摘要

Netlogon 远程协议(也称为 MS-NRPC)是一种 RPC 接口,由加入域的设备独占使用。 MS-NRPC 包括一种身份验证方法和一种建立 Netlogon 安全频道的方法。 这些更新强制指定的 Netlogon 客户端行为将安全 RPC 与成员计算机和 Active Directory (AD)域控制器(DC)之间的 Netlogon 安全频道配合使用。

此安全更新通过强制实施安全 RPC 来解决该漏洞,方法是在发布到 "地址" 中的 "解决 netlogon 漏洞" CVE-2020-1472部分中所述的分阶段安全频道中使用 Netlogon 安全通道。 为了提供 AD 林保护,必须对其进行更新,因为它们将强制实施安全 RPC 和 Netlogon 安全频道。 这包括只读域控制器(RODC)。

若要了解有关该漏洞的详细信息,请参阅 CVE-2020-1472

执行操作

若要保护环境并防止停机,必须执行以下操作:

备注 安装更新的步骤1(11、2020或更高版本)将解决 Active Directory 域和信任以及 Windows 设备的 CVE-2020-1472 中的安全问题。 若要完全减少第三方设备的安全问题,需要完成所有步骤。

警告从2月2021日起,所有 Windows 域控制器上均将启用强制模式,并且将阻止来自不合规设备的易受攻击的连接。 此时,你将不能禁用强制模式。

  1. 使用2020年8月11日或更高版本发布的更新更新域控制器。

  2. 通过监视事件日志,查找哪些设备正在进行易受攻击的连接。

  3. 解决 连接有漏洞的不合规设备。

  4. 在环境中启用强制模式以解决CVE-2020-1472

备注如果你使用的是Windows Server 2008 R2 SP1,则需要扩展安全更新(ESU)许可证才能成功安装解决此问题的任何更新。 有关 ESU 计划的详细信息,请参阅 生命周期常见问题-扩展安全更新

本文:

解决 Netlogon 漏洞 CVE-2020-1472 的更新计时

更新将分两个阶段发布: 在2020年8月11日或之后发布的更新的初始阶段,或在 2021 9 月9日或之后发布的更新的执行阶段。

8月11日-2020-初始部署阶段

初始部署阶段从2020年8月11日发布的更新开始,并持续更新到执行阶段。 这些更新和更高版本的更新对 Netlogon 协议进行更改,以默认保护 Windows 设备,记录不合规设备发现的事件,并增加对所有加入域的设备(有显式异常)启用保护的能力。 此版本:

  • 在基于 Windows 的设备上强制使用针对计算机帐户的安全 RPC。

  • 强制使用信任帐户安全 RPC。

  • 为所有 Windows 和非 Windows Dc 强制使用安全的 RPC。

  • 包括一种新的组策略,允许不符合的设备帐户(使用有漏洞的 Netlogon 安全频道连接的用户)。 即使在强制模式下或在 "强制" 阶段启动后,允许的设备将不会被拒绝连接。

  • FullSecureChannelProtection 注册表项以启用所有计算机帐户的 DC强制模式(强制阶段将域更新到 dc强制模式)。

  • 在 DC强制模式下拒绝或被拒绝的帐户(将在 "强制" 阶段继续执行),包括新事件。 本文后面将说明具体事件 Id。

缓解措施包括在所有 Dc 和 Rodc 上安装更新、监视新事件以及解决正在使用有漏洞的 Netlogon 安全频道连接的不合规设备。 可允许不符合的设备上的计算机帐户使用易受攻击的 Netlogon 安全频道连接;但是,应尽快对其进行更新,以便支持安全的 Netlogon RPC,以便尽可能地强制执行帐户,以消除受攻击的风险。

2月9日,2021-强制阶段

2021的2月9日发布将切换标记为 "强制" 阶段。 无论强制模式注册表项如何,Dc 现在都处于强制模式。 这要求所有 Windows 和非 Windows 设备将安全 RPC 与 Netlogon 安全频道配合使用,或者通过添加不合规设备的例外来显式允许帐户。 此版本:

