Вихідна дата публікації: 13 серпня 2025 р.
Ідентифікатор KB: 5066014
У цій статті:
Зведення
CVE-2025-49716 усуває вразливість відмова в обслуговуванні, коли віддалені неавтентичні користувачі можуть здійснювати ряд віддалених викликів процедур на основі Netlogon (RPC), які в кінцевому підсумку споживають всю пам'ять на контролері домену (DC). Щоб зменшити цю вразливість, у травні 2025 р. Безпека у Windows оновлення для Windows Server 2025 р. та Безпека у Windows Оновлення липня 2025 р. для всіх інших платформ Server від Windows Server 2008SP2 до Windows Server 2022 року включно. Це оновлення містить зміни затягання системи безпеки до протоколу Microsoft RPC Netlogon. Ця зміна підвищує безпеку шляхом посилення перевірки доступу для набору запитів віддаленого виклику процедур (RPC). Після інсталяції цього оновлення контролери домену Active Directory більше не дозволять анонімним клієнтам викликати деякі запити віддаленого виклику процедур через сервер Netlogon RPC. Ці запити зазвичай пов'язані з розташуванням контролера домену.
Після цієї зміни можуть вплинути деякі & програмне забезпечення служби друку, зокрема Samba. Samba випустила оновлення, щоб пристосувати цю зміну. Докладні відомості див. в статті Samba 4.22.3 – Нотатки про випуск .
Щоб пристосувати сценарії, коли це стосується стороннього програмного забезпечення, не можна оновити, ми випустили додаткові можливості конфігурації в серпні 2025 Безпека у Windows Update. Ця зміна впроваджує перемикач на основі розділів реєстру між режимом примусового застосування за промовчанням, режимом аудиту, який реєструє зміни, але не блокуватиме неавтентифіковані виклики віддаленого виклику процедур Netlogon і неактивний режим (не рекомендовано).
Вжити заходів
Щоб захистити середовище та уникнути перебоїв, спочатку оновіть усі пристрої, на яких розміщено контролер домену Active Directory або роль LDS Server, інсталювавши останні оновлення Windows. DCs that have the July 8, 2025 or later Безпека у Windows Оновлення (or Windows Server 2025 DCs with May updates) are secure-by-default and not accept unauthenticated Netlogon-based RPC calls by default. DCs, які мають 12 серпня 2025 р. або пізніші Безпека у Windows Оновлення не приймають неавтентифіковані виклики віддаленого виклику процедур на основі Netlogon за замовчуванням, але їх можна тимчасово настроїти.
-
Відстежуйте своє середовище на наявність проблем із доступом. У разі виникнення проблеми переконайтеся, що основні причини – це зміна затвердження віддаленого виклику процедур Netlogon.
-
Якщо інстальовано лише липневі оновлення, увімкніть детальне журналювання Netlogon за допомогою команди "Nltest.exe /dbflag:0x2080ffff", а потім відстежуйте отримані журнали для записів, схожих на наведений нижче рядок. Поля OpNum і Method можуть відрізнятися та відповідають заблокованому методу операції та віддаленого виклику процедур:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: відхилення несанкціонованого виклику RPC від [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Якщо інстальовано оновлення Windows за серпень або пізніше, знайдіть подію Security-Netlogon 9015 на своїх DCs, щоб визначити, які виклики віддаленого виклику процедур відхиляються. Якщо ці виклики критично важливі, ви можете тимчасово перемістити контролер домену в режим аудиту або вимкнутий режим під час усунення несправностей.
-
Внесіть зміни, щоб програма використовує автентифіковані виклики RPC Netlogon, або зверніться до постачальника програмного забезпечення для отримання додаткової інформації.
-
-
Якщо ви перемістите DCs у режим аудиту, відстежуйте події Security-Netlogon 9016, щоб визначити, які виклики віддаленого виклику процедур буде відхилено, якщо ввімкнути режим примусового виконання. Потім внесіть зміни, щоб програма використовує автентифіковані виклики RPC Netlogon, або зверніться до постачальника програмного забезпечення для отримання додаткової інформації.
