摘要
Netlogon 远程协议(也称为 MS-NRPC)是一种 RPC 接口,由加入域的设备独占使用。 MS-NRPC 包括一种身份验证方法和一种建立 Netlogon 安全频道的方法。 这些更新强制指定的 Netlogon 客户端行为将安全 RPC 与成员计算机和 Active Directory (AD)域控制器(DC)之间的 Netlogon 安全频道配合使用。
此安全更新通过强制实施安全 RPC 来解决该漏洞,方法是在发布到 "地址" 中的 "解决 netlogon 漏洞" CVE-2020-1472部分中所述的分阶段安全频道中使用 Netlogon 安全通道。 为了提供 AD 林保护,必须对其进行更新,因为它们将强制实施安全 RPC 和 Netlogon 安全频道。 这包括只读域控制器(RODC)。
若要了解有关该漏洞的详细信息,请参阅 CVE-2020-1472。
执行操作
若要保护环境并防止停机,必须执行以下操作:
备注 安装更新的步骤1(11、2020或更高版本)将解决 Active Directory 域和信任以及 Windows 设备的 CVE-2020-1472 中的安全问题。 若要完全减少第三方设备的安全问题,需要完成所有步骤。
警告从2月2021日起,所有 Windows 域控制器上均将启用强制模式,并且将阻止来自不合规设备的易受攻击的连接。 此时,你将不能禁用强制模式。
-
使用2020年8月11日或更高版本发布的更新更新域控制器。
-
通过监视事件日志,查找哪些设备正在进行易受攻击的连接。
-
解决 连接有漏洞的不合规设备。
-
在环境中启用强制模式以解决CVE-2020-1472 。
本文:
解决 Netlogon 漏洞 CVE-2020-1472 的更新计时
更新将分两个阶段发布: 在2020年8月11日或之后发布的更新的初始阶段,或在 2021 9 月9日或之后发布的更新的执行阶段。
8月11日-2020-初始部署阶段
初始部署阶段从2020年8月11日发布的更新开始,并持续更新到执行阶段。 这些更新和更高版本的更新对 Netlogon 协议进行更改,以默认保护 Windows 设备,记录不合规设备发现的事件,并增加对所有加入域的设备(有显式异常)启用保护的能力。 此版本:
-
在基于 Windows 的设备上强制使用针对计算机帐户的安全 RPC。
-
强制使用信任帐户安全 RPC。
-
为所有 Windows 和非 Windows Dc 强制使用安全的 RPC。
-
包括一种新的组策略,允许不符合的设备帐户(使用有漏洞的 Netlogon 安全频道连接的用户)。 即使在强制模式下或在 "强制" 阶段启动后,允许的设备将不会被拒绝连接。
-
FullSecureChannelProtection 注册表项以启用所有计算机帐户的 DC强制模式(强制阶段将域更新到 dc强制模式)。
缓解措施包括在所有 Dc 和 Rodc 上安装更新、监视新事件以及解决正在使用有漏洞的 Netlogon 安全频道连接的不合规设备。 可允许不符合的设备上的计算机帐户使用易受攻击的 Netlogon 安全频道连接;但是,应尽快对其进行更新,以便支持安全的 Netlogon RPC,以便尽可能地强制执行帐户,以消除受攻击的风险。
2月9日,2021-强制阶段
2021的2月9日发布将切换标记为 "强制" 阶段。 无论强制模式注册表项如何,Dc 现在都处于强制模式。 这要求所有 Windows 和非 Windows 设备将安全 RPC 与 Netlogon 安全频道配合使用,或者通过添加不合规设备的例外来显式允许帐户。 此版本:
-
在非 Windows 设备上对计算机帐户强制实施安全 RPC 使用,除非 "域控制器允许: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
-
将删除事件 ID 5829 的日志记录。 由于所有易受攻击的连接都被拒绝,因此在系统事件日志中现在只能看到事件 Id 5827 和5828。
部署指南-部署更新和强制遵守合规性
初始部署阶段将包含以下步骤:
-
将8 月11日的更新部署到林中的所有 dc。
-
(a)监视程序,显示警告事件,(b)针对每个事件操作。
-
(a)所有警告事件均已解决后,可通过部署 DC强制模式启用完全保护。 (b)应在2月9日的2021强制阶段更新之前解决所有警告。
步骤1: 更新
部署2020年8月11日的更新