部署指南-部署更新和强制遵守合规性

初始部署阶段将包含以下步骤:

  1. 8 月11日的更新部署到林中的所有 dc。

  2. (a)监视程序,显示警告事件,(b)针对每个事件操作

  3. (a)所有警告事件均已解决后,可通过部署 DC强制模式启用完全保护。 (b)应在2月9日的2021强制阶段更新之前解决所有警告。

步骤1: 更新

部署2020年8月11日的更新

将8月11日更新部署到林中所有适用的域控制器(Dc),包括只读域控制器(Rodc)。 部署此更新后,Dc 将:

 

步骤2a: 查找

使用事件 ID 5829 检测不合规的设备

在8月11日(2020更新)已应用到 Dc 后,可在 DC 事件日志中收集事件,确定环境中的哪些设备正在使用易受攻击的 Netlogon 安全频道连接(称为本文中不合规的设备)。 监视器事件 ID 5829 事件的已修复 Dc。 事件将包含用于识别不合规设备的相关信息。

若要监视事件,请使用可用的事件监视软件,或使用脚本来监视 Dc。  若要获得可适应环境的示例脚本,请参阅脚本,帮助监视与 CVE-2020-1472 的 Netlogon 更新相关的事件 id

步骤2b: 地址

解决事件 Id 5827 和5828

默认情况下,已完全更新的 Windows 支持的版本不应使用有漏洞的 Netlogon 安全频道连接。 如果 Windows 设备的系统事件日志中记录了这些事件中的一个,请执行以下操作:

  1. 确认设备正在运行 支持的 Windows 版本

  2. 确保设备已完全更新。

  3. 检查以确保 域成员: 对安全频道数据进行数字加密或签名(始终) 设置为 "启用"。

对于充当 DC 的非 Windows 设备,使用易受攻击的 Netlogon 安全频道连接时,将在系统事件日志中记录这些事件。 如果其中一个事件被记录下来:

  • 推荐与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全频道获取安全 RPC 的支持

    1. 如果不符合的 DC 支持安全的 Netlogon 安全频道 RPC,则在 DC 上启用安全 RPC。

    2. 如果不符合的 DC 目前不支持安全的 RPC,请与设备制造商(OEM)或软件供应商协作,获取支持 Netlogon 安全频道安全 RPC 的更新。

    3. 停用不合规的域控制器。

  • 易受攻击如果不符合的 DC 在 Dc 处于强制模式之前无法支持安全 RPC 和 Netlogon 安全频道,请使用 "域控制器添加 DC: 允许易受攻击的 Netlogon 安全频道连接 "组策略 如下所述。

警告允许 DCs 通过组策略使用易受攻击的连接,使得林很容易受到攻击。 最终目标应该是 "从该组策略中删除所有帐户"。

 

寻址事件5829

初始部署阶段允许有漏洞连接时,会生成事件 ID 5829。 当 DCs 处于强制模式时,这些连接将被拒绝。 在这些事件中,重点关注计算机名称、用于确定不合规设备的域和操作系统版本以及它们的解决方法。

解决不合规设备的方法:

  • 推荐与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全频道获取安全 RPC:

    1. 如果不符合的设备支持与 Netlogon 安全频道的安全 RPC,则在设备上启用安全 RPC。

    2. 如果不兼容的设备当前不支持与 Netlogon 安全频道的安全 RPC,请与设备制造商或软件供应商合作,获得允许启用 Netlogon 安全频道安全的 RPC 的更新。

    3. 停用不合规的设备。

  • 易受攻击如果不符合的设备在 Dc 处于强制模式之前无法支持安全 RPC 和 Netlogon 安全频道,请使用 "域控制器添加设备: 允许易受攻击的 Netlogon 安全频道连接 "组策略 如下所述。

