Зведення
Віддалений протокол Netlogon (який також називається " MS-NRPC") – це інтерфейс RPC, який використовується виключно для пристроїв, які приєдналися до домену. MS-NRPC містить спосіб автентифікації та спосіб створення захищеного каналу, який працює з Netlogon. У цих оновленнях використовується відповідна поведінка клієнта Netlogon, що дає змогу використовувати захищений RPC з захищеним каналом "Netlogon" для контролерів домену для комп'ютерів і Active Directory (AD).
Оновлення системи безпеки усуває дефект, якщо використовується захищений обліковий запис, якщо за допомогою захищеного каналу Netlogon в поетапний випуск пояснював, що під час оновлення з адресою Netlogon уразливості CVE-2020-1472 наведено в цій статті. Щоб забезпечити захист лісоматеріалів, слід оновлювати всі ЦСК, оскільки вони будуть застосовувати захищений RPC з захищеним каналом Netlogon. Це стосується контролерів домену лише для читання (RODC).
Докладні відомості про вразливість див. в статті CVE-2020-1472.
Виконати дії
Щоб захистити навколишнє середовище та запобігти відключенню, слід виконати наведені нижче дії.
Нотатка Крок 1 для інсталяції оновлень, випущеній 11 серпня 2020 або пізнішої версії, відповідатиме проблемі безпеки в Csve-2020-1472 для доменів і довірчі служби Active Directory, а також на пристроях із Windows. Щоб повністю пом'якшити проблему безпеки для пристроїв сторонніх постачальників, потрібно виконати всі кроки.
Попередження Починаючи з лютого 2021, увімкнуто режим примусового застосування для всіх контролерів домену Windows і блокує вразливі підключення з несумісних пристроїв. У той час ви не зможете вимкнути режим примусового застосування.
-
Оновіть контролери домену, випущену з 11 серпня 2020 або пізнішої версії.
-
Знайдіть , які пристрої роблять вразливі зв'язки, відстежуючи журнали подій.
-
Відповідний пристрій не сумісний із пристроями, що спрощує підключення.
-
Увімкніть режим примусового застосування до адреси csve-2020-1472 у своєму середовищі.
Нотатка Якщо ви використовуєте Windows Server 2008 R2 SP1, вам знадобиться Розширена ліцензія на оновлення системи безпеки (esu), щоб успішно інсталювати будь-яке оновлення, яке вирішує цю проблему. Докладні відомості про програму ESU див. в статті запитання й відповіді про життєвий цикл.
У цій статті:
-
Хронометраж оновлень, що стосуються Netlogon уразливості CSVE-2020-1472
-
Рекомендації з розгортання. розгортання оновлень і забезпечення відповідності вимогам
-
"контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групова політика
-
сторонні пристрої, що реалізують [MS-NRPC]: Віддалений протокол Netlogon
Хронометраж оновлень, що стосуються Netlogon уразливості CSVE-2020-1472
Оновлення буде випущено двома етапами: Початкова фаза для оновлень, випущених в або після 11 серпня 2020 р. та відповідний етап для оновлень, випущених в або після 9 лютого 2021.
11 серпня 2020 – початкова фаза розгортання
Початкова фаза розгортання починається з оновлення, випущеній 11 серпня, 2020 і продовжується з пізнішими оновленнями до етапу виконання. У цих і пізніших оновленнях ви вносите зміни до протоколу "Netlogon", щоб захистити пристрої Windows за замовчуванням, реєструє події для виявлення несумісних пристроїв і надає можливість активувати захист для всіх пристроїв, які приєдналися до домену, з явним виключенням. У цьому випуску:
-
Забезпечує захищене використання RPC для керування обліковими записами на комп'ютерах з ОС Windows.
-
Забезпечує захищене використання RPC для довірених облікових записів.
-
Забезпечує захищене використання RPC для всіх Windows і не Windows.
-
Ця група містить нову групову політику, яка дає змогу використовувати Несумісні облікові записи пристроїв (ті, що використовують вразливі підключення захищеного каналу). Навіть якщо запущено режим DCs у режимі примусового застосування або після запуску етапу примусового завершення, дозволяються пристрої не буде відмовлено в з'єднанні.
