摘要
Netlogon 遠端協定 (也稱為 MS-NRPC) ,是一種僅限網域加入裝置使用的 RPC 介面。 MS-NRPC 包含一種認證方法以及建立 Netlogon 安全通道的方法。 這些更新強制執行指定的 Netlogon 用戶端行為,使用安全 RPC 與 Netlogon 安全通道,在成員電腦與 Active Directory (AD) 網域控制器 (DC) 之間建立安全通道。
此安全更新透過分階段發布,針對使用 Netlogon 安全通道強制執行安全 RPC,詳見 CVE-2020-1472 章節的「Netlogon 漏洞更新時機 」部分。 為了提供 AD 森林保護,所有 DC 必須更新,因為它們會強制執行 Netlogon 安全通道的 RPC。 這包括 RODC) (唯讀域控制器。
欲了解更多漏洞資訊,請參閱 CVE-2020-1472。
注意
- 採取行動
- 為了保護您的環境和避免運作中斷,您必須執行下列各項:
- 請於 2020 年 8 月 11 日或之後更新您的網域控制器。
- 透過監控事件日誌,找出哪些裝置正在產生漏洞連線。
- ADDRESS 不合規裝置,導致連線漏洞。
- 啟用 強制模式以在您的環境中針對 CVE-2020-1472 進行處理。
- 註 安裝 2020 年 8 月 11 日或之後發布的更新的第一步,將針對 CVE-2020-1472 中針對 Active Directory 網域與信任,以及 Windows 裝置的安全問題。 要徹底解決第三方裝置的安全問題,你需要完成所有步驟。
- 警告 自 2021 年 2 月起,所有 Windows 網域控制器將啟用強制模式,並封鎖來自不合規裝置的漏洞連線。 屆時,你將無法關閉強制執行模式。
註如果你使用的是 2008 Windows Server R2 SP1,你需要安裝 ESU) 授權的擴展安全更新 (才能成功安裝任何解決此問題的更新。 欲了解更多ESU計畫資訊,請參閱生命週期常見問題-擴展安全匯報。
本文內容:
- 摘要
- 針對 Netlogon 漏洞的更新時機 CVE-2020-1472
- 部署指引 - 部署更新與執行合規
- 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組原則
- 與 CVE-2020-1472 相關的 Windows 事件日誌錯誤
- 執行模式的登錄值
- 實作 [MS-NRPC]的第三方裝置:Netlogon 遠端協定
- 常見問題集 (FAQ)
- 字彙
針對 Netlogon 漏洞的更新時機 CVE-2020-1472
更新將分為兩階段發布:初始階段為2020年8月11日或之後發布的更新,執行階段則為2021年2月9日或之後發布的更新。
2020年8月11日 - 初始部署階段
初始部署階段從 2020 年 8 月 11 日發布的更新開始,並持續進行後續更新直到 執法階段。 這些及後續更新對 Netlogon 協定做出修改,預設保護 Windows 裝置,記錄不合規裝置發現事件,並新增對所有網域加入裝置(但有明確例外)啟用保護的功能。 此版本:
- 在 Windows 裝置上強制使用安全的 RPC 帳戶。
- 強制對信託帳戶的安全使用 RPC。
- 強制所有 Windows 及非 Windows DC 的安全使用 RPC。
- 新增群組政策,允許不合規裝置帳號 (使用易受攻擊的 Netlogon 安全通道連線) 。 即使 DC 以 強制模式 運行或強制 階段 開始後,允許的裝置也不會被拒絕連接。
- 在強制階段啟用 DC 強制模式 的 FullSecureChannelProtection 登錄金鑰 (將) 更新 DC 強制 模式 。
- 包含當帳戶在 DC 執行模式 中被拒絕或即將被拒絕時的新事件, (並會在 執行階段) 持續發生。 具體的事件識別碼將在本文後面說明。
緩解措施包括在所有 DC 與 RODC 上安裝更新、監控新事件,以及處理使用脆弱 Netlogon 安全通道連線的不合規裝置。 不合規裝置上的機器帳號可被允許使用易受攻擊的 Netlogon 安全通道連線;但應盡快更新以支援 Netlogon 的安全 RPC,並強制執行帳號,以消除攻擊風險。