将8月11日更新部署到林中所有适用的域控制器(Dc),包括只读域控制器(Rodc)。 部署此更新后,Dc 将:
-
开始强制使用所有基于 Windows 的设备帐户、信任帐户和所有 Dc 的安全 RPC。
-
如果连接被拒绝,则在系统事件日志中记录事件 Id 5827 和5828。
-
如果 "域控制器允许连接,则在系统事件日志中记录事件 Id 5830 和5831: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
-
当允许有漏洞的 Netlogon 安全频道连接时,系统事件日志中记录事件 ID 5829。 应在配置 "DC强制模式" 之前或 "强制" 阶段从2021年2月9日开始之前解决这些事件。
步骤2a: 查找
使用事件 ID 5829 检测不合规的设备
在8月11日(2020更新)已应用到 Dc 后,可在 DC 事件日志中收集事件,确定环境中的哪些设备正在使用易受攻击的 Netlogon 安全频道连接(称为本文中不合规的设备)。 监视器事件 ID 5829 事件的已修复 Dc。 事件将包含用于识别不合规设备的相关信息。
若要监视事件,请使用可用的事件监视软件,或使用脚本来监视 Dc。 若要获得可适应环境的示例脚本,请参阅脚本,帮助监视与 CVE-2020-1472 的 Netlogon 更新相关的事件 id
步骤2b: 地址
解决事件 Id 5827 和5828
默认情况下,已完全更新的 Windows 支持的版本不应使用有漏洞的 Netlogon 安全频道连接。 如果 Windows 设备的系统事件日志中记录了这些事件中的一个,请执行以下操作:
-
确认设备正在运行 支持的 Windows 版本。
-
确保设备已完全更新。
-
检查以确保 域成员: 对安全频道数据进行数字加密或签名(始终) 设置为 "启用"。
对于充当 DC 的非 Windows 设备,使用易受攻击的 Netlogon 安全频道连接时,将在系统事件日志中记录这些事件。 如果其中一个事件被记录下来:
-
推荐与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全频道获取安全 RPC 的支持
-
如果不符合的 DC 支持安全的 Netlogon 安全频道 RPC,则在 DC 上启用安全 RPC。
-
如果不符合的 DC 目前不支持安全的 RPC,请与设备制造商(OEM)或软件供应商协作,获取支持 Netlogon 安全频道安全 RPC 的更新。
-
停用不合规的域控制器。
-
-
易受攻击如果不符合的 DC 在 Dc 处于强制模式之前无法支持安全 RPC 和 Netlogon 安全频道,请使用 "域控制器添加 DC: 允许易受攻击的 Netlogon 安全频道连接 "组策略 如下所述。
警告允许 DCs 通过组策略使用易受攻击的连接,使得林很容易受到攻击。 最终目标应该是 "从该组策略中删除所有帐户"。
寻址事件5829
初始部署阶段允许有漏洞连接时,会生成事件 ID 5829。 当 DCs 处于强制模式时,这些连接将被拒绝。 在这些事件中,重点关注计算机名称、用于确定不合规设备的域和操作系统版本以及它们的解决方法。
解决不合规设备的方法:
-
推荐与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全频道获取安全 RPC:
-
如果不符合的设备支持与 Netlogon 安全频道的安全 RPC,则在设备上启用安全 RPC。
-
如果不兼容的设备当前不支持与 Netlogon 安全频道的安全 RPC,请与设备制造商或软件供应商合作,获得允许启用 Netlogon 安全频道安全的 RPC 的更新。
-
停用不合规的设备。
-
-
易受攻击如果不符合的设备在 Dc 处于强制模式之前无法支持安全 RPC 和 Netlogon 安全频道,请使用 "域控制器添加设备: 允许易受攻击的 Netlogon 安全频道连接 "组策略 如下所述。
警告允许设备帐户通过组策略使用易受攻击的连接,将使这些 AD 帐户处于危险之中。 最终目标应该是 "从该组策略中删除所有帐户"。
允许来自第三方设备的易受攻击连接
使用 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略 添加不合规的帐户。 应仅将此项视为短期的补救措施,直到上述所述的设备得到解决。 备注 允许来自不合规设备的易受攻击的连接可能会导致未知的安全影响,并且应谨慎使用。