-
Розділ реєстру "повний обліковий запис", який дає змогу ввімкнути режим примусового застосування DC для всіх облікових записів комп'ютера (етап виконання буде оновлено до РЕЖИМУ примусового застосуванняDC).
-
Містить нові події, якщо облікові записи відмовляються або будуть відхилені в режимі примусового застосування DC (і вони продовжуватимуться на етапі примусового застосування). Наведені нижче ідентифікатори подій описані далі в цій статті.
Пом'якшення полягає в тому, щоб інсталювати оновлення для всіх функцій Црс і RODCs, відстежувати нові події та відповідати на несумісних пристроях, що використовують захищений засіб входу за допомогою захищеного каналу Netlogon. Облікові записи на комп'ютерах, на яких не сумісні пристрої, можна використовувати вразливі підключення захищеного каналу Netlogon. Однак вони мають бути оновлені, щоб підтримувати захищений обліковий запис для входу в службу, і якнайшвидше усунути ризик атаки.
9 лютого 2021 – етап виконання
9 лютого 2021 року в цьому випуску відзначається перехід на етап виконання. ЦСК тепер відображатиметься в режимі примусового застосування незалежно від розділу реєстру примусового застосування. Для цього потрібно, щоб усі пристрої з ОС Windows і Windows не використовували захищений обліковий запис з захищеним каналом, який не сумісний, або явно дозволити обліковому запису, додавши виняток для пристрою, який не відповідає вимогам. У цьому випуску:
-
Забезпечує захищене використання RPC для облікових записів комп'ютера на комп'ютерах, на яких не встановлено Windows, якщо "контролер домену". Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
-
Протоколювання подій ID 5829 буде видалено. Оскільки всі вразливі підключення заборонено, тепер у журналі системних подій відображатиметься лише ідентифікатори подій 5827 і 5828.
Рекомендації з розгортання. розгортання оновлень і забезпечення відповідності вимогам
Початкова фаза розгортання складатиметься з наведених нижче дій.
-
Розгортання 11 серпня оновленьдля всіх DCS у лісі.
-
(a) відстеження подійі (б) на кожну подію.
-
(a) коли всі попереджувальні події вже вирішено, можна ввімкнути повний захист, розгортаючи режим примусового застосуванняDC. (б) усі попередження слід усунути, перш ніж 9 лютого 2021 виконання відповідних фазових оновлень.
крок 1. ОНОВЛЕННЯ
Розгортання 11 серпня 2020 оновлення
Розгорніть 11 серпня оновлення до всіх застосовних контролерів домену (ЦС) у лісі, зокрема контролерів домену лише для читання (RODCs). Після розгортання цих оновлень латка буде:
-
Почніть застосовувати захищене застосування RPC для всіх облікових записів пристроїв на основі Windows, довірчі облікові записи та усі ЦСК.
-
Під час входу в системний журнал подій журналу 5827 і 5828 в журналі подій системи, якщо з'єднання відмовлено.
-
Запис у журналі подій 5830 і 5831 в журналі системних подій, якщо підключення дозволено за "контролер домену: Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
-
Вхід за допомогою ІДЕНТИФІКАТОРА 5829 у журналі системних подій щоразу, коли буде дозволено підключення захищеного каналу через захищений канал. Ці події слід вирішити, перш ніж режим примусового виконання DC настроєний або до початку виконання, який завершиться 9 лютого 2021.
крок 2 а: ШУКАТИ
Виявлення несумісних пристроїв за допомогою ІДЕНТИФІКАТОРА події 5829
Після 11 серпня 2020 оновлення, застосовані до ЦСК, можуть бути зібрані в журналах подій DC, щоб визначити, які пристрої в навколишньому середовищі використовують вразливі засоби входу в захищений канал (не сумісні пристрої в цій статті). Відстежувати записи ЦСК для подій ID 5829. Події міститимуть відповідні відомості, щоб визначити несумісні пристрої.
Щоб слідкувати за подіями, використовуйте наявні програмне забезпечення для моніторингу подій або сценарій для відстеження ЦСК. Наприклад сценарій, який можна адаптуватися до середовища, див. в статті сценарій для відстеження ідентифікаторів подій, пов'язаних із поновлень Netlogon для CVE-2020-1472 .
