原始发布日期: 2025 年 8 月 13 日
KB ID:5066014
本文内容:
摘要
CVE-2025-49716 解决了拒绝服务漏洞,其中未经身份验证的远程用户可以 (RPC) 进行一系列基于 Netlogon 的远程过程调用,这些调用最终会占用域控制器 (DC) 的所有内存。 为了缓解此漏洞,在 2025 年 5 月Windows Server 2025 年 5 月Windows 安全中心更新和从 Windows Server 2 Windows 安全中心 汇报008SP2 到 Windows Server2022,含。 此更新包括对 Microsoft RPC Netlogon 协议的安全强化更改。 此更改通过加强对一组远程过程调用的访问检查 (RPC) 请求来提高安全性。 安装此更新后,Active Directory 域控制器将不再允许匿名客户端通过 Netlogon RPC 服务器调用某些 RPC 请求。 这些请求通常与域控制器位置相关。
此更改后,某些文件 & 打印服务软件可能会受到影响,包括 Samba。 Samba 已发布更新以适应此更改。 有关详细信息 ,请参阅 Samba 4.22.3 - 发行说明 。
为了适应无法更新受影响的第三方软件的情况,我们在 2025 年 8 月Windows 安全中心更新中发布了其他配置功能。 此更改在默认强制模式、将记录更改但不阻止未经身份验证的 Netlogon RPC 调用的审核模式和禁用模式( (不建议)之间实现基于注册表项的切换。)
采取操作
若要保护环境并避免中断,请首先通过安装最新的 Windows 更新来更新托管 Active Directory 域控制器或 LDS 服务器角色的所有设备。 具有 2025 年 7 月 8 日或更高版本的 DC,Windows 安全中心 汇报 (或Windows Server 2025 年 5 月更新) 的 DC 默认是安全的,默认情况下不接受基于 Netlogon 的未经身份验证的 RPC 调用。 具有 2025 年 8 月 12 日或更高版本Windows 安全中心 汇报的 DC 默认情况下不接受未经身份验证的基于 Netlogon 的 RPC 调用,但可以配置为暂时这样做。
-
监视环境的访问权限问题。 如果遇到,请确认 Netlogon RPC 强化更改是否是根本原因。
-
如果仅安装了 7 月更新,请使用命令“Nltest.exe /dbflag:0x2080ffff”启用详细 Netlogon 日志记录,然后监视生成的日志中是否存在类似于以下行的条目。 “OpNum”和“方法”字段可能有所不同,表示已阻止的作和 RPC 方法:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: 拒绝来自 [IPAddr] OpNum:34 方法:DsrGetDcNameEx2 的未授权 RPC 调用
-
如果安装了 8 月或更高版本的 Windows 更新,请在 DC 上查找 Security-Netlogon 事件 9015,以确定哪些 RPC 调用被拒绝。 如果这些调用很关键,则可以在进行故障排除时暂时将 DC 置于审核模式或禁用模式。
-
进行更改,使应用使用经过身份验证的 Netlogon RPC 调用,或与软件供应商联系以获取更多信息。
-
-
如果将 DC 置于审核模式,请监视 Security-Netlogon 事件 9016,以确定在启用强制模式时将拒绝哪些 RPC 调用。 然后进行更改,使应用使用经过身份验证的 Netlogon RPC 调用,或与软件供应商联系以获取更多信息。
注意: 在 Windows 2008 SP2 和 Windows 2008 R2 服务器上,这些事件将在系统事件日志中分别显示为“执行模式”和“审核模式”的 Netlogon 事件 5844 和 5845。
Windows 更新时间安排
这些 Windows 更新分几个阶段发布:
-
Windows Server 2025 (2025 年 5 月 13 日的初始更改) - 针对基于未经身份验证的 Netlogon RPC 调用强化的原始更新包含在 2025 年 5 月 2025 Windows 安全中心 更新中,适用于 2025 Windows Server。
-
其他服务器平台上的初始更改 (2025 年 7 月 8 日) - 针对其他服务器平台的基于未经身份验证的基于 Netlogon 的 RPC 调用而强化的更新包含在 2025 年 7 月 Windows 安全中心 汇报 中。
-
2025 年 8 月 12 日 (添加了“审核模式”和“禁用模式”) - 默认情况下,“审核模式”或“禁用模式”选项的强制实施包含在 2025 年 8 月 Windows 安全中心 汇报中。
-
删除审核模式和禁用模式 (TBD) - 以后,可能会从 OS 中删除审核模式和禁用模式。 确认更多详细信息后,将更新本文。
部署指南
如果部署 8 月Windows 安全中心 汇报并且想要将 DC 配置为“审核”或“禁用”模式,请使用适当的值部署下面的注册表项。 无需重启。
|
路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
注册表值 |
DCLocatorRPCSecurityPolicy |
|
值类型 |
REG_DWORD |
|
值数据 |
0 - 禁用模式1 - 审核模式2 - 强制模式 (默认) |
注意: 在“审核”和“禁用”模式下,将允许未经身份验证的请求。
新添加的事件
2025 年 8 月 12 日Windows 安全中心 汇报还会在 Windows Server 2012 Windows Server 2022 域控制器上添加新事件日志:
|
事件日志 |
Microsoft-Windows-Security-Netlogon/Operational |
|
事件类型 |
信息 |
|
事件 ID |
9015 |
|
事件文本 |
Netlogon 拒绝了 RPC 调用。 策略处于强制模式。 客户端信息: 方法名称: %method% 方法 opnum: %opnum% 客户端地址:<IP 地址> 客户端标识:<调用方 SID> 有关详细信息,请参阅 https://aka.ms/dclocatorrpcpolicy。 |
|
事件日志 |
Microsoft-Windows-Security-Netlogon/Operational |
|
事件类型 |
信息 |
|
事件 ID |
9016 |
|
事件文本 |
Netlogon 允许通常被拒绝的 RPC 调用。 策略处于审核模式。 客户端信息: 方法名称: %method% 方法 opnum: %opnum% 客户端地址:<IP 地址> 客户端标识:<调用方 SID> 有关详细信息,请参阅 https://aka.ms/dclocatorrpcpolicy。 |
注意: 在 Windows 2008 SP2 和 Windows 2008 R2 服务器上,这些事件将在系统事件日志中分别显示为 Netlogon 事件 5844 和 5845,以用于强制模式和审核模式。
常见问题 (FAQ)
未使用 2025 年 7 月 8 日Windows 安全中心 汇报或更高版本更新的 DC 仍允许未经身份验证的基于 Netlogon 的 RPC 调用,& 不会记录与此漏洞相关的事件。
使用 2025 年 7 月 8 日Windows 安全中心 汇报更新的 DC 将不允许未经身份验证的基于 Netlogon 的 RPC 调用,但在阻止此类调用时不会记录事件。
默认情况下,使用 2025 年 8 月 12 日Windows 安全中心 汇报 或更高版本更新的 DC 将不允许未经身份验证的基于 Netlogon 的 RPC 调用,并且会在阻止此类调用时记录事件。
不可以。