警告允许设备帐户通过组策略使用易受攻击的连接,将使这些 AD 帐户处于危险之中。 最终目标应该是 "从该组策略中删除所有帐户"。

 

允许来自第三方设备的易受攻击连接

使用 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略 添加不合规的帐户。 应仅将此项视为短期的补救措施,直到上述所述的设备得到解决。 备注 允许来自不合规设备的易受攻击的连接可能会导致未知的安全影响,并且应谨慎使用。

  1. 已为帐户创建安全组,允许使用有漏洞的 Netlogon 安全频道。

  2. 在 "组策略" 中,转到 "计算机配置 > Windows 设置" > 安全设置 "> 本地策略" > 安全选项

  3. 搜索 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "

  4. 如果管理员组或未特别创建用于此组策略的任何组存在,请将其删除。

  5. 将专用于与此组策略一起使用的安全组添加到具有 "允许" 权限的安全描述符。 备注"拒绝" 权限的行为方式与未添加帐户一样,即, 将不允许帐户生成易受攻击的 Netlogon 安全频道。

  6. 添加安全组后,组策略必须复制到每个域控制器。

  7. 定期监视事件5827、5828和5829,确定哪些帐户正在使用有漏洞的安全频道连接。

  8. 根据需要将这些计算机帐户添加到安全组。 最佳做法使用组策略中的安全组和将帐户添加到组,以便通过常规 AD 复制复制成员身份。 这可避免频繁的组策略更新和复制延迟。

消除所有不符合的设备后,可将 Dc 移至强制模式(请参阅下一节)。

警告通过组策略,允许 DCs 对信任帐户使用易受攻击的连接,使得林易于受到攻击。 信任帐户通常以受信任域命名,例如: 域 a 中的 DC 与域 b 中的 DC 有信任。 在内部,域 a 中的 DC 有一个信任帐户,名称为 "域-b $",表示域 b 的信任对象。 如果域 a 中的 DC 想通过允许来自域 b 信任帐户的易受攻击的 Netlogon 安全频道连接来向该林公开攻击的风险,管理员可以使用 "adgroupmember –标识" 安全组的名称-members "domain-b $",将信任帐户添加到安全组。

 

步骤3a: 启用

在2月2021执行阶段的前移至强制模式

所有不符合的设备都已得到解决,可通过启用安全 RPC 或允许与 "域控制器的连接受到攻击: 允许易受攻击的 Netlogon 安全频道连接 "组策略,将 FullSecureChannelProtection 注册表项设置为1。

备注如果使用 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略,请确保在设置 FullSecureChannelProtection 注册表项之前已将组策略复制并应用到了所有 Dc。

部署 FullSecureChannelProtection 注册表项后,Dc 将处于强制模式。 此设置要求所有使用 Netlogon 安全频道的设备要么:

警告部署 DC强制模式注册表项时,不支持使用 Netlogon 安全通道连接安全 RPC 的第三方客户端将被拒绝,这会中断产品服务。

 

步骤3b: 强制执行阶段

部署2021年2月9日的更新

部署发布到2021年2月9日或更高版本的更新将启用 DC强制模式。 DC强制模式是指所有 Netlogon 连接均需使用安全 RPC,或必须将帐户添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 目前,不再需要 FullSecureChannelProtection 注册表项,将不再受支持。

"域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略

最佳做法是在组策略中使用安全组,以便通过常规 AD 复制复制成员身份。 这可避免频繁的组策略更新和复制延迟。

策略路径和设置名称

Description

策略路径: "计算机配置" > Windows 设置 "> 安全设置" > 本地策略 "> 安全选项" 设置名称: 域控制器: 允许易受攻击的 Netlogon 安全频道连接

需要重新启动? 是

此安全设置确定域控制器是否为指定机器帐户绕过安全 RPC 的 Netlogon 安全频道连接。

应通过启用域控制器 OU 上的策略,将此策略应用于林中的所有域控制器。

当 "创建易受攻击的连接" 列表(允许列表)被配置时:

