Özet

Netlogon uzak Protokolü ( MS-NRPColarak da bilinir), yalnızca etki alanına katılmış cihazlarda kullanılan bir RPC arabirimidir. MS-NRPC bir kimlik doğrulama yöntemi ve bir Netlogon güvenli kanalı oluşturma yöntemi içermektedir. Bu güncelleştirmeler, belirtilen Netlogon istemci davranışını, üye bilgisayarlarla Active Directory (AD) etki alanı denetleyicileri (DC) arasında Netlogon güvenli kanal ile güvenli RPC kullanarak kullanmaya zorlarsa.

Bu güvenlik güncelleştirmesi, Netlogon güvenli kanalını, Netlogon güvenlik AÇıĞı CVE-2020-1472 bölümünde anlatılan aşamalı bir sürümde kullanarak güvenli RPC 'yi zorunlu tutarken güvenlik açığını ortadan kaldırır. AD Ormanı korumasını sağlamak için tüm DC 'Ler, Netlogon güvenli kanal ile güvenli RPC 'yi zorunlu kıldıkları için güncelleştirilmelidir. Bunlar salt okunurdur.

Güvenlik açığı hakkında daha fazla bilgi edinmek için bkz. CVE-2020-1472.

Işlem yapın

Ortamınızı korumak ve kayıpları önlemek için aşağıdakileri yapmalısınız:

Notu 11 Ağustos 2020 veya sonraki sürümlerde yayınlanan güncelleştirmelerin 1. adımı, Windows cihazların yanı sıra Active Directory etki alanları ve Güvenleri için CVE-2020-1472 güvenlik sorununu ele alır. Üçüncü taraf cihazların güvenlik sorununu tam olarak azaltmak için, tüm adımları tamamlamanız gerekir.

Uyarı 2021 Şubat 'ı başlatırken, zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilir ve uyumsuz cihazların uyumlu olmayan bağlantılarını engeller. Bu sırada, zorlama modunu devre dışı bırakamayacaksınız.

  1. 11 Ağustos 2020 veya üzeri yayınlanan bir güncelleştirmeyle etki alanı denetleyicilerinizi güncelleştirme .

  2. Hiçbir cihazda hangi cihazlarda güvenlik açığı bulunan bağlantılar olduğunu bulun .

  3. Uyumlu olmayan cihazlar için güvenlik açığı bulunan bağlantılar oluşturma.

  4. Ortamınızda CVE-2020-1472 ' i çözmek için zorlama modunu etkinleştirin .


Notu Windows Server 2008 R2 SP1kullanıyorsanız, bu sorunu gideren herhangi bir güncelleştirmeyi başarıyla yüklemek Için Genişletilmiş Güvenlik Güncelleştirmesi (ESU) lisansına ihtiyacınız vardır. ESU programı hakkında daha fazla bilgi için lütfen bkz. yaşam döngüsü SSS-genişletilmiş güvenlik güncelleştirmeleri.

Bu makalede:

Adresler için güncelleştirmelerin zamanlaması Netlogon Güvenlik Açığı CVE-2020-1472

Güncelleştirmeleri iki aşamada yayımlanacaktır: 11 Ağustos 2020 tarihinde veya sonrasında yayınlanan güncelleştirmelerin başlangıç aşaması ve 9 Şubat 2021 tarihinde veya sonrasında yayınlanan güncelleştirmeler için zorlama aşaması.

11 Ağustos 2020-Ilk dağıtım aşaması

İlk dağıtım aşaması 11 Ağustos 2020 tarihinde yayınlanan güncelleştirmelerle çalışmaya devam eder ve uygulama aşamasınakadar sonraki güncelleştirmelerle devam eder. Bu ve sonraki güncelleştirmeler, Windows cihazlarını varsayılan olarak korumak için, Netlogon protokolünde değişiklikler yapar, uyumlu olmayan cihaz keşfi için olayları günlüğe kaydeder ve açık özel durumlarla tüm etki alanı odaklı cihazlar için korumayı etkinleştirme yeteneğini ekler. Bu sürüm:

  • Windows tabanlı cihazlarda makine hesapları için güvenli RPC kullanımını zorunlu kılar.

  • Güven hesapları için güvenli RPC kullanımını zorunlu kılar.

  • Tüm Windows ve Windows dışı DCs 'Ler için güvenli RPC kullanımını zorunlu kılar.

  • Uyumlu olmayan cihaz hesaplarına (güvenlik açığı olan Netlogon güvenli kanal bağlantıları 'nı kullanan) izin vermek için yeni bir grup ilkesi içermektedir. DCs, zorlama modunda çalışıyor olsa veya zorlama aşaması başlatıldıktan sonra bile izin verilen cihazlar bağlantı reddetmeyecektir.