2021年2月9日 - 執法階段
2021年2月9日的發布標誌著執法階段的過渡。 現在,DCS 無論註冊表金鑰為何,都會處於 執行模式 。 這要求所有 Windows 及非 Windows 裝置使用 Netlogon 安全通道的 Secure RPC,或透過為不合規裝置新增例外,明確允許該帳號使用。 此版本:
- 除非「 網域控制器:允許易受的 Netlogon 安全通道連線」群組政策允許,否則非 Windows 裝置的機器帳號必須強制使用 RPC。
- 事件編號 5829 的記錄將被移除。 由於所有有漏洞的連線都被拒絕,你現在只會在系統事件日誌中看到事件 ID 5827 和 5828。
部署指引 - 部署更新與執行合規
初始部署階段將包含以下步驟:
- 正在向森林中的所有 DC 部署 8 月 11 日的更新。
- () 監控警報事件 ,並 (b) 對每個事件採取行動。
- () 一旦所有警告事件都處理完畢,即可透過部署 DC 強制模式來啟用完整保護。 (b) 所有警告應在2021年2月9日執法階段更新前解決。
步驟一:更新
部署 2020年8月11日更新
將 8 月 11 日的更新部署到所有適用的網域控制器 (森林) 的網域控制器,包括唯讀網域控制器 (RODCs) 。 在部署此更新後,已修補的 DC 將:
- 開始強制所有 Windows 裝置帳號、信任帳號及所有 DC 的安全使用 RPC。
- 若連線被拒,請在系統事件日誌中記錄事件 ID 5827 和 5828。
- 如果「 網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策允許連線,則在系統事件日誌中記錄事件 ID 為 5830 和 5831。
- 當允許有漏洞的 Netlogon 安全通道連線時,系統事件日誌中應記錄事件 ID 5829。 這些事件應在 DC 強制 模式 設定前或 2021 年 2 月 9 日執行階段開始前處理。
步驟2a:尋找
使用事件 ID 5829 偵測不合規裝置
在 2020 年 8 月 11 日的更新套用於 DC 後,事件可以收集到 DC 事件日誌,以判斷環境中哪些裝置使用了易受攻擊的 Netlogon 安全通道連線 (本文中稱為不合規裝置) 。 監控已修補的 DC 是否有事件 ID 5829 事件。 活動將包含識別不合規裝置的相關資訊。
要監控事件,請使用現有的事件監控軟體或腳本來監控你的數據中心。 關於可依照環境調整的範例腳本,請參見 Script 以協助監控與 Netlogon 更新相關的事件 ID,適用於 CVE-2020-1472
步驟2b:地址
事件編號5827與5828的地址
預設情況下,已完全更新的 Windows 版本 不應使用易受攻擊的 Netlogon 安全通道連線。 如果這些事件之一被記錄在 Windows 裝置的系統事件日誌中:
- 確認裝置是否運行 支援的 Windows 版本。
- 確保裝置已完全更新。
- 請檢查網域 成員:數位加密或簽署安全通道資料 () 始終 設定為啟用。
對於作為 DC 的非 Windows 裝置,當使用易受攻擊的 Netlogon 安全通道連線時,這些事件會被記錄在系統事件日誌中。 如果這些事件之一被記錄:
推薦 與裝置製造商 (OEM) 或軟體廠商合作,取得 Netlogon 安全通道對安全 RPC 的支援
- 若不合規的 DC 支援 Netlogon 安全通道的安全 RPC,則在該 DC 啟用安全 RPC。
- 若不合規的 DC 目前不支援安全 RPC,請與裝置製造商 (OEM) 或軟體廠商合作,取得支援 Netlogon 安全通道安全 RPC 的更新。
- 退休不合規的 DC。
脆弱 若不合規的 DC 無法在 DC 進入 強制模式前,以 Netlogon 安全通道支援安全 RPC,請依下列「 網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策 加入該 DC。
注意
