Özgün yayımlama tarihi: 13 Ağustos 2025, Ağustos 2025, Ağustos 2025, Ağustos 2025, Ağustos
KB Kimliği: 5066014
Bu makalede:
Özet
CVE-2025-49716, kimliği doğrulanmamış uzak kullanıcıların sonunda etki alanı denetleyicisindeki (DC) tüm belleği tüketen bir dizi Netlogon tabanlı Uzaktan Yordam Çağrısı (RPC) gerçekleştirebildiği Bir Hizmet Reddi güvenlik açığını giderir. Bu güvenlik açığını azaltmak için, Windows Server 2025 için Mayıs 2025 Windows Güvenliği Güncelleştirmesi'nde ve Windows Server 2008SP2'den 2008SP2'ye kadar tüm diğer Sunucu platformları için Temmuz 2025 Windows Güvenliği Güncelleştirmeler bir kod değişikliği yapılmıştır Windows Server 2022, dahil. Bu güncelleştirme, Microsoft RPC Netlogon protokolünde bir güvenlik sağlamlaştırma değişikliği içerir. Bu değişiklik, bir dizi uzaktan yordam çağrısı (RPC) isteği için erişim denetimlerini sıkılaştırarak güvenliği artırır. Bu güncelleştirme yüklendikten sonra Active Directory etki alanı denetleyicileri artık anonim istemcilerin Netlogon RPC sunucusu aracılığıyla bazı RPC isteklerini çağırmasına izin vermez. Bu istekler genellikle etki alanı denetleyicisi konumuyla ilgilidir.
Bu değişiklikten sonra, Samba dahil olmak üzere bazı dosya & yazdırma hizmeti yazılımı etkilenebilir. Samba bu değişikliği karşılamak için bir güncelleme yayınladı. Daha fazla bilgi için bkz. Samba 4.22.3 - Sürüm Notları .
Etkilenen üçüncü taraf yazılımların güncelleştirilemediği senaryolara uyum sağlamak için Ağustos 2025 Windows Güvenliği Güncelleştirmesi'nde ek yapılandırma özelliği yayımladık. Bu değişiklik, varsayılan Zorlama Modu, değişiklikleri günlüğe kaydeden ancak kimliği doğrulanmamış Netlogon RPC çağrılarını engellemeyen bir Denetim Modu ve Devre Dışı Modu (önerilmez) arasında kayıt defteri anahtarı tabanlı bir geçiş uygular.
Eyleme geçme
Ortamınızı korumak ve kesintileri önlemek için öncelikle en son Windows güncelleştirmelerini yükleyerek Active Directory etki alanı denetleyicisini veya LDS Sunucusu rolünü barındıran tüm cihazları güncelleştirin. 8 Temmuz 2025 veya üzeri Windows Güvenliği Güncelleştirmeler (veya Mayıs güncelleştirmeleri olan Windows Server 2025 DC'leri) varsayılan olarak güvenlidir ve kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarını varsayılan olarak kabul etmemelidir. 12 Ağustos 2025 veya üzeri Windows Güvenliği Güncelleştirmeler sahip DC'ler, kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarını varsayılan olarak kabul etmese de, bunu geçici olarak yapacak şekilde yapılandırılabilir.
-
Erişim sorunları için ortamınızı izleyin. Karşılaşırsanız, netlogon RPC sağlamlaştırma değişikliklerinin kök neden olup olmadığını onaylayın.
-
Yalnızca Temmuz güncelleştirmeleri yüklüyse, "Nltest.exe /dbflag:0x2080ffff" komutunu kullanarak ayrıntılı Netlogon günlüğünü etkinleştirin ve ardından aşağıdaki satıra benzeyen girdiler için sonuçta elde edilen günlükleri izleyin. OpNum ve Yöntem alanları farklılık gösterebilir ve engellenen işlemi ve RPC yöntemini temsil edebilir:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: [IPAddr] OpNum:34 Method:DsrGetDcNameEx2'den yetkisiz RPC çağrısını reddetme
-
Ağustos veya sonraki Windows güncelleştirmeleri yüklüyse, hangi RPC çağrılarının reddedildiğini belirlemek için DC'lerinizde Security-Netlogon Olay 9015'i arayın. Bu çağrılar kritikse, sorun giderme sırasında DC'yi geçici olarak Denetim Modu'na veya Devre Dışı Modu'na yerleştirebilirsiniz.
-
Uygulamanın kimliği doğrulanmış Netlogon RPC çağrılarını kullanmasını sağlayacak değişiklikler yapın veya daha fazla bilgi için yazılım satıcınıza başvurun.
-
-
DC'leri Denetim Modu'na koyarsanız, Zorlama Modu'nu açtığınızda hangi RPC çağrılarının reddedileceğini belirlemek için Security-Netlogon Olay 9016'yı izleyin. Ardından uygulamanın kimliği doğrulanmış Netlogon RPC çağrılarını kullandığı gibi değişiklikler yapın veya daha fazla bilgi için yazılım satıcınıza başvurun.