  • FullSecureChannelProtection kayıt defteri anahtarı tüm makine hesapları için DC zorlama modunu etkinleştirmek için (zorlama evresi DCS 'yi DC zorlama modunagüncelleştirecektir).

  • , Etki alanı denetleyicisi 'nde hesapları reddedildiğinde veya reddedildiğinde yeni olaylar ekler. Enforcement phase Bu makalenin devamındaki belirli olay kimlikleri açıklanmaktadır.

Hafifletme, güncelleştirmeyi tüm DCs ve RODC 'lere yüklemekten, yeni etkinlikleri izlemede ve açıktan etkilenebilecek Netlogon güvenli kanal bağlantılarını kullanan uyumlu olmayan cihazları adreslemeye yöneliktir. Uyumlu olmayan cihazlardaki makine hesaplarının, açıktan etkilenen Netlogon güvenli kanal bağlantılarını kullanmasına izin verilebilir. Öte yandan, saldırı riskini ortadan kaldırmak için, Netlogon için güvenli RPC desteği sağlamak ve en kısa sürede hesap zorlanması için güncelleştirilmeleri gerekir.

9 Şubat 2021-zorlama aşaması

9 Şubat 2021 sürümü, yürütme aşamasına geçişi işaret edin. DCs, zorlama modu kayıt defteri anahtarından baımsız olarak artık zorlama modunda olacaktır. Bunun için, Windows ve Windows dışı cihazların tümü, Netlogon güvenli kanal ile güvenli RPC 'yi kullanmalıdır veya uyumlu olmayan cihaz için özel durum ekleyerek hesaba açık olarak izin verir. Bu sürüm:

Dağıtım yönergeleri-güncelleştirmeleri dağıtma ve uyumluluğu zorunlu kıl

Ilk dağıtım aşaması aşağıdaki adımlardan oluşur:

  1. 11 Ağustos 'ta güncelleştirmeleriormandaki tüm DCS 'lere dağıtma.

  2. (a) uyarısı olaylarınave (b) olay olaylarına her olayiçin bir ekran çalışır.

  3. (a) herhangi bir uyarı olayı giderildikten sonra, DC zorlama modudağıtarak tam koruma etkinleştirilebilir. (b) 9 Şubat 2021 ' den önce tüm uyarıların çözümlenmesi gerekir.

1. Adım: GÜNCELLEŞTIRME

11 Ağustos 2020 tarihli güncelleştirmeleri dağıtma

Yalnızca bir etki alanı denetleyicisi (RODC) de dahil olmak üzere, ormandaki tüm uygulanabilir etki alanı denetleyicilerine (DC) yönelik 11 Ağustos güncelleştirmeleri dağıtabilirsiniz. Bu güncelleştirmeyi dağıttıktan sonra, düzeltme eki yüklenmiş DC 'Ler şunlardır:

 

adım 2A: bulma

5829 olay KIMLIĞINI kullanarak uyumlu olmayan cihazları algılama

11 Ağustos 'ta, 2020 güncelleştirmeleri etki alanı denetleyicilerine uygulandıktan sonra, ortamınızdaki hangi cihazların güvenlik açığı olduğu Netlogon güvenli kanal bağlantılarını (Bu makalede uyumlu olmayan cihazlar olarak adlandırılır) hangi cihazlarda kullandığını saptamak için olay günlüğüne toplanabilir. Etkinlik KIMLIĞI 5829 olayları için düzeltme eki olan DCs 'leri izleyin. Olaylarda uyumlu olmayan cihazların tanımlanması için ilgili bilgiler yer alır.

Olayları izlemek için, kullanılabilir olay izleme yazılımını kullanın veya DCs 'leri izlemek için bir betik kullanın. Ortamınıza uyarlanmanızı sağlayan bir örnek betik için, CVE-2020-1472 Için Netlogon güncelleştirmeleriyle ilgili olay kimliklerini izlemede yardım almak Için betik makalesine bakın.

Adım 2b: Adres

Adres olayı kimlikleri 5827 ve 5828

Varsayılan olarak, tam olarak güncelleştirilmiş desteklenen Windows sürümleri , güvenlik açığından etkilenen Netlogon güvenli kanal bağlantılarını kullanmıyor olmalıdır. Windows cihazının sistem olay günlüğüne bu olaylardan biri kaydedilir:

  1. Cihazda Windows 'un desteklenen sürümlerinden biriniçalıştırdığından emin olun.

  2. Cihazın tam olarak güncelleştirildiğinden emin olun.

  3. etki alanı üyesi olduğundan emin olun: Güvenli kanal verilerini dijital olarak şifrele veya imzala (her zaman) etkin olarak ayarlanır.