-
已为帐户创建安全组,允许使用有漏洞的 Netlogon 安全频道。
-
在 "组策略" 中,转到 "计算机配置 > Windows 设置" > 安全设置 "> 本地策略" > 安全选项
-
如果管理员组或未特别创建用于此组策略的任何组存在,请将其删除。
-
将专用于与此组策略一起使用的安全组添加到具有 "允许" 权限的安全描述符。 备注"拒绝" 权限的行为方式与未添加帐户一样,即, 将不允许帐户生成易受攻击的 Netlogon 安全频道。
-
添加安全组后,组策略必须复制到每个域控制器。
-
定期监视事件5827、5828和5829,确定哪些帐户正在使用有漏洞的安全频道连接。
-
根据需要将这些计算机帐户添加到安全组。 最佳做法使用组策略中的安全组和将帐户添加到组,以便通过常规 AD 复制复制成员身份。 这可避免频繁的组策略更新和复制延迟。
消除所有不符合的设备后,可将 Dc 移至强制模式(请参阅下一节)。
警告通过组策略,允许 DCs 对信任帐户使用易受攻击的连接,使得林易于受到攻击。 信任帐户通常以受信任域命名,例如: 域 a 中的 DC 与域 b 中的 DC 有信任。 在内部,域 a 中的 DC 有一个信任帐户,名称为 "域-b $",表示域 b 的信任对象。 如果域 a 中的 DC 想通过允许来自域 b 信任帐户的易受攻击的 Netlogon 安全频道连接来向该林公开攻击的风险,管理员可以使用 "adgroupmember –标识" 安全组的名称-members "domain-b $",将信任帐户添加到安全组。
步骤3a: 启用
在2月2021执行阶段的前移至强制模式
所有不符合的设备都已得到解决,可通过启用安全 RPC 或允许与 "域控制器的连接受到攻击: 允许易受攻击的 Netlogon 安全频道连接 "组策略,将 FullSecureChannelProtection 注册表项设置为1。
备注如果使用 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略,请确保在设置 FullSecureChannelProtection 注册表项之前已将组策略复制并应用到了所有 Dc。
部署 FullSecureChannelProtection 注册表项后,Dc 将处于强制模式。 此设置要求所有使用 Netlogon 安全频道的设备要么:
-
使用安全 RPC。
警告部署 DC强制模式注册表项时,不支持使用 Netlogon 安全通道连接安全 RPC 的第三方客户端将被拒绝,这会中断产品服务。
步骤3b: 强制执行阶段
部署2021年2月9日的更新
部署发布到2021年2月9日或更高版本的更新将启用 DC强制模式。 DC强制模式是指所有 Netlogon 连接均需使用安全 RPC,或必须将帐户添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 目前,不再需要 FullSecureChannelProtection 注册表项,将不再受支持。
"域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略
最佳做法是在组策略中使用安全组,以便通过常规 AD 复制复制成员身份。 这可避免频繁的组策略更新和复制延迟。
策略路径和设置名称 |
Description |
策略路径: "计算机配置" > Windows 设置 "> 安全设置" > 本地策略 "> 安全选项" 设置名称: 域控制器: 允许易受攻击的 Netlogon 安全频道连接需要重新启动? 是 |
此安全设置确定域控制器是否为指定机器帐户绕过安全 RPC 的 Netlogon 安全频道连接。 应通过启用域控制器 OU 上的策略,将此策略应用于林中的所有域控制器。 当 "创建易受攻击的连接" 列表(允许列表)被配置时:
警告启用此策略将显示加入域的设备和 Active Directory 林,它们可能会导致风险。 部署更新时,应使用此策略作为第三方设备的临时度量值。 第三方设备更新为支持将安全 RPC 与 Netlogon 安全频道配合使用时,应从 "创建易受攻击的连接" 列表中删除该帐户。 若要更好地了解配置允许使用有漏洞的 Netlogon 安全频道连接的帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。 默认: 未配置此策略。 使用 Netlogon 安全频道连接强制,无任何计算机或信任帐户显式免于安全 RPC。 Windows Server 2008 R2 SP1 及更高版本中支持此策略。 |