крок 2b. АДРЕСА
Розв'язання ідентифікаторів подій 5827 і 5828
За замовчуванням Підтримувані версії операційної системи Windows , які було повністю оновлено, не слід використовувати вразливе підключення захищеного каналу. Якщо в журналі системних подій для пристрою з Windows записано одну з цих подій, виконайте такі дії:
-
Переконайтеся, що на пристрої інстальовано підтримувану версію Windows.
-
Переконайтеся, що пристрій повністю оновлено.
-
Перевірте, чи учасник домену. Цифровий шифрування або підписування захищених даних каналу (завжди) встановлено значення увімкнуто.
Для пристроїв, які не працюють з ОС Windows, як-от DC, ці події реєструються в журналі системних подій під час використання вразливих підключень захищеного каналу. Якщо реєструється одна з цих подій, виконайте наведені нижче дії.
-
Радимо Доступ до служби "постачальник пристроїв" (OEM) або постачальника програмного забезпечення, щоб отримати підтримку безпечного RPC з захищеним каналом Netlogon
-
Якщо несумісний служба постійного струму підтримує захищене активацію за допомогою захищеного каналу, який забезпечує захист, а потім – безпечного ВІДДАЛЕНОГО входу в систему DC.
-
Якщо для несумісних функцій постійного струму наразі не підтримується захищене переспрямування, ви працюєте з постачальником пристроїв (OEM) або виробником програмного забезпечення, щоб отримати оновлення, що підтримує захищений засіб "".
-
Не відповідає вимогам постійного струму.
-
-
Вразливе Якщо несумісний контролер постійного струму не підтримує захищений обліковий запис RPC з захищеним каналом "Netlogon", перш ніж вони перебувають у режимі примусового застосування, додайте його, використовуючи "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групову політику описаних нижче.
Попередження Якщо дозволити ЦСК використовувати вразливі підключення за допомогою групової політики, він вразливий до атак. Кінцева мета полягає в тому, щоб усунути та вилучити всі облікові записи з цієї групової політики.
Звертаючись до події 5829
Подія з ІДЕНТИФІКАТОРАМИ 5829 створюється, якщо на початковому етапі розгортання стає вразливе підключення. Ці підключення будуть позбавлені, коли ЦСК перебуває в режимі примусового застосування. У цих подіях зосередитися на назві комп'ютера, в версіях домену та OS, щоб визначити несумісні пристрої та про те, як їх потрібно вирішити.
Способи вирішення несумісних пристроїв:
-
Радимо Щоб отримати підтримку з безпечного входу за допомогою захищеного каналу, зверніться до постачальника програмного забезпечення (OEM) або виробника, виконавши наведені нижче дії.
-
Якщо пристрій, який не відповідає вимогам, підтримує захищений засіб ВІДДАЛЕНОГО входу за допомогою захищеного каналу, а потім увімкніть функцію безпечного віддаленого виклику на пристрої.
-
Якщо пристрій, який не сумісний, наразі не підтримує захищений засіб "", використовуючи захищений канал, зверніться до виробника пристрою або постачальника програмного забезпечення.
-
Не відповідає вимогам до пристрою.
-
-
Вразливе Якщо пристрій, який не відповідає вимогам, не підтримує захищений обліковий запис, використовуючи захищений канал "Netlogon", перш ніж вони перебувають у режимі примусового застосування, додайте пристрій за "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групову політику описаних нижче.
Попередження Щоб облікові записи пристроїв могли використовувати вразливі підключення за допомогою групової політики, вони отримають ці облікові записи AD. Кінцева мета полягає в тому, щоб усунути та вилучити всі облікові записи з цієї групової політики.
Можливість вразливих підключень від сторонніх пристроїв
Використання "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групова політика", щоб додати Несумісні облікові записи. Це має бути лише короткостроковий засіб, доки не відповідає вимогам, як описано вище. Нотатка Якщо дозволити вразливі зв'язки на несумісних пристроях, може бути невідомий ефект безпеки та його слід використовувати обережно.
-
Створено групу безпеки для облікових записів, які дозволятимуть використовувати вразливий захищений канал Netlogon.
-
У груповій політиці відкрийте конфігурацію комп'ютера > Параметри Windows > Параметри безпеки > локальні політики > Параметри безпеки
-
Пошук "контролер домену. Дозволити уразливим підключенням каналу через захищений канал ".