DC olarak işlev gören Windows kullanmayan cihazlarda, güvenlik açığı olan Netlogon güvenli kanal bağlantıları kullanıldığında bu olaylar sistem olay günlüğüne kaydedilir. Şu olaylardan biri günlüğe kaydedilir:

  • Önerilir Netlogon güvenli kanalına sahip güvenli RPC desteği edinmek için cihaz üreticisiyle (OEM) veya yazılım satıcısıyla birlikte çalışın

    1. Uyumlu olmayan DC, Netlogon güvenli kanalına sahip güvenli RPC 'yi destekliyorsa, DC 'de güvenli RPC 'yi etkinleştirin.

    2. Uyumlu olmayan DC Şu anda güvenli RPC 'yi desteklemiyorsa, Netlogon güvenli kanal ile güvenli RPC 'yi destekleyen bir güncelleştirme edinmek için cihaz üreticisi (OEM) veya yazılım satıcısı ile çalışın.

    3. Uyumlu olmayan DC 'yi devre dışı bırakma.

  • Savunmasız Uyumlu olmayan bir DC, DCs zorlama modundaykengüvenli RPC 'yi Netlogon güvenli kanal ile destekleyemez, "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi aşağıda açıklanmıştır.

Uyarı DC 'nin, Grup İlkesi tarafından güvenlik açığı bulunan bağlantıları kullanmasına izin vermek, ormanı saldırılara karşı savunmasız hale getirir. Son hedef, bu grup ilkesindeki tüm hesapları adresve kaldırmalıdır.

 

Adres olayı 5829

İlk dağıtım aşamasında güvenlik açığı bulunan bir bağlantıya izin verildiğinde, olay KIMLIĞI 5829 üretilir. DCs zorlama modundaykenbu bağlantılar reddedilir. Bu olaylarda, uyumlu olmayan cihazları ve bunların nasıl ele alınacağını saptamak için belirlenen makine adına, etki alanı ve işletim sistemi sürümlerine odaklanın.

Uyumlu olmayan cihazları adresetmenin yolları:

  • Önerilir Netlogon güvenli kanalına sahip güvenli RPC desteği edinmek için cihaz üreticisiyle (OEM) veya yazılım satıcısıyla birlikte çalışın:

    1. Uyumlu olmayan cihaz, Netlogon güvenli kanalına sahip güvenli RPC 'yi destekliyorsa, cihazda güvenli RPC 'yi etkinleştirin.

    2. Uyumlu olmayan aygıt Şu anda Netlogon güvenli kanalına sahip güvenli RPC 'yi desteklemiyorsa, Netlogon güvenli güvenlik kanalının etkinleştirilmesine olanak tanıyan bir güncelleştirme edinmek için cihaz üreticisiyle veya yazılım satıcısıyla birlikte çalışın.

    3. Uyumlu olmayan cihazı devre dışı bırakma.

  • Savunmasız Uyumlu olmayan bir cihaz, DCs zorlama modundaykengüvenli RPC 'yi Netlogon güvenli kanal ile destekleyemez, "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi aşağıda açıklanmıştır.

Uyarı Cihaz hesaplarının, Grup İlkesi tarafından güvenlik açığı olan bağlantıları kullanmasına izin verilmesi, bu AD hesaplarını riske sokmaya çalışacaktır. Son hedef, bu grup ilkesindeki tüm hesapları adresve kaldırmalıdır.

 

Üçüncü taraf cihazlarından güvenlik açığı bağlantılarına izin verme

"etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi uyumlu olmayan hesaplar ekleyebilir. Bu yalnızca, yukarıda açıklandığı gibi uyumlu olmayan cihazlar giderilinceye kadar kısa süreli bir çözüm olarak kabul edilmelidir. Notu Uyumlu olmayan cihazlardan yapılan saldırılara izin verilmesi, güvenlik üzerinde sorun yaratabilir ve dikkatli izin verilmesi gerekir.

  1. Hesaplar için güvenlik grupları oluşturdu. Bu, güvenlik açığından etkilenen Netlogon güvenli kanalını kullanmanıza izin verilir.

  2. Grup Ilkesi 'nde, Bilgisayar Yapılandırması > Windows ayarları > Güvenlik ayarları > yerel Ilkeler > Güvenlik seçenekleri

  3. "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin verme ".

  4. Yönetici grubu veya özel olarak bu grup Ilkesinde kullanılmak üzere oluşturulmamış herhangi bir grup varsa, uygulamayı kaldırın.