与 CVE-2020-1472 相关的 Windows 事件日志错误
有三种类型的事件:
1. 由于尝试的 Netlogon 安全频道连接受到漏洞,连接被拒绝时记录的事件:
-
5827(机器帐户)错误
-
5828(信任帐户)错误
2. 由于帐户已添加到 "域控制器,允许连接时记录事件: 允许易受攻击的 Netlogon 安全频道连接 "组策略:
-
5830(机器帐户)警告
-
5831(信任帐户)警告
3. 初始发布中允许连接时记录的事件,在 DC强制模式中将被拒绝:
-
5829(机器帐户)警告
事件 ID 5827
如果来自计算机帐户的易受攻击的 Netlogon 安全频道连接被拒绝,将记录事件 ID 5827。
事件日志 |
“系统” |
事件源 |
NETLOGON |
事件 ID |
5827 |
级别 |
错误 |
事件消息文本 |
Netlogon 服务从机器帐户拒绝了易受攻击的 Netlogon 安全频道连接。 计算机 SamAccountName: 域: 帐户类型: 计算机操作系统: 计算机操作系统构建: 机器操作系统服务包: 有关拒绝的原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。 |
事件 ID 5828
当信任帐户中有漏洞的 Netlogon 安全频道连接被拒绝时,将记录事件 ID 5828。
事件日志 |
“系统” |
事件源 |
NETLOGON |
事件 ID |
5828 |
级别 |
错误 |
事件消息文本 |
Netlogon 服务使用信任帐户拒绝了易受攻击的 Netlogon 安全频道连接。 帐户类型: 信任名称: 信任目标: 客户端 IP 地址: 有关拒绝的原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。 |
事件 ID 5829
在 初始部署阶段,允许从机器帐户获得易受攻击的 Netlogon 安全频道连接时,将仅记录事件 ID 5829。
部署 DC 强制模式或 执行阶段从2月9日的部署(2021更新)开始后,将拒绝这些连接并记录事件 ID 5827。 这就是为什么在初始部署阶段监视事件5829并在强制执行阶段之前采取行动以避免中断的原因至关重要。
事件日志 |
主板 |
事件源 |
NETLOGON |
事件 ID |
5829 |
高度 |
Warning |
事件消息文本 |
Netlogon 服务允许有漏洞的 Netlogon 安全频道连接。 警告: 一旦发布 "强制" 阶段,将拒绝此连接。 若要更好地了解强制阶段,请访问https://go.microsoft.com/fwlink/?linkid=2133485。 计算机 SamAccountName: 域: 帐户类型: 计算机操作系统: 计算机操作系统构建: 机器操作系统服务包: |
事件 ID 5830
"域控制器支持受漏洞的 Netlogon 安全频道机器帐户连接时,将记录事件 ID 5830: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
事件日志 |
“系统” |
事件源 |
NETLOGON |
事件 ID |
5830 |
级别 |
警告 |
事件消息文本 |
Netlogon 服务允许有漏洞的 Netlogon 安全频道连接,因为在 "域控制器:" 中允许机器帐户: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 警告: 使用易受攻击的 Netlogon 安全频道将使加入域的设备暴露于攻击。 若要保护设备免受攻击,请从 "域控制器:" 中删除机器帐户。 已更新第三方 Netlogon 客户端后,允许易受攻击的 Netlogon 安全频道连接 "组策略。 若要更好地了解配置计算机帐户以允许使用有漏洞的 Netlogon 安全频道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。 计算机 SamAccountName: 域: 帐户类型: 计算机操作系统: 计算机操作系统构建: 机器操作系统服务包: |
事件 ID 5831