Примітка.: На серверах Windows 2008 ІЗ пакетом оновлень 2 (SP2) і Windows 2008 R2 ці події відображатимуться в журналах системних подій як Netlogon Events 5844 та 5845 відповідно для режиму примусового застосування та режиму аудиту.
Хронометраж оновлень Windows
Ці оновлення Windows було випущено в кілька етапів.
-
Початкова зміна Windows Server 2025 (13 травня 2025 р.) – вихідне оновлення, затягнуте для неавтентифікованих викликів RPC на основі Netlogon, було включено до Безпека у Windows оновлення за травень 2025 р. для Windows Server 2025 р.
-
Початкові зміни на інших серверних платформах (8 липня 2025 р.) – оновлення, затягнуті для неавтентифікованих викликів RPC на основі Netlogon для інших платформ Server, включено до Безпека у Windows Оновлення липня 2025 р.
-
Додавання режиму аудиту та неактивного режиму (12 серпня 2025 р.) – у серпні 2025 р. до Безпека у Windows Оновлення серпня 2025 р. було включено примусове застосування за замовчуванням із параметром режимів перевірки або вимкнення.
-
Видалення режиму аудиту та вимкнутого режиму (TBD) – пізніше режими перевірки та вимкнення можуть бути видалені з ОС. Ця стаття оновиться, коли підтвердяться додаткові відомості.
Інструкції з розгортання
Якщо ви розгортаєте Безпека у Windows Оновлення серпня та хочете налаштувати свої DCs в режимі аудиту або вимкнуто, розгорніть розділ реєстру нижче з відповідним значенням. Перезавантаження не потрібне.
|
Шлях |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Значення реєстру |
DCLocatorRPCSecurityPolicy |
|
Тип значення |
REG_DWORD |
|
Дані про значення |
0 – вимкнуто режим1 – режим перевірки2 – режим примусового застосування (за замовчуванням) |
Примітка.: Неавтентифіковані запити будуть дозволені як в режимі аудиту, так і в неактивному режимі.
Нещодавно додані події
12 серпня 2025 Безпека у Windows Оновлення також додасть нові журнали подій на контролерах домену Windows Server 2012 року через контролери домену Windows Server 2022:
|
Журнал подій |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип події |
Відомості |
|
Ідентифікатор події |
9015 |
|
Текст події |
Netlogon відхилив виклик RPC. Політика перебуває в режимі примусового виконання. Відомості про клієнт: Ім'я методу: %method% Номер методу: %opnum% Клієнтська адреса: IP-адреса <> Клієнтська ідентичність: <caller SID> Докладні відомості див. в статті https://aka.ms/dclocatorrpcpolicy. |
|
Журнал подій |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип події |
Відомості |
|
Ідентифікатор події |
9016 |
|
Текст події |
Netlogon дозволив виклик RPC, який зазвичай було б відмовлено. Політика перебуває в режимі аудиту. Відомості про клієнт: Ім'я методу: %method% Номер методу: %opnum% Клієнтська адреса: IP-адреса <> Клієнтська ідентичність: <caller SID> Докладні відомості див. в статті https://aka.ms/dclocatorrpcpolicy. |
Примітка.: На серверах Windows 2008 ІЗ пакетом оновлень 2 (SP2) і Windows 2008 R2 ці події відображатимуться в журналах системних подій як Netlogon Events 5844 та 5845 відповідно для режимів примусового виконання та аудиту.
Запитання й відповіді (запитання й відповіді)
DCs, які не оновлюються з 8 липня 2025 Безпека у Windows Оновлення або новішої версії, як і раніше, дозволять неавтентифікованих викликів RPC на основі Netlogon, & не буде записувати події, пов'язані з цією вразливістю.
DCs, які оновлюються з 8 липня 2025 Безпека у Windows Оновлення не дозволять неавтентифікованих викликів RPC на основі Netlogon, але не буде записувати подію, коли такий виклик заблоковано.
За замовчуванням DCs, які оновлюються з 12 серпня 2025 Безпека у Windows Оновлення або пізнішої версії, не дозволять неавтентифікованих викликів RPC на основі Netlogon і буде записувати подію, коли такий виклик заблоковано.
Ні.