警告 若依群組政策允許 DC 使用脆弱連線,將使森林變得容易受到攻擊。 最終目標應該是處理並移除這個群組政策中的所有帳號。
致詞事件5829
當初始部署階段允許有漏洞連線時,會產生事件 ID 5829。 當 DC 處於 強制執行模式時,這些連線將被拒絕。 在這些活動中,請聚焦於識別出的機器名稱、網域及作業系統版本,以判斷不合規的裝置及其需要處理的方案。
處理不合規裝置的方法:
推薦 與裝置製造商 (OEM) 或軟體廠商合作,取得 Netlogon 安全通道對安全 RPC 的支援:
- 若不合規裝置支援 Netlogon 安全通道的安全 RPC,則在該裝置啟用安全 RPC。
- 若不合規裝置目前不支援帶有 Netlogon 安全通道的安全 RPC,請與裝置製造商或軟體廠商合作,取得更新,允許啟用帶有 Netlogon 安全通道的 Secure RPC。
- 退役不合規的裝置。
脆弱 若不合規裝置無法在 DC 進入 強制模式下前支援 Netlogon 安全通道的安全 RPC,請依據下方描述的 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策 新增該裝置。
注意
警告 根據群組政策允許裝置帳號使用易受攻擊的連線,會讓這些 AD 帳號面臨風險。 最終目標應該是處理並移除這個群組政策中的所有帳號。
允許第三方裝置出現漏洞連線
使用 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策 來新增不合規帳號。 這僅應視為短期補救措施,直到上述不合規設備得到處理。 註 允許來自不合規裝置的漏洞連線可能帶來未知的安全影響,應謹慎允許。
- 建立了一個安全群組 (s,) 給允許使用易受攻擊的 Netlogon 安全通道的帳號。
- 在群組原則中,請前往電腦配置>、Windows 設定>、安全性設定>、本地政策>安全性選項。
- 搜尋「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」。
- 如果管理員群組或任何非專為此群組原則建立的群組存在,請移除它。
- 在安全描述符中加入一個專門為此群組原則設計的安全群組,並帶有「允許」權限。 註 「拒絕」權限的行為與帳號未被新增相同,也就是說帳號無法建立脆弱的 Netlogon 安全通道。
- 一旦安全群組 () 加入,群組政策必須複製到每個 DC。
- 定期監控事件 5827、5828 和 5829,以判斷哪些帳號使用了易受攻擊的安全通道連線。
- 需要時把這些機器帳號加入安全群組 () 。 最佳實務 在群組政策中使用安全群組,並將帳號加入群組,讓成員資格透過一般 AD 複製來複製。 這避免了頻繁的群組政策更新與複製延遲。
當所有不合規裝置都被處理完畢後,你可以將 DC 移至 強制模式 (見下一節) 。
注意
警告 根據群組政策允許 DC 使用易受攻擊的連線來管理信任帳號,將使森林變得容易受到攻擊。 信任帳戶通常以受信任的網域命名,例如:網域 a 中的 DC 與網域 b 中的 DC 有信任。 在內部,網域 a 中的 DC 有一個名為「domain-b$」的信任帳戶,代表網域 b 的信任物件。 如果網域 a 中的 DC 想透過允許 domain-b 信任帳號的 Netlogon 安全通道連線,讓森林暴露於攻擊風險,管理員可以使用 Add-adgroupmember –identity 「安全群組名稱」-成員「domain-b$」將信任帳號加入安全群組。
步驟 3a:啟用
在2021年2月執法階段前進入執法模式
在所有不合規裝置被處理完畢後,無論是啟用安全 RPC 或以 「網域控制器:允許 vulnerable Netlogon 安全通道連線」群組政策允許有漏洞的連線,將 FullSecureChannelProtection 登錄金鑰設為 1。
註 如果你使用的 是「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策,請在設定 FullSecureChannelProtection 登錄檔金鑰前,確保該群組政策已複製並套用到所有 DC。