  5. "Izin ver" izniyle güvenlik tanımlayıcısına, özel olarak bu grup Ilkesiyle birlikte kullanılmak üzere yapılan bir güvenlik grubu ekleyin. Notu "Reddet" izni, hesabın eklenmediği gibi davranma yöntemini de (örneğin, hesapların güvenlik açığı bulunan Netlogon güvenli kanalları yapmasına izin verilmez.

  6. Güvenlik grupları eklendikten sonra, Grup İlkesi her DC 'ye çoğaltılacaktır.

  7. Hangi hesapların güvenlik açığı içeren güvenli kanal bağlantıları kullandığını saptamak için düzenli aralıklarla 5827, 5828 ve 5829 olaylarını izleyin.

  8. Bu makine hesaplarını gerektiğinde güvenlik gruplarına ekleyin. En iyi yöntem Grup ilkesinde güvenlik grupları kullanın ve üyeliğin normal AD çoğaltması aracılığıyla çoğaltılacağı gruplara hesap ekleyin. Bu, sık kullanılan Grup İlkesi güncelleştirmelerini ve yineleme gecikmelerini önler.

Uyumlu olmayan tüm cihazlara bağlandıktan sonra, DCs 'larınızı zorlama moduna getirebilirsiniz (sonraki bölüme bakın).

Uyarı DC 'nin Grup İlkesi tarafından güven hesapları için güvenlik açığı olan bağlantıları kullanmasına izin verilmesi, ormanın saldırıya açık olmasını sağlar. Güven hesapları çoğunlukla güvenilen etki alanından sonra adlandırılır, örneğin: Etki alanı-a ' daki DC 'nin etki alanı-b üzerinde bir DC ile güven ilişkisi var. Kendi etki alanı-a ' daki DC 'nin "etki alanı-b $" adlı bir güven hesabı vardır ve bu, etki alanı-b için güven nesnesini temsil eder. Etki alanı-a içindeki DC, etki alanı-b güven hesabındaki açık Netlogon güvenli kanal bağlantılarına izin vererek ormanı saldırı riskine açık hale getirmek isterse, yönetici güvenlik grubuna güven hesabını eklemek için Add-adgroupmember-IDENTITY "güvenlik grubunun adı"-Members "etki alanı-b $" kullanabilir.

 

. Adım: ETKINLEŞTIRME

Şubat 2021 zorlama aşamasından önce zorlama moduna geçme

Uyumlu olmayan tüm cihazların tümü, güvenli RPC etkinleştirilerek veya "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi, FullSecureChannelProtection kayıt defteri anahtarını 1 olarak ayarlayın.

Notu "etki alanı denetleyicisi: Savunmasız güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi, FullSecureChannelProtection kayıt defteri anahtarını ayarlamadan önce grup ilkesinin çoğaltıldığından ve tüm DCs 'lere uygulandığından emin olun.

FullSecureChannelProtection kayıt defteri anahtarı dağıtıldığında DCs, zorlama modundaolur. Bu ayarda, Netlogon güvenli kanal kullanan tüm cihazların iki olması gerekir:

Uyarı Üretim Hizmetleri 'ni kesintiye uğratabilir ve DC zorlama modu kayıt defteri anahtarı dağıtıldığında, Netlogon güvenli kanal BAĞLANTıLARıYLA güvenli RPC desteği olmayan üçüncü taraf istemcileri reddedilir.

 

Adım 3B: Zorlama aşaması

9 Şubat 2021 ' de dağıtım

9 Şubat 2021 veya sonraki sürümlerde yayınlanan güncelleştirmelerin dağıtılması DC zorlama modunuaçar. DC zorlama modu , tüm Netlogon BAĞLANTıLARıNıN güvenli RPC 'yi kullanmak için gerekli olduğu veya hesabın "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi. Şu anda, FullSecureChannelProtection kayıt defteri anahtarına artık gerek yoktur ve artık desteklenmez.

"Etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup Ilkesi

En iyi yöntem, grup ilkesinde güvenlik grupları kullanarak üyeliğin normal AD çoğaltması aracılığıyla çoğaltılmasını sağlar. Bu, sık kullanılan Grup İlkesi güncelleştirmelerini ve yineleme gecikmelerini önler.

İlke yolu ve ayarı adı

Açıklama

İlke yolu: Bilgisayar yapılandırması > Windows ayarları > güvenlik ayarları > yerel ilkeler > güvenlik seçenekleri

Ayarlar adı: etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin verme

Önyükleme gerekli mi? Hayır

Bu güvenlik ayarları, etki alanı denetleyicisinin belirtilen makine hesapları için Netlogon güvenli kanal bağlantıları için güvenli RPC 'yi kullanıp kullanmayacağını belirler.