  • 让 域控制器将允许指定的组/帐户使用没有安全 RPC 的 Netlogon 安全频道。

  • 拒绝 此设置与默认行为相同。 域控制器将要求指定的组/帐户使用具有安全 RPC 的 Netlogon 安全通道。

警告启用此策略将显示加入域的设备和 Active Directory 林,它们可能会导致风险。 部署更新时,应使用此策略作为第三方设备的临时度量值。 第三方设备更新为支持将安全 RPC 与 Netlogon 安全频道配合使用时,应从 "创建易受攻击的连接" 列表中删除该帐户。 若要更好地了解配置允许使用有漏洞的 Netlogon 安全频道连接的帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。

默认: 未配置此策略。 使用 Netlogon 安全频道连接强制,无任何计算机或信任帐户显式免于安全 RPC。

Windows Server 2008 R2 SP1 及更高版本中支持此策略。

与 CVE-2020-1472 相关的 Windows 事件日志错误

有三种类型的事件:

1. 由于尝试的 Netlogon 安全频道连接受到漏洞,连接被拒绝时记录的事件:

  • 5827(机器帐户)错误

  • 5828(信任帐户)错误

2. 由于帐户已添加到 "域控制器,允许连接时记录事件: 允许易受攻击的 Netlogon 安全频道连接 "组策略

  • 5830(机器帐户)警告

  • 5831(信任帐户)警告

3. 初始发布中允许连接时记录的事件,在 DC强制模式中将被拒绝:

  • 5829(机器帐户)警告

事件 ID 5827

如果来自计算机帐户的易受攻击的 Netlogon 安全频道连接被拒绝,将记录事件 ID 5827。

事件日志

“系统”

事件源

NETLOGON

事件 ID

5827

级别

错误

事件消息文本

Netlogon 服务从机器帐户拒绝了易受攻击的 Netlogon 安全频道连接。

计算机 SamAccountName:

域:

帐户类型:

计算机操作系统:

计算机操作系统构建:

机器操作系统服务包:

有关拒绝的原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485

 

事件 ID 5828

当信任帐户中有漏洞的 Netlogon 安全频道连接被拒绝时,将记录事件 ID 5828。

事件日志

“系统”

事件源

NETLOGON

事件 ID

5828

级别

错误

事件消息文本

Netlogon 服务使用信任帐户拒绝了易受攻击的 Netlogon 安全频道连接。

帐户类型:

信任名称:

信任目标:

客户端 IP 地址:

有关拒绝的原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485

 

事件 ID 5829

初始部署阶段,允许从机器帐户获得易受攻击的 Netlogon 安全频道连接时,将仅记录事件 ID 5829。

部署 DC 强制模式执行阶段从2月9日的部署(2021更新)开始后,将拒绝这些连接并记录事件 ID 5827。 这就是为什么在初始部署阶段监视事件5829并在强制执行阶段之前采取行动以避免中断的原因至关重要。

事件日志

主板

事件源

NETLOGON

事件 ID

5829

高度

Warning

事件消息文本

Netlogon 服务允许有漏洞的 Netlogon 安全频道连接。  

警告: 一旦发布 "强制" 阶段,将拒绝此连接。 若要更好地了解强制阶段,请访问https://go.microsoft.com/fwlink/?linkid=2133485。  

计算机 SamAccountName:  

域:  

帐户类型:  

计算机操作系统:  

计算机操作系统构建:  

机器操作系统服务包:  

事件 ID 5830

"域控制器支持受漏洞的 Netlogon 安全频道机器帐户连接时,将记录事件 ID 5830: 允许易受攻击的 Netlogon 安全频道连接 "组策略

事件日志

“系统”

事件源

NETLOGON

事件 ID

5830

级别

警告

事件消息文本

Netlogon 服务允许有漏洞的 Netlogon 安全频道连接,因为在 "域控制器:" 中允许机器帐户: 允许易受攻击的 Netlogon 安全频道连接 "组策略。