當 FullSecureChannelProtection 登錄金鑰部署時,網域控制器將進入 強制執行模式。 此設定要求所有使用 Netlogon 安全通道的裝置必須:
- 使用安全的 RPC。
- 在 「網域控制站:允許易受攻擊的 Netlogon 安全通道連線」群組政策中被允許。
注意
警告 第三方客戶端若不支援 Netlogon 安全通道連線的安全 RPC,當部署 DC 強制模式 登錄金鑰時,將被拒絕,這可能會干擾生產服務。
步驟3b:執法階段
部署 2021年2月9日更新
部署於 2021 年 2 月 9 日或之後發布的更新將開啟 DC 強制模式。 DC 強制模式 是指所有 Netlogon 連線必須使用安全 RPC,或該帳號必須加入 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策。 目前,FullSecureChannelProtection 登錄金鑰已不再需要,也將不再支援。
「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組原則
最佳實務是在群組政策中使用安全群組,讓成員資格透過一般 AD 複寫來複製。 這避免了頻繁的群組政策更新與複製延遲。
| 政策路徑與設定名稱 | 描述 |
|---|---|
| 政策路徑: 電腦設定 > Windows 設定 > 安全設定 > 本地政策 > 安全選項 設定名稱: 網域控制器:允許易受攻擊的 Netlogon 安全通道連線 需要重啟嗎? 否 |
此安全設定決定網域控制器是否繞過 Netlogon 安全通道連線以繞過指定機器帳號的安全 RPC。 此政策應套用於森林中所有網域控制器,方法是啟用網域控制器的 OU 上的政策。 當建立漏洞連線清單 (允許清單) 設定時:
預設:此政策未設定。 沒有任何機器或信託帳戶明確免於 Netlogon 安全通道連線強制執行的 RPC 保護。 此政策支援 Windows Server 2008 R2 SP1 及更新版本。 |
與 CVE-2020-1472 相關的 Windows 事件日誌錯誤
1. 當連線被拒絕,因為嘗試使用易受攻擊的 Netlogon 安全通道連線時,記錄的事件:
- 5827 (機器帳戶) 錯誤
- 5828 (信託帳戶) 錯誤
2. 當連線被允許時,事件會被記錄,因為該帳號已被加入 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策:
- 5830 (機帳戶) 警告
- 5831 (信託帳戶) 警告
3. 當初始版本允許連線時所記錄的事件,而在 DC 強制模式下會被拒絕:
- 5829 (機器帳戶) 警告
事件編號 5827
當一個脆弱的 Netlogon 安全通道連線被拒絕時,事件 ID 5827 會被記錄。
| 事件記錄檔 | 系統 |
|---|---|
| 事件來源 | NETLOGON |
| 事件識別碼 | 5827 |
| 等級 | 錯誤 |
| 事件訊息文字 | Netlogon 服務拒絕了來自機器帳號的 Netlogon 安全通道連線。 機器山姆帳戶名稱: 網域: 帳戶類型: 機器作業系統: 機器作業系統組裝: 機器作業系統服務包: 欲了解更多拒絕原因,請造訪 https://go.microsoft.com/fwlink/?linkid=2133485。 |
事件編號 5828
當信任帳戶的 Netlogon 安全通道連線被拒絕時,事件 ID 5828 會被記錄。
| 事件記錄檔 | 系統 |
|---|---|
| 事件來源 | NETLOGON |
| 事件識別碼 | 5828 |
| 等級 | 錯誤 |
| 事件訊息文字 | Netlogon 服務拒絕了使用信任帳戶的 Netlogon 安全通道連線。 帳戶類型: 信託名稱: 信任目標: 用戶端 IP 位址: 欲了解更多拒絕原因,請造訪 https://go.microsoft.com/fwlink/?linkid=2133485。 |
