CVE-2020-1472 สำหรับ WINDOWS Server ๒๐๐๘ R2 SP1
การปรับปรุงการอัปเดต11สิงหาคม๒๐๒๐หรือเวอร์ชันที่ใหม่กว่ากับตัวควบคุมโดเมนทั้งหมดในสภาพแวดล้อมของคุณ
ตรวจสอบให้แน่ใจว่าไม่มีอุปกรณ์ใดๆที่เพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อช่องทางที่ปลอดภัย Netlogon "นโยบายกลุ่ม มีการดูแลระดับองค์กรหรือบริการสิทธิ์ระดับผู้ดูแลโดเมนเช่น SCCM หรือ Microsoft Exchange หมายเหตุ: อุปกรณ์ใดๆในรายการอนุญาตจะได้รับอนุญาตให้ใช้การเชื่อมต่อที่มีความเสี่ยงและอาจทำให้สภาพแวดล้อมของคุณโจมตี
การติดตั้งการอัปเดตที่เผยแพร่ในวันที่11สิงหาคม๒๐๒๐หรือเวอร์ชันที่ใหม่กว่าบนตัวควบคุมโดเมนจะป้องกันบัญชีผู้ใช้ของ Windows ที่ใช้บัญชีผู้ใช้ที่เชื่อถือได้และบัญชีตัวควบคุมโดเมน
บัญชีผู้ใช้ที่ใช้งานอยู่ของ active Directory สำหรับโดเมนที่เข้าร่วมอุปกรณ์ของบริษัทอื่นจะ ไม่ได้ รับการป้องกันจนกว่าจะมีการปรับใช้โหมดการบังคับใช้ บัญชีของเครื่องจะยัง ไม่ได้ รับการป้องกันถ้าพวกเขาถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งการอัปเดต11สิงหาคม๒๐๒๐หรือเวอร์ชันที่ใหม่กว่าในตัวควบคุมโดเมนของคุณ
ข้อมูลประจำตัวของอุปกรณ์ใดก็ตามที่ถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม จะเสี่ยงต่อการถูกโจมตี
ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งการอัปเดต11สิงหาคม๒๐๒๐หรือเวอร์ชันที่ใหม่กว่าในตัวควบคุมโดเมนของคุณ
เปิดใช้งานโหมดการบังคับให้ปฏิเสธการเชื่อมต่อที่มีความเปราะบางจากข้อมูลประจำตัวของอุปกรณ์ของบริษัทอื่นที่ไม่เข้ากัน
หมายเหตุ: ด้วยการเปิดใช้งานโหมดการบังคับใช้ข้อมูลประจำตัวของอุปกรณ์ของบริษัทอื่นใดก็ตามที่ถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม จะยังคงมีความเสี่ยงและอาจทำให้ผู้โจมตีเข้าถึงเครือข่ายหรืออุปกรณ์ของคุณโดยไม่ได้รับอนุญาต
โหมดการบังคับใช้บอกตัวควบคุมโดเมนเพื่อไม่ให้มีการเชื่อมต่อ Netlogon จากอุปกรณ์ที่ไม่ได้ใช้การรักษาความปลอดภัยของ RPC เว้นแต่ว่าบัญชีอุปกรณ์เหล่านั้นถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม
สำหรับข้อมูลเพิ่มเติมให้ดูส่วนค่ารีจิสทรีสำหรับโหมดการบังคับใช้
เฉพาะบัญชีผู้ใช้สำหรับอุปกรณ์ที่ไม่สามารถทำการรักษาความปลอดภัยได้โดยการเปิดใช้งาน RPC ที่ปลอดภัยบนแชนเนล Secure Netlogon ควรเพิ่มลงในนโยบายกลุ่ม เราขอแนะนำให้ทำให้อุปกรณ์เหล่านี้สามารถใช้งานได้หรือแทนที่อุปกรณ์เหล่านี้เพื่อปกป้องสภาพแวดล้อมของคุณ