警告: 使用易受攻击的 Netlogon 安全频道将使加入域的设备暴露于攻击。 若要保护设备免受攻击,请从 "域控制器:" 中删除机器帐户。 已更新第三方 Netlogon 客户端后,允许易受攻击的 Netlogon 安全频道连接 "组策略。 若要更好地了解配置计算机帐户以允许使用有漏洞的 Netlogon 安全频道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485

计算机 SamAccountName:

域:

帐户类型:

计算机操作系统:

计算机操作系统构建:

机器操作系统服务包:

 

事件 ID 5831

"域控制器允许有漏洞的 Netlogon 安全频道信任帐户连接时,将记录事件 ID 5831: 允许易受攻击的 Netlogon 安全频道连接 "组策略

事件日志

“系统”

事件源

NETLOGON

事件 ID

5831

级别

警告

事件消息文本

Netlogon 服务允许受影响的 Netlogon 安全频道连接,因为在 "域控制器:" 中允许信任帐户。 允许易受攻击的 Netlogon 安全频道连接 "组策略。

警告: 使用易受攻击的 Netlogon 安全频道会公开 Active Directory 林进行攻击。 为了保护 Active Directory 林免受攻击,所有信任都必须将安全 RPC 与 Netlogon 安全频道配合使用。 从 "域控制器:" 中删除信任帐户 在域控制器上的第三方 Netlogon 客户端更新后,"允许易受攻击的 Netlogon 安全频道连接" 组策略。 若要更好地了解配置信任帐户以允许使用有漏洞的 Netlogon 安全频道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485

帐户类型:

信任名称:

信任目标:

客户端 IP 地址:

强制模式的注册表值

如果使用注册表编辑器或其他方法不正确地修改注册表,则可能会出现 "警告" 严重问题。 这些问题可能需要重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表的风险自负。 

2020年8月11日的更新引入了以下注册表设置,可及早启用强制模式。 无论从2月 9 2021 日开始的强制阶段的注册表设置如何,都将启用此功能: 

注册表子项

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Value

FullSecureChannelProtection

数据类型

REG_DWORD

Data

1-这将启用强制模式。 Dc 将拒绝有漏洞的 Netlogon 安全频道连接,除非在 "域控制器中创建易受攻击的连接列表中允许帐户: 允许易受攻击的 Netlogon 安全频道连接 "组策略。  

0-DCs 将允许来自非 Windows 设备的易受攻击的 Netlogon 安全频道连接。 在强制阶段发布中,此选项将被弱化。

需要重新启动?

 

第三方设备实现 [MS-NRPC]: Netlogon 远程协议

所有第三方客户端或服务器必须将安全 RPC 与 Netlogon 安全频道配合使用。 请与设备制造商(OEM)或软件供应商联系,确定其软件是否与最新的 Netlogon 远程协议兼容。 

可在 Windows 协议文档网站上找到协议更新。 

常见问题(FAQ)

  • Windows & 在 Active Directory (AD)中具有计算机帐户的第三方域的设备

  • Windows Server & 受信任 & 中的第三方域控制器信任 AD 中有信任帐户的域

第三方设备可能不合规。 如果第三方解决方案在 AD 中维护一个计算机帐户,请与供应商联系,确定你是否受到影响。

在身份验证 DC 上的 AD 和 Sysvol 复制或组策略应用程序故障中的延迟可能会导致对组策略 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略 不存在,将导致帐户被拒绝。 

以下步骤可帮助解决此问题:

默认情况下,已完全更新的 Windows 支持的版本不应使用有漏洞的 Netlogon 安全频道连接。 如果 Windows 设备的系统事件日志中记录了事件 ID 5827:

  1. 确认设备正在运行 支持的 Windows 版本

  2. 确保已从 Windows Update 完全更新设备。

  3. 检查以确保 域成员: 对安全频道数据进行数字加密或签名(always), 在链接到 OU 的 GPO (如默认域控制器 GPO)中设置为 "启用"。

是的,应进行更新,但它们不易受到CVE-2020-1472 的影响。

不对,DCs 是由CVE-2020-1472影响的唯一角色,可独立于非 DC Windows 服务器和其他 Windows 设备进行更新。

Windows Server 2008 SP2 不易受到此特定 CVE 的攻击,因为它不会将 AES 用于安全的 RPC。

是的,需要延长安全更新(ESU)才能安装更新,以解决 Windows Server 2008 R2 SP1 的CVE-2020-1472

将8月11日、2020或更高版本的更新部署到环境中的所有域控制器。

确保未向 "域控制器添加任何设备: 允许易受攻击的 Netlogon 安全频道连接 "组策略 具有企业管理员或域-管理员权限服务,如 SCCM 或 Microsoft Exchange。  备注 允许列表中的任何设备使用易受攻击的连接,并可能将环境公开到攻击。

安装在域控制器上发布的11月11日、2020或更高版本的更新,可保护基于 Windows 的计算机帐户、信任帐户和域控制器帐户。 

加入域的 Active Directory 计算机帐户第三方设备将 受保护,直至部署强制模式。 将计算机帐户添加到 "域控制器时也不会受到保护: 允许易受攻击的 Netlogon 安全频道连接 "组策略

确保环境中的所有域控制器均安装了8月11日、2020或更高版本的更新。

已添加到 "域控制器的任何设备标识: 允许易受攻击的 Netlogon 安全频道连接 "组策略 将易受攻击。   

确保环境中的所有域控制器均安装了8月11日、2020或更高版本的更新。 

启用强制模式,拒绝来自不合规的第三方设备标识的易受攻击的连接。备注 启用强制模式后,已添加到 "域控制器的任何第三方设备标识: 允许易受攻击的 Netlogon 安全频道连接 "组策略 仍会受到攻击,并且可能会允许攻击者对您的网络或设备进行未经授权的访问。

强制模式告知域控制器不允许来自不使用安全 RPC 的设备的 Netlogon 连接,除非已将这些设备帐户添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略

有关详细信息,请参阅 "强制模式的注册表值" 部分。

如果在 Netlogon 安全频道上启用安全 RPC,则只能将设备的计算机帐户添加到组策略。 建议使这些设备合规或替换这些设备来保护环境。

攻击者可以接管添加到组策略中的任何计算机帐户的 Active Directory 计算机标识,然后使用计算机标识拥有的任何权限。

如果你拥有的第三方设备不支持 Netlogon 安全频道的安全 RPC,并且想要启用强制模式,则应向组策略中添加该设备的计算机帐户。 不建议使用此功能,并且可能会使你的域处于可能易受攻击的状态。  建议使用此组策略来允许时间更新或替换任意第三方设备,以使其符合合规性。

应尽早启用强制模式。 所有第三方设备都需要通过使其合规或添加到 "域控制器来解决问题: 允许易受攻击的 Netlogon 安全频道连接 "组策略备注 允许列表中的任何设备使用易受攻击的连接,并可能将环境公开到攻击。

 

词汇表

条件

Definition

广告

Active Directory

DC

域控制器

强制模式

可在2021年2月9日之前启用强制模式的注册表项。

强制执行阶段

将在所有 Windows 域控制器上启用强制模式的(无论注册表设置如何),从2月9日到2021的更新开始。 DCs 将拒绝来自所有不合规设备的易受攻击的连接,除非将其添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略

初始部署阶段

相位从2020年8月11日的更新开始,直至强制执行阶段后继续更新。

机器帐户

也称为 "Active Directory 计算机" 或 "计算机" 对象。  请参阅 MS NPRC 词汇表 ,了解完整的定义。

MS-CHAP-NRPC

Microsoft Netlogon 远程协议

不兼容的设备

不兼容的设备使用有漏洞的 Netlogon 安全频道连接。

RODC

只读域控制器

易于连接

易受攻击的连接是不使用安全 RPC 的 Netlogon 安全频道连接。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。