事件編號 5829
事件 ID 5829 僅會在 初始部署階段被記錄,當時允許從機器帳號進行易受攻擊的 Netlogon 安全通道連線。
當 DC 強制模式 部署時,或在 2021 年 2 月 9 日更新部署後執行 階段 開始時,這些連線將被拒絕,事件 ID 5827 也會被記錄。 因此,在初始部署階段監控事件 5829 並於執法階段前採取行動以避免中斷非常重要。
| 事件記錄檔 | 系統 |
|---|---|
| 事件來源 | NETLOGON |
| 事件識別碼 | 5829 |
| 等級 | 警告 |
| 事件訊息文字 | Netlogon 服務允許一個脆弱的安全通道連接。 警告:此連結將在執行階段解除後被拒絕。 欲更了解執法階段,請造訪 https://go.microsoft.com/fwlink/?linkid=2133485。 機器山姆帳戶名稱: 網域: 帳戶類型: 機器作業系統: 機器作業系統組裝: 機器作業系統服務包: |
事件編號 5830
當「 網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策允許有漏洞的 Netlogon 安全通道帳號連線時,事件 ID 5830 會被記錄。
| 事件記錄檔 | 系統 |
|---|---|
| 事件來源 | NETLOGON |
| 事件識別碼 | 5830 |
| 等級 | 警告 |
| 事件訊息文字 | Netlogon 服務允許有漏洞的 Netlogon 安全通道連線,因為該機器帳號在「網域控制器:允許 VulableNetlogon 安全通道連線」群組政策中被允許。 警告:使用易受攻擊的 Netlogon 安全通道將使網域連接裝置暴露於攻擊之下。 為了保護你的裝置免受攻擊,請在第三方 Netlogon 用戶端更新後,從「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策中移除一個機器帳號。 欲更了解設定機器帳號以允許使用易受攻擊的 Netlogon 安全通道連線的風險,請造訪 https://go.microsoft.com/fwlink/?linkid=2133485。 機器山姆帳戶名稱: 網域: 帳戶類型: 機器作業系統: 機器作業系統組裝: 機器作業系統服務包: |
事件編號 5831
當「 網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策允許有漏洞的 Netlogon 安全通道信任帳號連線時,事件 ID 5831 會被記錄。
| 事件記錄檔 | 系統 |
|---|---|
| 事件來源 | NETLOGON |
| 事件識別碼 | 5831 |
| 等級 | 警告 |
| 事件訊息文字 | Netlogon 服務允許有漏洞的 Netlogon 安全通道連線,因為信任帳號在「網域控制器:允許 Vugable Netlogon 安全通道連線」群組政策中被允許。 警告:使用有漏洞的 Netlogon 安全通道將使 Active Directory 森林暴露於攻擊之下。 為了保護你的 Active Directory 森林免受攻擊,所有信任必須使用 Secure RPC 搭配 Netlogon 安全通道。 在網域控制器上的第三方 Netlogon 用戶端更新後,從「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策中移除一個信任帳號。 欲更了解設定信任帳戶以允許使用易受攻擊的 Netlogon 安全通道連線的風險,請造訪 https://go.microsoft.com/fwlink/?linkid=2133485。 帳戶類型: 信託名稱: 信任目標: 用戶端 IP 位址: |
執行模式的登錄值
注意
警告:如果您使用「登錄編輯程式」或其他方法不當修改登錄,可能會發生嚴重問題。 這些問題可能會迫使您重新安裝作業系統。 Microsoft 不保證這些問題都能順利解決。 Modify the registry at your own risk.