-
Якщо в групі "Адміністратор" або "", якщо ви не створили групу, не створену для використання в цій груповій політиці, видаліть його.
-
Додайте групу безпеки, яка спеціально призначена для використання з цією груповою політикою в дескрипторі безпеки з дозволом "Дозволити". Нотатка Дозвіл "відхилити" працює так само, як якщо обліковий запис не додано, тобто облікові записи не дозволять зробити вразливими захищені канали для входу в систему.
-
Коли буде додано групу безпеки, групова політика має повторювати їх до кожного постійного струму.
-
Періодично Відстежуйте події 5827, 5828 і 5829, щоб визначити, які облікові записи використовують вразливі зв'язки захищеного каналу.
-
Якщо потрібно, додайте ці облікові записи для цього комп'ютера до групи безпеки. Практичні поради Скористайтеся групами безпеки в політиці групи та додайте облікові записи до групи, щоб його можна було реплікувати через звичайну реплікацію реклами. Ця дія дає змогу уникнути змін, що часто оновлюються, і затримки реплікації.
Якщо не вдалося вирішити всі несумісні пристрої, ви можете перемістити його до режиму примусового застосування (див. наступний розділ).
Попередження Завдяки групі Цcs можна використовувати вразливі зв'язки для довірчих облікових записів груповою політикою, яка зробить ліс вразливою до атаки. Довірені облікові записи зазвичай називаються іменем надійного домену, наприклад: Округ Колумбія в домені. має довіру з DC у домені – б. Усередині, округ Колумбія, домен – a має довірчий обліковий запис з іменем "domain-b $", який представляє об'єкт довіри для домену – b. Якщо DC у домені – хоче відобразити ліс, який ризикує атакувати, дозволивши уразливі підключення до захищеного каналу з обліковим записом домену – б, адміністратор може використати Add-adgrobmember – ідентичність "ім'я групи безпеки" – Учасники "domain-b $", щоб додати довірчий обліковий запис до групи безпеки.
крок 3 а: УВІМКНЕННЯ
Перехід до режиму примусового наближення до етапу примусового 2021 лютого
Якщо не вдалося вирішити всі несумісні пристрої, активуйте захищене підключення або дозвоивши вразливі зв'язки з "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групова політика", установити розділ реєстру для параметра Fullserver для захисту для 1.
Нотатка Якщо використовується "контролер домену: Дозволити уразливим підключенням до захищеного каналу через "групова політика", переконайтеся, що групову політику репліковано та застосовано до всіх даних ЦСК, перш ніж настроювати розділ реєстру Fullresecchandelprotection.
Коли ви розгорнете розділ реєстру Fullresecchandeleprotection, ЦСК працюватиме в режимі примусового застосування. Для цього параметра потрібно, щоб на всіх пристроях, які використовують захищений канал, можна виконати такі дії:
-
Скористайтеся захищеним RPC.
-
Дозволено в "контролер домену: Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
Попередження Клієнти третіх осіб, які не підтримують захищене підключення з підключенням захищеного каналу, не будуть позбавлені доступу, якщо в розділі реєстру примусового застосування DC, який може порушувати виробничі служби, буде відмовлено.
Крок 3b. Етапі примусового застосування
Розгортання 9 лютого 2021 оновлень
Коли розгортання оновлень випущено 9 лютого 2021 або пізнішої версії, активуйте режим примусового застосуванняDC. Режим примусового застосування DC – це коли всі підключення до входу в обліковий запис, які потрібно використовувати, мають бути додані до "контролер домену. Дозволити уразливим підключенням до захищеного каналу через систему "групова політика. Наразі розділ реєстру Fullresecchandeleprotection більше не потрібен, і він більше не підтримуватиметься.
"Контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групову політику"
Радимо використовувати групи безпеки в груповій політиці, щоб учасники могли реплікуватися через звичайну реплікацію реклами. Ця дія дає змогу уникнути змін, що часто оновлюються, і затримки реплікації.
|
Шлях до політики та його ім'я |
Опис |
|
Шлях політики: Конфігурація комп'ютера > параметри Windows > параметри безпеки > локальні політики > параметри безпеки Перезавантаження потрібне? Ні |
Цей параметр безпеки визначає, чи буде контролер домену обійти захищене підключення для захищеного каналу через "Netlogon" для вказаних облікових записів комп'ютера. Цю політику слід застосовувати до всіх контролерів домену в лісі, ввімкнувши політику на контролерах домену OU. Якщо налаштовано список створення вразливих підключень (список дозволених), виконайте такі дії:
Попередження Якщо ввімкнути цю політику, ви побачите пристрої, підключені до домену, і ваш ліс Active Directory, який може поставити їх на небезпеку. Цю політику слід використовувати як тимчасову міру для пристроїв сторонніх постачальників, коли ви розгортаєте оновлення. Якщо пристрій третьої сторони оновлюється, щоб забезпечити підтримку безпечного підключення до захищеного КАНАЛУ, обліковий запис слід видалити зі списку створення вразливих з'єднань. Щоб краще зрозуміти ризик Настроювання облікових записів, які можна використовувати для вразливих підключень захищеного каналу, перейдіть на сторінку https://go.microsoft.com/fwlink/?linkid=2133485. Замовчуванням Цю політику не настроєно. На комп'ютерах або в довірчих облікових записах явно звільняються дані з безпечного підключення через захищений доступ до каналу. Цю політику підтримують Windows Server 2008 R2 з пакетом оновлень 1 (SP1) і новіших версій. |
Помилки в журналі подій Windows, пов'язані з CVE-2020-1472
Існує три типи подій.
1. Події, які записуються, коли відмовлено в з'єднанні, тому що сталася помилка підключення захищеного каналу через захищений канал:
-
5827 (облікові записи комп'ютера)
-
5828 (довірчі облікові записи)
2. Події, які записуються, якщо підключення дозволено, оскільки обліковий запис додано до "контролер домену". Дозволити уразливим підключенням до захищеного каналу через "групова політика".
-
5830 (облікові записи для комп'ютера)
-
Попередження 5831 (довірчі облікові записи)
3) Події, які записуються, якщо підключення дозволено в початковому випуску, який буде відмовлено в режимі примусового застосуванняDC.
-
5829 (облікові записи для комп'ютера)
Подія з ІДЕНТИФІКАТОРАМИ 5827
Подія з ІДЕНТИФІКАТОРАМИ 5827 буде записано, якщо не вдалося підключитися до захищеного каналу через захищений обліковий запис у захищеному каналі з обліковим записом комп'ютера.
|
Журнал подій |
"Система" |
|
Джерело події |
NETLOGON |
|
Ідентифікатор події |
5827 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Служба Netlogon відмовила в захищених комп'ютерах, що захищене канал Netlogon з комп'ютера. Комп'ютер SamAccountName: Домен: Тип облікового запису: Операційна система комп'ютера: Комп'ютер, на якому будується операційна система. Пакет пакетів оновлень для комп'ютера з операційними системами. Докладні відомості про те, чому це було відмовлено, див. в статті https://Go.Microsoft.com/fwlink/?LinkId=2133485. |
Подія з ІДЕНТИФІКАТОРАМИ 5828
Подія з ІДЕНТИФІКАТОРАМИ 5828 записується, коли вразливе підключення захищеного каналу через захищений обліковий запис із довірчого облікового запису відмовлено.
|
Журнал подій |
"Система" |
|
Джерело події |
NETLOGON |
|
Ідентифікатор події |
5828 |
|
Рівень |
Помилка |
|
Текст повідомлення про подію |
Служба Netlogon відмовила через захищений обліковий запис для захищеного каналу Netlogon. Тип облікового запису: Ім'я довіри. Цільова мета: IP-адреса клієнта. Докладні відомості про те, чому це було відмовлено, див. в статті https://Go.Microsoft.com/fwlink/?LinkId=2133485. |
Подія з ІДЕНТИФІКАТОРАМИ 5829
Подія ID 5829 буде записано лише під час початкового етапу розгортання, якщо на комп'ютері дозволено підключення захищеного каналу через захищений обліковий запис.
