Làm thế nào để quản lý các thay đổi trong các kết nối kênh Secure Netlogon liên kết với CVE-2020-1472

Triển khai 11 tháng 8, 2020 Cập Nhật

Triển khai các bản Cập Nhật 11 tháng tám vào tất cả các bộ kiểm soát miền áp dụng (DCs) trong rừng, bao gồm bộ điều khiển miền chỉ đọc (RODCs). Sau khi triển khai bản cập nhật này sẽ DCs sẽ được:

• Bắt đầu thực thi việc sử dụng RPC bảo mật cho tất cả các tài khoản thiết bị dựa trên Windows, tài khoản tin cậy và tất cả các dịch DCs.

• ID sự kiện đăng nhập 5827 và 5828 trong Nhật ký sự kiện hệ thống, nếu các kết nối bị từ chối.

• ID sự kiện ghi nhật ký 5830 và 5831 trong Nhật ký sự kiện hệ thống, nếu các kết nối được phép theo "Domain Controller: Cho phép mối quan hệ với các kết nối kênh an toàn được đăng nhập Netlogon "chính sách Nhóm.

• Chứng minh sự kiện đăng nhập ID 5829 trong Nhật ký sự kiện hệ thống bất cứ khi nào một kết nối mạng an toàn được đăng nhập Các sự kiện này cần được giải quyết trước khi chế độ thực thi DC được đặt cấu hình hoặc trước khi giai đoạn thực thi bắt đầu vào ngày 9 tháng 2 năm 2021.

Việc phát hiện các thiết bị không tuân thủ bằng ID sự kiện 5829

Sau khi đã áp dụng các bản Cập Nhật ngày 11 tháng 8, 2020 đã được áp dụng cho DCs, sự kiện có thể được thu thập trong Nhật ký sự kiện DC để xác định các thiết bị trong môi trường của bạn đang sử dụng các kết nối kênh an toàn hơn Netlogon (được gọi là các thiết bị không tuân thủ trong bài viết này). Theo dõi các sự kiện dạng diễn giải DCs cho sự kiện ID 5829. Các sự kiện sẽ bao gồm các thông tin liên quan để xác định các thiết bị không tuân thủ.

Để theo dõi các sự kiện, hãy sử dụng phần mềm giám sát sự kiện sẵn dùng hoặc bằng cách sử dụng một tập lệnh để giám sát DCs của bạn.  Đối với một số kịch bản mà bạn có thể điều chỉnh cho môi trường của mình, hãy xem kịch bản để trợ giúp trong các ID sự kiện giám sát liên quan đến các bản Cập Nhật của Netlogon cho CVE-2020-1472

ID sự kiện địa chỉ 5827 và 5828

Theo mặc định, các phiên bản Windows được hỗ trợ đã được cập nhật đầy đủ sẽ không được sử dụng các kết nối kênh an toàn của Netlogon. Nếu một trong những sự kiện này sẽ được ghi nhật ký sự kiện hệ thống cho thiết bị chạy Windows:

1. Xác nhận rằng thiết bị đang chạy Phiên bản Windows được hỗ trợ.

2. Đảm bảo thiết bị đã được cập nhật đầy đủ.

3. Kiểm tra để đảm bảo thành viên miền sau: Mã hóa kỹ thuật số hoặc dấu bảo mật dữ liệu kênh (luôn là) được thiết lập để kích hoạt.

Đối với các thiết bị không phải Windows hoạt động như một DC, những sự kiện này sẽ được ghi nhật ký sự kiện hệ thống khi sử dụng tính kết nối kênh an toàn của Netlogon. Nếu một trong những sự kiện này sẽ được ghi:

• Được đề xuất Làm việc với nhà sản xuất thiết bị (OEM) hoặc nhà cung cấp phần mềm để nhận hỗ trợ cho RPC Secure Channel Secure

  1. Nếu sự cố không tuân thủ DC hỗ trợ các phần bổ trợ bảo mật cho các kênh Secure trên mạng, sau đó cho phép các phần bổ trợ bảo mật cho RPC trên DC.

  2. Nếu không tuân thủ DC hiện không hỗ trợ khả năng cài sẵn RPC, hãy làm việc với nhà sản xuất thiết bị (OEM) hoặc nhà cung cấp phần mềm để nhận được bản Cập Nhật hỗ trợ các công dụng cài sẵn RPC với kênh bảo mật của Netlogon.

  3. Việc ngừng DC không tuân thủ.

• Dễ bị tổn thương Nếu không tuân thủ DC không thể hỗ trợ các phần mềm có thể sử dụng các công thức truyền tải trênkênh Secure trênmáy được DCS. Cho phép mối quan hệ với các kết nối kênh an toàn được Netlogon nguy hiểm "chính sách Nhóm mô tả bên dưới

Sự kiện địa chỉ 5829

Sự kiện ID 5829 được tạo khi kết nối dễ bị cho phép trong giai đoạn triển khai ban đầu. Các kết nối này sẽ bị từ chối khi DCs đang ở chế độ thực thi. Trong các sự kiện này, tiêu điểm nằm trên tên máy, phiên bản hệ điều hành và hệ điều hành xác định để xác định các thiết bị không tuân thủ và cách thức được giải quyết.

Các cách để giải quyết các thiết bị không tuân thủ:

• Được đề xuất Làm việc với nhà sản xuất thiết bị (OEM) hoặc phần mềm nhà cung cấp để nhận hỗ trợ cho RPC Secure Channel Secure Channel:

  1. Nếu thiết bị không tuân thủ hỗ trợ các phần bổ trợ cho RPC với kênh bảo mật của Netlogon, sau đó bật RPC bảo mật trên thiết bị.