2020 年 8 月 11 日的更新引入了以下登錄檔設定,以提前啟用執行模式。 自2021年2月9日起的執法階段,無論登記處設定為何,此都會啟用:
| 登錄子機碼 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|---|---|
| 值 | 全安全通道保護 |
| 資料類型 | REG_DWORD |
| 資料 | 1 – 此模式啟用執行模式。 除非該帳號在 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策中,並由建立漏洞連線清單中允許該帳號,否則 DC 會拒絕 Netlogon 的安全通道連線。 0 – DC會允許非Windows裝置的Netlogon安全通道連線。 此選項將在執行階段版本中被淘汰。 |
| 需要重啟嗎? | 否 |
實作 [MS-NRPC]的第三方裝置:Netlogon 遠端協定
所有第三方用戶端或伺服器必須使用帶有 Netlogon 安全通道的安全 RPC。 請聯絡裝置製造商 (OEM) 或軟體廠商,以確認他們的軟體是否相容於最新的Netlogon遠端協定。
協定更新可在 Windows 協定文件網站上找到。
常見問題集 (FAQ)
1. 什麼使用 Netlogon 安全通道?
- Windows & 第三方網域加入裝置,這些裝置在 Active Directory (AD)
- Windows Server &信任網域控制 & 信任網域,且在 AD 中擁有信任帳戶
2. 第三方解決方案會受到影響嗎?
第三方裝置可能不合規。 如果你的第三方解決方案在 AD 中維護機器帳號,請聯絡廠商確認是否受到影響。
3. 為什麼我的網域控制器會拒絕那些已設定在「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策中的帳號?
AD 與 Sysvol 複製延遲,或認證 DC 的群組政策應用程式失敗,可能導致群組政策「 網域控制器:允許 Vulnerable Netlogon 安全通道連線 」群組政策的變更缺失,導致帳號被拒絕。
以下步驟可能有助於排除問題:
如果你已設定政策包含群組,並更改群組成員以新增帳號,請檢查拒絕連線的 DC 是否已在本地複製群組成員變更。 註 不建議直接將帳號加入群組政策。
如果你更改了政策並新增了新帳號或新群組,請檢查政策變更是否被複製並套用:執行 gpupdate /force 和 gpresult /h 這兩個指令
欲了解更多關於故障排除、群組原則應用及相關元件的資訊,請參閱以下內容:
4. 我有一個 Windows 裝置的事件 ID 5827。我記得你說 Windows 不會受影響?
預設情況下,已完全更新的 Windows 版本 不應使用易受攻擊的 Netlogon 安全通道連線。 如果 Windows 裝置的系統事件日誌中記錄了事件 ID 5827:
- 確認裝置是否運行 支援的 Windows 版本。
- 確保裝置已從 Windows Update 完全更新。
- 請檢查 Domain 成員:數位加密或簽署安全通道資料 (在 連結到 OU 的 GPO 中,) 始終被設定為啟用,該 GPO 是所有 DC,例如預設網域控制器的 GPO。
5. 工作站和端點裝置也需要更新嗎?
是的,它們應該會更新,但並非特別容易受到 CVE-2020-1472 的漏洞。
6. 非 DC 的 Windows 伺服器或其他 Windows 裝置是否需要在更新 DC 之前,先更新於 2020 年 8 月 11 日或之後發布的更新?
不,DC 是唯一受 CVE-2020-1472 影響的角色,且可獨立於非 DC 的 Windows 伺服器及其他 Windows 裝置進行更新。
7. 為什麼 Windows Server 2008 SP2 沒有更新以解決 CVE-2020-1472?
Windows Server 2008 SP2 不會受到此特定 CVE 的侵害,因為它不使用 AES 來執行 Secure RPC。
8. 我需要 ESU 來處理 Windows Server 2008 R2 SP1 嗎?
是的,你需要 ESU) (Extended Security Update 來安裝針對 2008 R2 SP1 Windows Server CVE-2020-1472 的更新。
9. 如何?確保我的網域控制所受到保護?
透過將 2020 年 8 月 11 日或之後的更新部署到環境中所有網域控制站。
確保新增到「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策中,沒有任何裝置擁有企業管理員或網域管理員權限服務,例如 SCCM 或 Microsoft Exchange。 註 允許清單中的任何裝置都會被允許使用有漏洞的連線,可能會讓你的環境暴露在攻擊之下。
10. 如果我已經對所有網域控制器部署了更新,我的企業是否受到 CVE-2020-1472 的保護?