Bu ilke, etki alanı denetleyicileri OU 'sunda ilkeyi etkinleştirerek ormandaki tüm etki alanı denetleyicilerine uygulanmalıdır.

Güvenlik açığı bulunan bağlantılar listesi (izin verilenler listesi) yapılandırıldığında:

  • Çıkmasına Etki alanı denetleyicisi, belirtilen grubun/hesapların güvenli RPC içermeyen bir Netlogon güvenli kanal kullanmalarına olanak tanır.

  • Kaldırmak Bu ayar, varsayılan davranışla aynıdır. Etki alanı denetleyicisi, güvenli RPC ile bir Netlogon güvenli kanal kullanmak için belirtilen grup/hesaplar için gereklidir.

Uyarı Bu ilkeyi etkinleştirirseniz, etki alanına katılan aygıtlarınız ve Active Directory ormanınızı riske sokmaya devam edecektir. Güncelleştirmeleri dağıtırken üçüncü taraf cihazlarında geçici bir ölçü olarak kullanılmalıdır. Bir üçüncü taraf cihazı, Netlogon güvenli kanallarını kullanan güvenli RPC 'yi desteklemek üzere güncelleştirildikten sonra, hesap güvenlik açığı oluşturma bağlantılarından çıkarılmalıdır. Açık olan Netlogon güvenli kanal bağlantıları 'nı kullanmasına izin verilecek hesapları yapılandırma riskini daha iyi anlamak için lütfen https://go.microsoft.com/fwlink/?linkid=2133485 adresini ziyaret edin.

Varsayýlan Bu ilke yapılandırılmadı. Güvenli RPC aracılığıyla, Netlogon güvenli kanal bağlantıları zorlamasını kullanarak hiçbir makine veya güven hesabı açık olarak dışarıda bırakılır.

Bu ilke, Windows Server 2008 R2 SP1 ve sonraki sürümlerde desteklenir.

CVE-2020-1472 ile ilgili Windows olay günlüğü hataları

Üç olay kategorisi vardır:

1. Açık Netlogon güvenli kanal bağlantısı kurulmaya çalışıldığından, bir bağlantı reddedildiğinde günlüğe kaydedilen olaylar:

  • 5827 (makine hesapları) hatası

  • 5828 (güven hesapları) hatası

2. Bir bağlantıya izin verildiğinde günlüğe kaydedilen etkinlikler, hesap "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi:

  • 5830 (makine hesapları) uyarısı

  • 5831 (güven hesapları) uyarısı

3. İlk sürümde bir bağlantıya izin verildiğinde, DC zorlama modundareddedilecek olaylar günlüğe kaydedilir:

  • 5829 (makine hesapları) uyarısı

Etkinlik KIMLIĞI 5827

Bir makine hesabındaki Netlogon güvenli kanal bağlantısı reddedilmişse, olay KIMLIĞI 5827 günlüğe kaydedilir.

Olay günlüğü

Sistem

Olay kaynağı

\

Olay Kimliği

5827

Düzey

Hata

Olay iletisi metni

Netlogon hizmeti, bir makine hesabındaki Netlogon güvenli kanal bağlantısını reddetti.

Makine SamAccountName:

Etki alanı:

Hesap Türü:

Makine Işletim sistemi:

Makine Işletim sistemi derlemesi:

Makine Işletim sistemi hizmet paketi:

Bunun neden reddedildiği hakkında daha fazla bilgi için lütfen https://go.Microsoft.com/fwlink/?linkid=2133485sitesini ziyaret edin.

 

Etkinlik KIMLIĞI 5828

Bir güven hesabındaki Netlogon güvenli kanal bağlantısı reddedilmişse, olay KIMLIĞI 5828 günlüğe kaydedilir.

Olay günlüğü

Sistem

Olay kaynağı

\

Olay Kimliği

5828

Düzey

Hata

Olay iletisi metni

Netlogon hizmeti, bir güven hesabı kullanan savunmasız Netlogon güvenli kanal bağlantısını reddetti.

Hesap Türü:

Güven adı:

Güven hedefi:

İstemci IP adresi:

Bunun neden reddedildiği hakkında daha fazla bilgi için lütfen https://go.Microsoft.com/fwlink/?linkid=2133485sitesini ziyaret edin.

 

Etkinlik KIMLIĞI 5829

Etkinlik KIMLIĞI 5829, yalnızca bir makine hesabındaki Netlogon güvenli kanal bağlantısına izin verildiğinde, Ilk dağıtım aşamasındagünlüğe kaydedilir.