  2. Nếu thiết bị không tuân thủ hiện không hỗ trợ khả năng cài sẵn các phần mềm RPC với kênh bảo mật của Netlogon, hãy làm việc với nhà sản xuất thiết bị hoặc nhà cung cấp phần mềm để nhận bản Cập Nhật cho phép cài sẵn cài sẵn cài sẵn với kênh bảo mật của thiết bị đăng nhập.

  3. Việc ngừng thiết bị không tuân thủ.

• Dễ bị tổn thương Nếu không có thiết bị tương thích không thể hỗ trợ bảo mật RPC với kênh bảo mật của Netlogon trước khi DCs đang ở chế độ thực thi, thêm thiết bị bằng cách sử dụng "Domain Controller: Cho phép mối quan hệ với các kết nối kênh an toàn được Netlogon nguy hiểm "chính sách Nhóm mô tả bên dưới

Cho phép các kết nối dễ bị tổn thương từ các thiết bị

Sử dụng "Domain Controller: Cho phép bạn dễ bị tổn thương đối với kênh Secure Channel Connections "chính sách Nhóm để thêm tài khoản không tuân thủ. Chỉ này sẽ được coi là một biện pháp khắc phục ngắn hạn cho đến khi không tuân thủ các thiết bị được giải quyết như được mô tả ở trên. Ghi chú Cho phép các kết nối dễ bị xâm phạm từ các thiết bị không được tương thích có thể không biết rõ tác động bảo mật và nên được phép cảnh cáo.

1. Đã tạo nhóm bảo mật cho các tài khoản sẽ được phép sử dụng kênh bảo mật của Netlogon nguy hiểm.

2. Trong chính sách nhóm, hãy đi tới cấu hình máy tính > Thiết đặt Windows > Cài đặt bảo mật > chính sách cục bộ > tùy chọn bảo mật

3. Tìm kiếm "Domain Controller: Cho phép mối quan hệ giữa các kết nối kênh bảo mật của Netlogon. ".

4. Nếu nhóm người quản trị hoặc nếu có bất kỳ nhóm nào không được tạo đặc biệt để sử dụng với chính sách nhóm này là hiện tại, hãy loại bỏ nó.

5. Thêm một nhóm bảo mật được thực hiện đặc biệt để sử dụng với chính sách nhóm này vào trình mô tả bảo mật với quyền "cho phép". Ghi chú Quyền "từ chối" sẽ thực hành theo cách tương tự như khi tài khoản chưa được thêm vào, ví dụ: Các tài khoản sẽ không được phép tạo ra các kênh bảo mật được đăng nhập Netlogon nguy hiểm.

6. Sau khi các nhóm bảo mật (các) sẽ được thêm vào, chính sách nhóm sẽ được sao chép vào mỗi DC.

7. Định kỳ, giám sát sự kiện 5827, 5828 và 5829 để xác định tài khoản nào đang sử dụng kết nối kênh an toàn dễ dàng.

8. Thêm các tài khoản máy đó vào (các) nhóm bảo mật khi cần. Hành nghề tốt nhất Sử dụng nhóm bảo mật trong chính sách nhóm và thêm tài khoản vào nhóm để tư cách thành viên được nhân bản thông qua việc sao chép quảng cáo thông thường. Thao này tránh các bản Cập Nhật chính sách nhóm và sự chậm trễ trong nhóm thường xuyên.

Sau khi tất cả các thiết bị không tuân thủ đã được giải quyết, bạn có thể di chuyển DCs sang chế độ thực thi (xem mục tiếp theo).

Chuyển sang chế độ thực thi trước khi giai đoạn thực thi 2021 tháng hai

Sau khi tất cả các thiết bị không tuân thủ đều đã được giải quyết, bằng cách cho phép các phần bổ trợ bảo mật hoặc bằng cách cho phép các kết nối dễ bị với "bộ điều khiển miền: Cho phép bạn dễ bị tổn thương đối với kênh Secure Channel Connections "chính sách Nhóm, đặt khóa đăng ký FullSecureChannelProtection sang 1.

Ghi chú Nếu bạn đang sử dụng "Domain Controller: Đồng thời, cho phép các kết nối kênh an toàn được đăng nhập Netlogon "Group, hãy đảm bảo rằng chính sách nhóm đã được sao chép và áp dụng cho tất cả các DCs trước khi thiết đặt khóa đăng ký FullSecureChannelProtection.

Khi đã triển khai phím Registry FullSecureChannelProtection, DCs sẽ nằm ở chế độ thực thi. Cài đặt này yêu cầu rằng tất cả các thiết bị bằng cách sử dụng kênh Secure Netlogon hoặc:

• Sử dụng Secure RPC.

• Được phép trong "Domain Controller: Cho phép mối quan hệ với các kết nối kênh an toàn được đăng nhập Netlogon "chính sách Nhóm.

Triển khai 09 tháng hai, 2021 Cập Nhật

Việc triển khai các bản Cập Nhật được phát hành vào ngày 9 tháng 2 năm 2021 trở lên, sẽ chuyển sang chế độ thực thiDC. Chế độ thực thi DC là khi tất cả các kết nối được đăng nhập là bắt buộc khi sử dụng các công thức cài sẵn bảo mật hoặc tài khoản phải được thêm vào bộ điều khiển miền ": Cho phép mối quan hệ với các kết nối kênh an toàn được đăng nhập Netlogon "chính sách Nhóm. Tại thời điểm này, phím FullSecureChannelProtection registry không còn cần nữa và sẽ không còn được hỗ trợ nữa.