在網域控制站安裝 2020 年 8 月 11 日或之後發布的更新,可以保護 Windows 機器帳號、信任帳號和網域控制站帳號。
在部署強制模式之前,網域加入的第三方裝置的 Active Directory 機器帳 號不會 受到保護。 如果機器帳號被加入「網域控制站:允許易受攻擊的 Netlogon 安全通道連線」群組政策,也不會受到保護。
11. 如何?確保我的 Windows 網域加入裝置身份受到保護?
請確保你環境中的所有網域控制器都安裝了 2020 年 8 月 11 日或之後的更新。
任何已加入 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策 中的裝置識別碼都會受到攻擊。
12. 如何?確保我的第三方網域加入裝置身份受到保護?
請確保你環境中的所有網域控制器都安裝了 2020 年 8 月 11 日或之後的更新。
啟用強制模式,以拒絕來自不合規第三方裝置身份的脆弱連線。
註 啟用強制模式後,任何已加入 「網域控制站:允許易受攻擊的 Netlogon 安全通道連線」群組政策 中的第三方裝置身份仍將存在漏洞,可能允許攻擊者未經授權存取您的網路或裝置。
13. 什麼是執行模式?
強制模式告訴網域控制器,除非該裝置帳號已加入 「網域控制所:允許易受攻擊的 Netlogon 安全通道連線」群組政策,否則不允許未使用安全 RPC 的裝置連線。
欲了解更多資訊,請參閱 執行模式的登錄檔值 章節。
14. 應該新增哪些機器帳號到「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策?
只有無法透過啟用 Netlogon 安全通道安全 RPC 來保護的裝置帳號,才應加入群組政策。 建議讓這些裝置符合規範或更換,以保護您的環境。
15. 攻擊者對於「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策下的機器帳號能做什麼?
攻擊者可以接管任何加入群組政策的機器帳號的 Active Directory 機器身份,並隨後利用該機器身份所擁有的任何權限。
16. 為什麼我要在「網域控制站:允許易受攻擊的 Netlogon 安全通道連線」群組政策中新增一個機器帳號?
如果你有第三方裝置不支援 Netlogon 安全通道的安全 RPC,且你想啟用強制模式,那麼你應該將該裝置的機器帳號加入群組政策。 這不建議,可能會讓你的網域處於潛在的漏洞狀態。 建議使用此群組政策,留出時間更新或替換第三方裝置,使其符合標準。
17. 我應該在什麼時候啟用執行模式?
應盡快啟用執行模式。 任何第三方裝置都需要透過使其合規或加入 「網域控制器:允許易受攻擊的 Netlogon 安全通道連線」群組政策來處理。 註 允許清單中的任何裝置都會被允許使用有漏洞的連線,可能會讓你的環境暴露在攻擊之下。
字彙
| 字詞 | 定義 |
|---|---|
| 公元後 | Active Directory |
| DC | 網域控制器 |
| 執法模式 | 登錄檔金鑰允許你在 2021 年 2 月 9 日前啟用 執行模式 。 |
| 強制階段 | 從 2021 年 2 月 9 日的更新開始,所有 Windows 網域控制器都會啟用 強制模式 ,無論登錄檔設定為何。 DC會拒絕所有不合規裝置的易受攻擊連線,除非這些連線被加入 「網域控制站:允許易受攻擊的Netlogon安全通道連線」群組政策中。 |
| 初始部署階段 | 階段自2020年8月11日更新開始,持續進行後續更新直到執法階段。 |
| 機器帳號 | 也稱為 Active Directory 電腦或電腦物件。 完整定義請參閱 MS-NPRC詞彙表 。 |
| MS-NRPC | Microsoft Netlogon Remote ProtoCol |
| 不合規裝置 | 不合規裝置是指使用易受攻擊的 Netlogon 安全通道連線。 |
| 羅德克 | 唯讀域控制器 |
| 脆弱連線 | 易受攻擊的連線是指不使用安全 RPC 的 Netlogon 安全通道連線。 |