Not: Windows 2008 SP2 ve Windows 2008 R2 sunucularında, bu olaylar Sistem olay günlüklerinde Zorlama Modu ve Denetim Modu için sırasıyla Netlogon Events 5844 ve 5845 olarak görünür.
Windows güncelleştirmelerinin zamanlaması
Bu Windows güncelleştirmeleri çeşitli aşamalarda yayımlandı:
-
Windows Server 2025'teki İlk Değişiklik (13 Mayıs 2025) – Kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarına karşı sağlamlaştırılmış özgün güncelleştirme, Windows Server 2025 için Mayıs 2025 Windows Güvenliği Güncelleştirmesi'ne dahil edildi.
-
Diğer Sunucu Platformlarındaki İlk Değişiklikler (8 Temmuz 2025) – Diğer Sunucu platformları için kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarına karşı sağlamlaştırılmış güncelleştirmeler Temmuz 2025 Windows Güvenliği Güncelleştirmeler'ne dahil edildi.
-
Denetim Modu ve Devre Dışı Modu Ekleme (12 Ağustos 2025) – Varsayılan olarak Denetim veya Devre Dışı modları seçeneğiyle zorlama, Ağustos 2025 Windows Güvenliği Güncelleştirmeler dahil edildi.
-
Denetim Modunun ve Devre Dışı Modun (TBD) Kaldırılması – Daha sonraki bir tarihte Denetim ve Devre Dışı modları işletim sisteminden kaldırılabilir. Bu makale, diğer ayrıntılar onaylandığında güncelleştirilir.
Dağıtım kılavuzu
Ağustos Windows Güvenliği Güncelleştirmeler dağıtıyorsanız ve DC'lerinizi Denetim veya Devre Dışı modunda yapılandırmak istiyorsanız, aşağıdaki kayıt defteri anahtarını uygun değerle dağıtın. Yeniden başlatma gerekmez.
|
Yol |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Kayıt defteri değeri |
DCLocatorRPCSecurityPolicy |
|
Değer türü |
REG_DWORD |
|
Değer verileri |
0 - Devre Dışı Modu1 - Denetim Modu2 - Zorlama Modu (varsayılan) |
Not: Kimliği doğrulanmamış isteklere hem Denetim hem de Devre Dışı modlarında izin verilir.
Yeni eklenen olaylar
12 Ağustos 2025 Windows Güvenliği Güncelleştirmeler ayrıca Windows Server 2012 Windows Server 2022 etki alanı denetleyicilerine yeni olay günlükleri ekleyecektir:
|
Olay Günlüğü |
Microsoft-Windows-Security-Netlogon/Operasyonel |
|
Olay Türü |
Bilgi |
|
Olay Kimliği |
9015 |
|
Olay Metni |
Netlogon bir RPC çağrısını reddetti. İlke zorlama modundadır. İstemci Bilgileri: Yöntem Adı: %method% Yöntem opnum: %opnum% İstemci adresi: <IP adresi> İstemci kimliği: <Çağıran SID> Daha fazla bilgi için bkz. https://aka.ms/dclocatorrpcpolicy. |
|
Olay Günlüğü |
Microsoft-Windows-Security-Netlogon/Operasyonel |
|
Olay Türü |
Bilgi |
|
Olay Kimliği |
9016 |
|
Olay Metni |
Netlogon normalde reddedilen bir RPC çağrısına izin verdi. İlke denetim modundadır. İstemci Bilgileri: Yöntem Adı: %method% Yöntem opnum: %opnum% İstemci adresi: <IP adresi> İstemci kimliği: <Çağıran SID> Daha fazla bilgi için bkz. https://aka.ms/dclocatorrpcpolicy. |
Not: Windows 2008 SP2 ve Windows 2008 R2 sunucularında, bu olaylar Sistem olay günlüklerinde Zorlama ve Denetim modları için sırasıyla Netlogon Olayları 5844 ve 5845 olarak görünür.
Sık sorulan sorular (SSS)
8 Temmuz 2025 Windows Güvenliği Güncelleştirmeler veya sonraki sürümleriyle güncelleştirilmeyen DC'ler, kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarına izin verir & bu güvenlik açığıyla ilgili olayları günlüğe kaydetmez.
8 Temmuz 2025 Windows Güvenliği Güncelleştirmeler güncelleştirilen DC'ler kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarına izin vermez, ancak böyle bir çağrı engellendiğinde olay günlüğe kaydetmez.
Varsayılan olarak, 12 Ağustos 2025 Windows Güvenliği Güncelleştirmeler veya üzeriyle güncelleştirilen DC'ler kimliği doğrulanmamış Netlogon tabanlı RPC çağrılarına izin vermez ve böyle bir çağrı engellendiğinde bir olayı günlüğe kaydeder.
Hayır.