DC zorlama modu dağıtıldığında veya uygulama aşaması başlatıldıktan sonra 9 Şubat 2021 güncelleştirmelerinin dağıtımıyla birlikte, bu bağlantılar reddedilir ve etkinlik kimliği 5827 günlüğe kaydedilir. Bu nedenle, Ilk dağıtım aşaması sırasında 5829 olayını izlemek ve kesilmeleri önlemek için zorlama aşamasından önce işlem yapmak önemlidir.

Olay günlüğü

Sistem

Etkinlik kaynağı

\

Etkinlik KIMLIĞI

5829

Düzey

Ý

Olay iletisi metni

Netlogon hizmeti, güvenlik açığı bulunan bir Netlogon güvenli kanal bağlantısına izin veriyordu.  

Uyarı: Bu bağlantı, zorlama aşaması yayınlandığında reddedilir. Zorlama aşamasını daha iyi anlamak için lütfen https://go.Microsoft.com/fwlink/?linkid=2133485sitesini ziyaret edin.  

Makine SamAccountName:  

Etki alanı:  

Hesap türü:  

Makine Işletim sistemi:  

Makine Işletim sistemi derlemesi:  

Makine Işletim sistemi hizmet paketi:  

Etkinlik KIMLIĞI 5830

Güvenlik açığından etkilenebilecek bir Netlogon güvenli kanal makine hesap bağlantısı "etki alanı denetleyicisi: 5830 Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi.

Olay günlüğü

Sistem

Olay kaynağı

\

Olay Kimliği

5830

Düzey

Uyarı

Olay iletisi metni

Netlogon hizmeti, "etki alanı denetleyicisi: içinde makine hesabına izin verildiği için bir Netlogon güvenli kanal bağlantısına izin veriyordu. Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup ilkesi.

Uyarı: Savunmasız Netlogon güvenli kanallarını kullanmak, etki alanına katılan cihazların saldırıya maruz kalmasına neden olur. Cihazınızın saldırıya karşı korunmasını sağlamak için, "etki alanı denetleyicisi: Üçüncü taraf Netlogon istemcisi güncelleştirildikten sonra, güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup ilkesi. Makine hesaplarının güvenlik açığından etkilenen Netlogon güvenli kanal bağlantılarını kullanmasına izin verilmesini daha iyi anlamak için lütfen https://go.Microsoft.com/fwlink/?linkid=2133485adresini ziyaret edin.

Makine SamAccountName:

Etki alanı:

Hesap Türü:

Makine Işletim sistemi:

Makine Işletim sistemi derlemesi:

Makine Işletim sistemi hizmet paketi:

 

Etkinlik KIMLIĞI 5831

Güvenlik açığı bulunan bir Netlogon güvenli kanal güven hesabı bağlantısına izin verilen "etki alanı denetleyicisi: 5831 Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi.

Olay günlüğü

Sistem

Olay kaynağı

\

Olay Kimliği

5831

Düzey

Uyarı

Olay iletisi metni

Netlogon hizmeti, "etki alanı denetleyicisi 'nde güven hesabına izin verildiği için bir Netlogon güvenli kanal bağlantısına izin veriyordu. Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup ilkesi.

Uyarı: Savunmasız Netlogon güvenli kanallarını kullanmak, Active Directory ormanlarını saldırılara açar. Active Directory ormanlarınızı saldırılara karşı korumak için, tüm güvenler Netlogon güvenli kanalına sahip güvenli RPC kullanmalıdır. "Etki alanı denetleyicisi: Etki alanı denetleyicilerindeki üçüncü taraf Netlogon istemci güncelleştirildikten sonra, güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup ilkesi. Güven hesaplarını yapılandırma riskini daha iyi anlamak için güvenlik açığından etkilenen Netlogon güvenli kanal bağlantılarından yararlanın, lütfen https://go.Microsoft.com/fwlink/?linkid=2133485adresini ziyaret edin.

Hesap Türü:

Güven adı:

Güven hedefi:

İstemci IP adresi:

Zorlama modu için kayıt defteri değeri

uyarısı kayıt defteri Düzenleyicisi 'ni veya başka bir yöntemi kullanıp kayıt defterinde yanlış değişiklikler yaparsanız, ciddi sorunlarla karşılaşabilirsiniz. Bu sorunlar nedeniyle işletim sistemini yeniden yüklemeniz gerekebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır. 