当 "域控制器允许有漏洞的 Netlogon 安全频道信任帐户连接时,将记录事件 ID 5831: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
事件日志 |
“系统” |
事件源 |
NETLOGON |
事件 ID |
5831 |
级别 |
警告 |
事件消息文本 |
Netlogon 服务允许受影响的 Netlogon 安全频道连接,因为在 "域控制器:" 中允许信任帐户。 允许易受攻击的 Netlogon 安全频道连接 "组策略。 警告: 使用易受攻击的 Netlogon 安全频道会公开 Active Directory 林进行攻击。 为了保护 Active Directory 林免受攻击,所有信任都必须将安全 RPC 与 Netlogon 安全频道配合使用。 从 "域控制器:" 中删除信任帐户 在域控制器上的第三方 Netlogon 客户端更新后,"允许易受攻击的 Netlogon 安全频道连接" 组策略。 若要更好地了解配置信任帐户以允许使用有漏洞的 Netlogon 安全频道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485。 帐户类型: 信任名称: 信任目标: 客户端 IP 地址: |
强制模式的注册表值
如果使用注册表编辑器或其他方法不正确地修改注册表,则可能会出现 "警告" 严重问题。 这些问题可能需要重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表的风险自负。
2020年8月11日的更新引入了以下注册表设置,可及早启用强制模式。 无论从2月 9 2021 日开始的强制阶段的注册表设置如何,都将启用此功能:
注册表子项 |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Value |
FullSecureChannelProtection |
数据类型 |
REG_DWORD |
Data |
1-这将启用强制模式。 Dc 将拒绝有漏洞的 Netlogon 安全频道连接,除非在 "域控制器中创建易受攻击的连接列表中允许帐户: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 0-DCs 将允许来自非 Windows 设备的易受攻击的 Netlogon 安全频道连接。 在强制阶段发布中,此选项将被弱化。 |
需要重新启动? |
是 |
第三方设备实现 [MS-NRPC]: Netlogon 远程协议
所有第三方客户端或服务器必须将安全 RPC 与 Netlogon 安全频道配合使用。 请与设备制造商(OEM)或软件供应商联系,确定其软件是否与最新的 Netlogon 远程协议兼容。
可在 Windows 协议文档网站上找到协议更新。
常见问题(FAQ)
-
Windows & 在 Active Directory (AD)中具有计算机帐户的第三方域的设备
-
Windows Server & 受信任 & 中的第三方域控制器信任 AD 中有信任帐户的域
第三方设备可能不合规。 如果第三方解决方案在 AD 中维护一个计算机帐户,请与供应商联系,确定你是否受到影响。
在身份验证 DC 上的 AD 和 Sysvol 复制或组策略应用程序故障中的延迟可能会导致对组策略 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略 不存在,将导致帐户被拒绝。
以下步骤可帮助解决此问题:
-
如果已将策略配置为包含组,并且已对组成员身份进行更改以添加帐户,请检查拒绝连接的 DC 是否已本地复制组成员身份更改。 备注建议不要将帐户直接添加到组策略。
-
如果对策略进行了更改并添加了新帐户或新组,请检查是否复制并应用了策略更改: 运行命令gpupdate/force和gpresult/h
-
有关组策略应用程序和依赖相关组件故障排除的详细信息,请参阅以下内容:
默认情况下,已完全更新的 Windows 支持的版本不应使用有漏洞的 Netlogon 安全频道连接。 如果 Windows 设备的系统事件日志中记录了事件 ID 5827:
-
确认设备正在运行 支持的 Windows 版本。
-
确保已从 Windows Update 完全更新设备。
-