ผู้โจมตีสามารถใช้ข้อมูลประจำตัวของเครื่องไดเรกทอรีที่ใช้งานอยู่ของบัญชีเครื่องใดก็ได้ที่เพิ่มลงในนโยบายกลุ่มและใช้ประโยชน์จากการรับสิทธิ์ใดๆที่มีข้อมูลประจำตัวของเครื่องอยู่ในภายหลัง
ถ้าคุณมีอุปกรณ์ของบริษัทอื่นที่ไม่สนับสนุนการรักษาความปลอดภัยของ RPC สำหรับแชนเนล Secure Netlogon และคุณต้องการเปิดใช้งานโหมดการบังคับใช้คุณควรเพิ่มบัญชีเครื่องนั้นสำหรับอุปกรณ์นั้นในนโยบายกลุ่ม การทำเช่นนี้ไม่ได้รับการแนะนำและอาจปล่อยให้โดเมนของคุณอยู่ในสภาวะที่อาจมีความเสี่ยง เราขอแนะนำให้ใช้นโยบายกลุ่มนี้เพื่อให้เวลาในการอัปเดตหรือแทนที่อุปกรณ์ใดๆของบริษัทอื่นเพื่อให้สอดคล้องกัน
โหมดการบังคับใช้ควรเปิดใช้งานโดยเร็วที่สุดเท่าที่จะทำได้ อุปกรณ์ใดๆของบริษัทอื่นจะต้องได้รับการแก้ไขโดยการทำให้สอดคล้องกันหรือโดยการเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม หมายเหตุ: อุปกรณ์ใดๆในรายการอนุญาตจะได้รับอนุญาตให้ใช้การเชื่อมต่อที่มีความเสี่ยงและอาจทำให้สภาพแวดล้อมของคุณโจมตี
ศัพท์
ระยะ |
นิยาม |
AD |
ไดเรกทอรีที่ใช้งานอยู่ |
DC ฟรี |
ตัวควบคุมโดเมน |
รีจิสทรีคีย์ที่อนุญาตให้คุณเปิดใช้งานโหมดการบังคับใช้ล่วงหน้าในวันที่9กุมภาพันธ์๒๐๒๑ |
|
ขั้นตอนเริ่มต้นด้วยการอัปเดตเดือนกุมภาพันธ์ 9, ๒๐๒๑ที่จะเปิดใช้งานโหมดการบังคับใช้ในตัวควบคุมโดเมนของ Windows ทั้งหมดโดยไม่คำนึงถึงการตั้งค่ารีจิสทรี DCs จะปฏิเสธการเชื่อมต่อที่มีความเปราะบางจากอุปกรณ์ที่ไม่เข้ากันได้ทั้งหมดเว้นแต่จะถูกเพิ่มลงใน "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง "นโยบายกลุ่ม |
|
ขั้นตอนเริ่มต้นด้วยการอัปเดต11สิงหาคม๒๐๒๐และดำเนินการอัปเดตในภายหลังจนกว่าจะถึงขั้นตอนการบังคับใช้ |
|
บัญชีของเครื่อง |
นอกจากนี้ยังเรียกว่าคอมพิวเตอร์ไดเรกทอรีที่ใช้งานอยู่หรือวัตถุคอมพิวเตอร์ โปรดดู อภิธานศัพท์ NPRC สำหรับคำจำกัดความแบบเต็ม |
ProtoCol ระยะไกลของ Microsoft Netlogon |
|
อุปกรณ์ที่ไม่สอดคล้องกัน |
อุปกรณ์ที่ไม่เข้ากันได้เป็นอุปกรณ์ที่ใช้การเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่มีความเสี่ยง |
ใช้ |
ตัวควบคุมโดเมนแบบอ่านอย่างเดียว |
การเชื่อมต่อที่มีความเสี่ยง |
การเชื่อมต่อที่มีความเสี่ยงคือการเชื่อมต่อแชนเนลที่ปลอดภัยของ Netlogon ที่ไม่ได้ใช้การรักษาความปลอดภัยของ RPC |