Коли режим примусового застосування постійного струму розгортається або коли фаза початку починається з розгортання 9 лютого 2021 оновлень, ці підключення будуть відхилені, і буде записано подію ID 5827. Саме тому важливо слідкувати за подіями 5829 під час початкового етапу розгортання та діяти перед відповідним етапом, щоб уникнути простоїв.
|
Журнал подій |
Системи |
|
Джерело подій |
NETLOGON |
|
ІДЕНТИФІКАТОР події |
5829 |
|
Рівня |
Попередження |
|
Текст повідомлення про подію |
Служба Netlogon дозволила захистити підключення каналу через захищений канал Netlogon. Увага! Це підключення може бути відхилено, коли буде випущено етап примусового завершення. Щоб краще зрозуміти відповідний етап, перейдіть на https://Go.Microsoft.com/fwlink/?LinkId=2133485. Комп'ютер SamAccountName: Домен: Тип облікового запису: Операційна система комп'ютера: Комп'ютер, на якому будується операційна система. Пакет пакетів оновлень для комп'ютера з операційними системами. |
Подія з ІДЕНТИФІКАТОРАМИ 5830
Подія з ІДЕНТИФІКАТОРАМИ 5830 буде записано, коли вразливе підключення до облікового запису комп'ютера з обліковим записом "захищений канал" може "контролер домену: Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
|
Журнал подій |
"Система" |
|
Джерело події |
NETLOGON |
|
Ідентифікатор події |
5830 |
|
Рівень |
Попередження |
|
Текст повідомлення про подію |
Служба Netlogon дозволила вразливе підключення до каналу, оскільки обліковий запис комп'ютера дозволений в "контролер домену: Дозволити уразливим підключенням до захищеного каналу через "групову політику". Увага! За допомогою вразливих каналів Netlogon можна підробити пристрої, підключені до домену, щоб напасти на них. Щоб захистити пристрій від атак, видаліть його з "контролера домену: Дозволити уразливим підключенням до захищеного каналу через "групову політику" після оновлення стороннього клієнта входу в систему. Щоб краще зрозуміти ризик Настроювання облікових записів комп'ютера для використання вразливих підключень захищеного каналу, перейдіть на веб-сайт https://Go.Microsoft.com/fwlink/?LinkId=2133485. Комп'ютер SamAccountName: Домен: Тип облікового запису: Операційна система комп'ютера: Комп'ютер, на якому будується операційна система. Пакет пакетів оновлень для комп'ютера з операційними системами. |
Подія з ІДЕНТИФІКАТОРАМИ 5831
Подія з ІДЕНТИФІКАТОРАМИ 5831 буде записано, коли вразливе підключення через захищений обліковий запис для захищеного каналу через "контролер домену" може "контроллер domain Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
|
Журнал подій |
"Система" |
|
Джерело події |
NETLOGON |
|
Ідентифікатор події |
5831 |
|
Рівень |
Попередження |
|
Текст повідомлення про подію |
Служба Netlogon дозволила захистити підключення каналу через захищений обліковий запис, тому що в службі "контролер домену" дозволено довіряти обліковому запису. Дозволити уразливим підключенням до захищеного каналу через "групову політику". Увага! За допомогою вразливих каналів Netlogon можна відобразити ліси Active Directory, щоб напасти на них. Щоб захистити ліси активних каталогів від атак, всі довірчі зобов'язані використовувати захищений RPC з захищеним каналом Netlogon. Видалення довірчого облікового запису з "контролера домену. Дозволити уразливим підключенням до захищеного каналу через "групову політику" після оновлення стороннього клієнта входу в контролери домену. Щоб краще зрозуміти ризик налаштування довірених облікових записів, щоб мати змогу використовувати вразливі підключення захищеного каналу Netlogon, перейдіть на веб-сайт https://Go.Microsoft.com/fwlink/?LinkId=2133485. Тип облікового запису: Ім'я довіри. Цільова мета: IP-адреса клієнта. |
Значення реєстру для режиму примусового застосування
попередження про серйозні проблеми можуть виникати, якщо змінити реєстр неправильне, використовуючи редактор реєстру або скориставшись іншим способом. Під час цих проблем може знадобитися повторно інсталювати операційну систему. Корпорація Майкрософт не може гарантувати, що ці проблеми можна вирішити. Змінити реєстр на власний ризик.