11 Ağustos 2020 güncelleştirmeleri, zorlama modunu erken etkinleştirmek için aşağıdaki kayıt defteri ayarını tanıtır. Bu işlem, 9 Şubat 2021 ' den itibaren zorlama aşamasında kayıt defteri ayarını dikkate almaksızın etkinleştirilir: 

Kayıt defteri alt anahtarı

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Değer

FullSecureChannelProtection

Veri türü

REG_DWORD

Veriler

1-Bu, zorlama modunu etkinleştirir. "etki alanı denetleyicisi: içindeki güvenlik açığı bulunan bağlantı listesi tarafından izin verilmediği sürece, DCs açık Netlogon güvenli kanal bağlantılarını reddeder. Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi.  

0-DCs Windows dışında cihazlarda açık Netlogon güvenli kanal bağlantılarına izin verir. Bu seçenek, zorlama aşaması sürümünde kullanımdan kaldırıldı.

Önyükleme gerekli mi?

Hayır

 

[MS-NRPC] uygulayan üçüncü taraf cihazlar: Netlogon uzak Protokolü

Tüm üçüncü taraf istemcilerin veya sunucuların, Netlogon güvenli kanal ile güvenli RPC kullanması gerekir. Lütfen yazılımının en son Netlogon uzak protokolüyle uyumlu olup olmadıklarını saptamak için cihaz üreticisine (OEM) veya yazılım satıcılarına başvurun. 

Protokol güncelleştirmeleri Windows protokol belgeleri sitesindebulunabilir. 

Sık sorulan sorular (SSS)

  • Windows & Active Directory 'de makine hesapları olan üçüncü taraf etki alanına katılan cihazlar (AD)

  • Güvenilir & 'te yer almayan üçüncü taraf etki alanı denetleyicilerinden oluşan Windows Server &

Üçüncü taraf cihazları uyumlu olmayabilir. Üçüncü taraf çözümünüz AD 'de makine hesabı tutuyorsa, etkilenip etkilenmediğimi saptamak için satıcıyla iletişime geçin.

Kimlik doğrulama DC 'de AD ve SYSVOL çoğaltmasında veya Grup İlkesi uygulamasında karşılaşılan gecikmeler, grup ilkesinde "etki alanı denetleyicisi: "Güvenlik açığı olan Netlogon güvenli kanal bağlantıları" Grup İlkesi olmadığından ve reddedilmekte olan hesabın reddedilmesine olanak tanır. 

Aşağıdaki adımlar sorunu gidermeye yardımcı olabilir:

Varsayılan olarak, tam olarak güncelleştirilmiş desteklenen Windows sürümleri , güvenlik açığından etkilenen Netlogon güvenli kanal bağlantılarını kullanmıyor olmalıdır. Bir Windows cihazı için sistem olay günlüğüne bir olay KIMLIĞI 5827 günlüğü kaydedilir:

  1. Cihazda Windows 'un desteklenen sürümlerinden biriniçalıştırdığından emin olun.

  2. Cihazın Windows Update 'ten tam olarak güncelleştirildiğinden emin olun.

  3. etki alanı üyesi olduğundan emin olun: Güvenli kanal verilerini dijital olarak şifrele veya imzala (her zaman), varsayılan etki alanı denetleyicileri GPO 'SU gibi tüm DCs 'leri için OU 'ya bağlı bir GPO 'da etkin olarak ayarlanır.

Evet, ancak güncelleştirilmeleri önerilir, ancak bu dosyalar CVE-2020-1472' e önceden etkilenmez.

Hayır, yalnızca DCs 'de CVE-2020-1472 tarafından etkilenen tek rol vardır ve DC olmayan Windows sunucuları ve diğer Windows cihazlarından bağımsız olarak güncelleştirilebilir.

Windows Server 2008 SP2 bu özel CVE için güvenlik açığından etkilenmez, çünkü güvenli RPC için AES kullanmaz.

Evet, Windows Server 2008 R2 SP1 için CVE-2020-1472 adresine yönelik güncelleştirmeleri yüklemek Için Genişletilmiş Güvenlik Güncelleştirmesi (ESU) gereklidir.

11 Ağustos 2020 veya sonraki sürümlerden birinde, ortamınızdaki tüm etki alanı denetleyicilerine yönelik güncelleştirmeleri dağıtarak.

Hiçbir cihazdan "etki alanı denetleyicisi: Güvenlik açığından etkilenebilecek Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi, SCCM veya Microsoft Exchange gibi kuruluş yöneticisi veya etki alanı-yönetici ayrıcalık hizmetlerine sahiptir.  Notu İzin verilenler listesindeki tüm cihazlar için güvenlik açığı olan bağlantıları kullanabilir ve ortamınızı saldırıya maruz bırakabilecek.