检查以确保 域成员: 对安全频道数据进行数字加密或签名(always), 在链接到 OU 的 GPO (如默认域控制器 GPO)中设置为 "启用"。
是的,应进行更新,但它们不易受到CVE-2020-1472 的影响。
不对,DCs 是由CVE-2020-1472影响的唯一角色,可独立于非 DC Windows 服务器和其他 Windows 设备进行更新。
Windows Server 2008 SP2 不易受到此特定 CVE 的攻击,因为它不会将 AES 用于安全的 RPC。
是的,需要延长安全更新(ESU)才能安装更新,以解决 Windows Server 2008 R2 SP1 的CVE-2020-1472 。
将8月11日、2020或更高版本的更新部署到环境中的所有域控制器。
确保未向 "域控制器添加任何设备: 允许易受攻击的 Netlogon 安全频道连接 "组策略 具有企业管理员或域-管理员权限服务,如 SCCM 或 Microsoft Exchange。 备注 允许列表中的任何设备使用易受攻击的连接,并可能将环境公开到攻击。
安装在域控制器上发布的11月11日、2020或更高版本的更新,可保护基于 Windows 的计算机帐户、信任帐户和域控制器帐户。
加入域的 Active Directory 计算机帐户第三方设备将 不 受保护,直至部署强制模式。 将计算机帐户添加到 "域控制器时也不会受到保护: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
确保环境中的所有域控制器均安装了8月11日、2020或更高版本的更新。
已添加到 "域控制器的任何设备标识: 允许易受攻击的 Netlogon 安全频道连接 "组策略 将易受攻击。
确保环境中的所有域控制器均安装了8月11日、2020或更高版本的更新。
启用强制模式,拒绝来自不合规的第三方设备标识的易受攻击的连接。"域控制器的任何第三方设备标识: 允许易受攻击的 Netlogon 安全频道连接 "组策略 仍会受到攻击,并且可能会允许攻击者对您的网络或设备进行未经授权的访问。
备注 启用强制模式后,已添加到强制模式告知域控制器不允许来自不使用安全 RPC 的设备的 Netlogon 连接,除非已将这些设备帐户添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略。
有关详细信息,请参阅 "强制模式的注册表值" 部分。
如果在 Netlogon 安全频道上启用安全 RPC,则只能将设备的计算机帐户添加到组策略。 建议使这些设备合规或替换这些设备来保护环境。
攻击者可以接管添加到组策略中的任何计算机帐户的 Active Directory 计算机标识,然后使用计算机标识拥有的任何权限。
如果你拥有的第三方设备不支持 Netlogon 安全频道的安全 RPC,并且想要启用强制模式,则应向组策略中添加该设备的计算机帐户。 不建议使用此功能,并且可能会使你的域处于可能易受攻击的状态。 建议使用此组策略来允许时间更新或替换任意第三方设备,以使其符合合规性。
应尽早启用强制模式。 所有第三方设备都需要通过使其合规或添加到 "域控制器来解决问题: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 备注 允许列表中的任何设备使用易受攻击的连接,并可能将环境公开到攻击。
词汇表
条件 |
Definition |
广告 |
Active Directory |
DC |
域控制器 |
可在2021年2月9日之前启用强制模式的注册表项。 |
|
将在所有 Windows 域控制器上启用强制模式的(无论注册表设置如何),从2月9日到2021的更新开始。 DCs 将拒绝来自所有不合规设备的易受攻击的连接,除非将其添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 |
|
相位从2020年8月11日的更新开始,直至强制执行阶段后继续更新。 |
|
机器帐户 |
也称为 "Active Directory 计算机" 或 "计算机" 对象。 请参阅 MS NPRC 词汇表 ,了解完整的定义。 |
Microsoft Netlogon 远程协议 |
|
不兼容的设备 |
不兼容的设备使用有漏洞的 Netlogon 安全频道连接。 |
RODC |
只读域控制器 |
易于连接 |
易受攻击的连接是不使用安全 RPC 的 Netlogon 安全频道连接。 |