11 серпня 2020 оновлення відповідно до наведених нижче параметрів реєстру для ввімкнення режиму примусового застосування. Цю функцію буде активовано незалежно від параметрів реєстру в етапі виконання, починаючи з 9 лютого 2021:
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Значення |
Захист від Full-серверів |
|
Тип даних |
REG_DWORD |
|
Дані |
1 – це забезпечує режим примусового застосування. ЦСК відхиляє вразливе підключення захищеного каналу, якщо обліковий запис не дозволено в списку "створити вразливе підключення" в "контролер домену". Дозволити уразливим підключенням до захищеного каналу через систему "групова політика. 0 – ЦСК забезпечує вразливе підключення захищеного каналу через систему, який не є Windows. Цей параметр буде вилучено в етапі примусового застосування. |
|
Перезавантаження потрібне? |
Ні |
Пристрої сторонніх постачальників, що реалізують [MS-NRPC]: Віддалений протокол Netlogon
Усі сторонні клієнти або сервери мають використовувати захищений засіб RPC з захищеним каналом Netlogon. Зверніться до виробника пристрою, щоб визначити, чи програмне забезпечення сумісне з найновішими віддаленими обліковими програмами Netlogon.
Оновлення протоколу можна знайти на сайті документації на протоколах Windows.
Запитання й відповіді
-
Windows & сторонні пристрої, підключені до домену, на яких інстальовано облікові записи комп'ютера в Active Directory (AD)
-
Windows Server & сторонні контролери домену в надійних & довірливих доменах, у яких є довірені облікові записи в AD
Можливо, сторонні пристрої не сумісні. Якщо ваше рішення стороннього виробника містить обліковий запис комп'ютера в AD, зверніться до постачальника, щоб визначити, чи ви їх вплинули.
Затримки автентифікації в програмах AD і Sysvol або помилки в програмі групової політики на автентифікацію DC можуть призвести до змінення групової політики "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групова політика" не можна буде зберігати та спричинити відмову в цьому обліковому записі.
Щоб усунути проблему, виконайте наведені нижче дії.
-
Якщо ви налаштували політику, яка містить групу, і внесені зміни до членства в групі, щоб додати обліковий запис, переконайтеся, що в центрі безпеки та відповідного підключення буде скопійовано зміни до членства в групі. Нотатка Не радимо додавати облікові записи безпосередньо до групової політики.
-
Якщо ви внесли зміни до політики та додали новий обліковий запис або нову групу, перевірте, чи реплікована та застосована зміна політики: Запустіть команди gpugtdate/Force і gpresult/h
-
Докладні відомості про виправлення неполадок у програмі групової політики та залежні пов'язані компоненти див. в таких статтях:
За замовчуванням Підтримувані версії операційної системи Windows , які було повністю оновлено, не слід використовувати вразливе підключення захищеного каналу. Якщо в журналі системних подій для пристрою з Windows зареєстровано ІДЕНТИФІКАТОР події 5827, виконайте наведені нижче дії.
-
Переконайтеся, що на пристрої інстальовано підтримувану версію Windows.
-
Переконайтеся, що пристрій повністю оновлено з Windows Update.
-
Перевірте, чи учасник домену. Цифровий шифрування або підписування захищених даних каналу (завжди) встановлено значення увімкнуто в бібліотеці групової політики, пов'язану з OU для всіх своїх Цcs, як-от контролери домену за промовчанням.
Так, їх слід оновлювати, але вони особливо вразливі до CVE-2020-1472.
Ні, значення DCs – це єдина роль, яка впливає на Csve-2020-1472 , і їх можна оновлювати незалежно від серверів Windows і інших пристроїв із Windows.
Windows Server 2008 SP2 не вразливе до цієї конкретної функції CVE, тому що він не використовує AES для безпечного віддаленого виклику.
Так, знадобиться розширене оновлення системи безпеки (ESU) , щоб інсталювати оновлення з адресою cve-2020-1472 для Windows Server 2008 R2 з пакетом оновлень 1 (SP1).
Розгортаючи 11 серпня 2020 або новіших версій оновлень для всіх контролерів домену в середовищі.
Переконайтеся, що жоден із пристроїв, доданих до "контролер домену: Дозволити уразливим підключенням до захищеного каналу через "групова політика" маєте корпоративні служби або Домени з правами адміністратора, як-от SCCM або Microsoft Exchange. Нотатка На будь-якому пристрої в списку дозволених підключень можна використовувати вразливі підключення, і вони можуть відобразити середовище в атаці.