Etki alanı denetleyicilerindeki 11 Ağustos 2020 veya sonraki sürümlerde yayınlanan güncelleştirmeleri yüklediğinizde, Windows tabanlı makine hesapları, güven hesapları ve etki alanı denetleyicisi hesapları korunur. 

Etki alanına katılan üçüncü taraf cihazların Active Directory makine hesapları, zorlama modu dağıtılana kadar korunmaz. Makine hesapları da "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi.

Ortamınızdaki tüm etki alanı denetleyicilerinde 11 Ağustos 2020 veya sonraki güncelleştirmelerin yüklü olduğundan emin olun.

"etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi saldırıya karşı savunmasız olacaktır.   

Ortamınızdaki tüm etki alanı denetleyicilerinde 11 Ağustos 2020 veya sonraki güncelleştirmelerin yüklü olduğundan emin olun. 

Uyumlu olmayan üçüncü taraf cihaz kimliklerine karşı savunmasız bağlantıları engellemek için zorlama modunu etkinleştirin.

Notu Zorlama modu etkinken, "etki alanı denetleyicisi: ' e eklenmiş üçüncü taraf tüm aygıt kimlikleri: Savunmasız güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin verme "Grup İlkesi açıktan devam eder ve saldırgan ağınıza veya cihazlarınıza yetkisiz erişime olanak tanıyabilir.

Yalnızca Netlogon güvenli kanal 'da güvenli RPC etkinleştirerek güvenli hale getiremeyeceğiniz cihazların makine hesapları Grup ilkesine eklenmelidir. Ortamınızı korumak için bu cihazları uyumlu yapmanız veya bu cihazları değiştirmeniz önerilir.

Bir saldırgan, Grup ilkesine eklenen herhangi bir makine hesabının Active Directory makine kimliğinden yararlanabilir ve ardından makine kimliğinden herhangi bir izin kullanabilir.

Netlogon güvenli kanalı için güvenli bir RPC desteği olmayan üçüncü taraf bir cihazınız varsa ve zorlama modunu etkinleştirmek isterseniz, bu cihaz için makine hesabını Grup ilkesine eklemelisiniz. Bu önerilmez ve etki alanınızı güvenlik açığından etkilenebilecek bir durumda bırakabilir.  Bu grup ilkesini kullanarak, bunları uyumlu hale getirmek için üçüncü taraf tüm cihazları güncelleştirmesine veya değiştirmesine olanak tanımak önerilir.

Zorlama modunun en kısa zamanda etkinleştirilmesi gerekir. Üçüncü taraf cihazların, bunları uyumlu kılarak veya "etki alanı denetleyicisi: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi. Notu İzin verilenler listesindeki tüm cihazlar için güvenlik açığı olan bağlantıları kullanabilir ve ortamınızı saldırıya maruz bırakabilecek.

 

Sözlüğü

Inı

Tan

TUŞ

Active Directory

DC

Etki alanı denetleyicisi

Zorlama modu

9 Şubat 2021 ' den önce zorlama modunu etkinleştirmenizi sağlayan kayıt defteri anahtarı.

Zorlama aşaması

9 Şubat 2021 ' den başlayarak, kayıt defteri ayarları ne olursa olsun, uygulama modu 'Nun tüm Windows etki alanı denetleyicilerinde etkinleştirilecektir. DCs, "etki alanı denetleyicisi: ' e eklenene kadar uyumlu olmayan tüm cihazların izin verilen bağlantılarını reddeder: Güvenlik açığı olan Netlogon güvenli kanal bağlantılarına izin ver "Grup İlkesi.

İlk dağıtım aşaması

11 Ağustos 2020 ' den başlayarak, güncelleştirmeleri ve uygulama aşamasına kadar sonraki güncelleştirmelerle devam eder.

Makine hesabı

Active Directory Computer veya Computer nesnesi olarak da adlandırılır.  Lütfen tam tanımlama için MS-NPRC sözlüğün başlığına bakın.

MS-NRPC

Microsoft Netlogon uzak Protokolü

Uyumlu olmayan cihaz

Uyumlu olmayan bir cihaz, güvenlik açığından etkilenebilecek bir Netlogon güvenli kanal bağlantısı kullanan bir aygıttır.

REDDEDILEN

salt-etki alanı denetleyicileri

Savunmasız bağlantı

Savunmasız bağlantı, güvenli RPC kullanmayan bir Netlogon güvenli kanal bağlantısıdır.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin

Eğitimleri keşfedin >

Yeni özellikleri ilk olarak siz edinin

Microsoft Insider’a katılın >

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×