Інсталяція оновлень, випущеній 11 серпня 2020 або пізнішої версії, захищає облікові записи на основі Windows для комп'ютера, облікові записи надійних облікових записів і контролерів домену.
Облікові записи служб Active Directory для домену, до яких приєдналися сторонні пристрої, не захищаються до розгортання режиму примусового застосування. Крім того , облікові записи комп'ютера захищені, якщо їх додано до "контролер домену". Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
Переконайтеся, що всі контролери домену в середовищі інсталювали 11 серпня 2020 або новіших оновлень.
Усі ідентичності пристроїв, додані до "контролер домену. Дозволити уразливим підключенням до захищеного каналу через "групову політику вразливішими до атак.
Переконайтеся, що всі контролери домену в середовищі інсталювали 11 серпня 2020 або новіших оновлень.
Увімкнення режиму примусового застосування для заборони вразливих підключень від несумісних сторонніх постачальників пристроїв.
Нотатка Коли ввімкнуто режим примусового застосування, будь-які сторонні ідентичності пристрою, додані до "контролер домену: Дозволити уразливим підключенням до захищеного каналу через "групова політика" залишатиметься вразливою, і дозволити злодію отримати несанкціонований доступ до вашої мережі або пристрою.
Режим примусового застосування. вказує на те, що контролери домену не дають змогу Netlogon підключення з пристроїв, які не використовують захищений засіб віддаленого виклику, якщо їх не додано до "контролер домену: Дозволити уразливим підключенням до захищеного каналу через систему "групова політика.
Докладні відомості див. в розділі " значення реєстру для режиму примусового застосування ".
У групову політику слід додавати лише облікові записи для пристроїв, які не можна захистити, ввімкнувши захищений обліковий запис на захищеному каналі. Щоб захистити навколишнє середовище, радимо використовувати ці пристрої відповідно до цих пристроїв або замінити їх на них.
Зловмисник може взяти на себе ідентичність, що використовується в службі Active Directory будь-якого іншого облікового запису, доданого до групової політики, і згодом використати будь-які дозволи, які має ідентичність комп'ютера.
Якщо у вас пристрій стороннього виробника, який не підтримує захищений засіб RPC для захищеного каналу, який не підтримується, і ви хочете ввімкнути режим примусового застосування, потрібно додати до неї обліковий запис комп'ютера для цього пристрою. Це не рекомендовано, і він може вийти з домену в потенційно вразливою стані. Ми радимо використовувати цю групову політику, щоб дозволити час оновитися або заміняти сторонні пристрої, щоб вони відповідають вимогам.
Режим примусового застосування має активуватися якомога раніше. Будь-який пристрій сторонніх постачальників потрібно вирішити, виконавши відповідні дії або додавши їх до "контролер домену. Дозволити уразливим підключенням до захищеного каналу через систему "групова політика. Нотатка На будь-якому пристрої в списку дозволених підключень можна використовувати вразливі підключення, і вони можуть відобразити середовище в атаці.
Глосарій термінів
|
Термінів |
Визначення |
|
AD |
Активний каталог |
|
DC |
Контролер домену |
|
Розділ реєстру, що дає змогу активувати режим примусового початку 9 лютого 2021. |
|
|
Фаза, починаючи з 9 лютого 2021 оновлень, де режим примусового застосування буде активовано для всіх контролерів домену Windows, незалежно від параметрів реєстру. ЦСК відхиляє вразливі зв'язки на всіх пристроях, які не сумісні, якщо вони не додаються до "контролер домену: Дозволити уразливим підключенням до захищеного каналу через систему "групова політика. |
|
|
Фаза, починаючи з 11 серпня, 2020 оновлюється, і продовжує з пізнішими оновленнями, доки етап виконання. |
|
|
обліковий запис комп'ютера |
Також згадується як комп'ютерний або комп'ютерний об'єкт. Щоб отримати повний опис, див. статтю словник MS-NPRC . |
|
Віддалений протокол Microsoft Netlogon |
|
|
Несумісний пристрій |
Пристрій, який не відповідає вимогам, використовується вразливе підключення через захищений канал Netlogon. |
|
RODC |
Контролери домену лише для читання |
|
Вразливе підключення |
Вразливе підключення – це підключення захищеного каналу, який не використовує захищений RPC. |
