如何管理 Netlogon 中與 CVE-2020-1472 相關聯的 Netlogon 安全通道連線中的變更

適用於: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions

摘要


Netlogon 遠端通訊協定(也稱為 NRPC)是由網域聯結裝置專門使用的 RPC 介面。 NRPC 包含驗證方法和建立 Netlogon 安全通道的方法。 這些更新會強制執行指定的 Netlogon 用戶端行為,以在成員電腦和 Active Directory (AD)網網域控制站(DC)之間使用 Netlogon 安全通道。

此安全性更新會在分段發行中使用 Netlogon 安全通道時強制執行安全 RPC,在 [位址: CVE-2020-1472 ] 區段中所述的 [更新位址為最新版]。 為了提供 AD 林保護,必須更新所有 Dc,因為它們會強制執行安全的 RPC,並使用 Netlogon 安全通道。 這包括唯讀網域控制站(RODC)。

若要深入瞭解此漏洞,請參閱 CVE-2020-1472


附注如果您使用的是Windows Server 2008 R2 SP1,您需要有外延安全性更新(ESU)授權才能成功安裝任何解決此問題的更新。 如需有關 ESU 計畫的詳細資訊,請參閱 生命週期常見問題-擴充安全性更新

本文內容:

解決 Netlogon 缺陷的更新時間 CVE-2020-1472


更新將會在兩個階段發行: 在2020年8月11日發行的更新或2月9日(2021)發行更新的執行階段。

2020年8月11日-初次部署階段

初次部署階段會從2020年8月11日發行的更新開始,並持續更新,直到執行階段為止。 這些及更新的版本會變更 Netlogon 通訊協定,以便在預設情況下保護 Windows 裝置、記錄不合規裝置探索的事件,並新增為所有加入網域的裝置啟用保護,並提供顯式例外。 本次發行:

  • 針對 Windows 裝置上的電腦帳戶強制執行安全 RPC 使用。
  • 強制執行信任帳戶的安全 RPC 使用。
  • 針對所有視窗和非 Windows DCs 強制執行安全的 RPC 使用。
  • 包含新的群組原則,以允許不合規的裝置帳戶(使用易受攻擊的 Netlogon 安全通道連線的)。 即使是在強制模式中或在強制執行階段之後執行dc,允許的裝置也不會遭到拒絕連線。
  • FullSecureChannelProtection 登錄機碼以啟用所有電腦帳戶的 DC強制執行模式(強制執行階段會將 dc 更新為 dc強制模式)。

  • 當帳戶遭到拒絕或在 DC強制執行模式中遭到拒絕時(將會在強制執行階段持續)時,包含新的事件。 本文稍後將說明特定事件識別碼。

「緩解」包括在所有 Dc 和 Rodc 上安裝更新、監視新事件,並定址使用易受攻擊的 Netlogon 安全通道連線的非合規裝置。 不相容裝置上的電腦帳戶可以使用易受攻擊的 Netlogon 安全通道連線;不過,他們應更新,以支援 Netlogon 和帳戶安全 RPC,以便移除受攻擊的風險。

2021年2月9日-強制執行階段

2021版2月9日將轉場標示為強制執行階段。 Dc 將會在強制執行模式中,而不管強制模式的登錄機碼。 這要求所有 Windows 和非 Windows 裝置都要使用安全 RPC 和 Netlogon 安全通道,或為不相容的裝置新增例外,以明確允許該帳戶。 本次發行:

部署指導方針-部署更新並強制執行合規性


初次部署階段包括下列步驟:

  1. 部署林中所有 Dc的11月11日更新
  2. (a)監視事件和(b)每個活動的操作
  3. (a)所有警告事件都完成之後,您可以透過部署 DC強制模式來啟用完全保護。 (b)應在2月9日的2021強制階段更新之前解決所有警告。

步驟1: 更新

部署2020年8月11日更新

將八月-11 更新部署到林中所有適用的網網域控制站(Dc),包括唯讀網域控制站(Rodc)。 部署此更新之後,您可以:

 

步驟2a: 尋找

使用事件 ID 5829 檢測不合規裝置

在8月11日已套用2020更新之後,可在 DC 事件記錄中收集事件,以判斷您環境中的哪些裝置正在使用易受攻擊的 Netlogon 安全通道連線(稱為本文中不相容的裝置)。 針對事件 ID 5829 事件監視已修正的 Dc。 事件將包含識別不合規裝置的相關資訊。

若要監視事件,請使用可用的事件監視軟體,或使用腳本來監視您的 Dc。  如需適合您環境使用的範例腳本,請參閱使用腳本來監視與 CVE 更新相關的事件識別碼-2020-1472

步驟2b: 位址

解決事件 Id 5827 和5828

根據預設,已完全更新的 受支援 Windows 版本不應使用易受攻擊的 Netlogon 安全通道連線。 如果其中一個事件記錄在 Windows 裝置系統事件記錄中:

  1. 確認裝置執行的是 支援的 Windows 版本
  2. 請確定裝置已完全更新。
  3. 檢查以確認 網域成員: 將加密或簽署安全通道資料(always) 設定為 [啟用]。

對於充當 DC 的非 Windows 裝置,當使用易受攻擊的 Netlogon 安全通道連線時,系統事件記錄會記錄這些事件。 如果其中一個事件已記錄:

  • 建議使用與裝置製造商(OEM)或軟體供應商共同使用 Netlogon 安全通道,取得安全 RPC 的支援
    1. 如果不相容 DC 支援與 Netlogon 安全通道的安全 RPC,請在 DC 上啟用 secure RPC。
    2. 如果不合規的 DC 目前不支援 secure RPC,請與裝置製造商(OEM)或軟體供應商合作,取得支援與 Netlogon 安全通道之安全 RPC 的更新。
    3. 撤出不合規的 DC。
  • 易受攻擊如果在 Dc 處於強制模式之前,非合規性 DC 不能支援與 Netlogon 安全通道的安全 RPC,請使用 「網網域控制站」新增 DC: [允許易受攻擊的 Netlogon 安全通道連線] 群組原則 如下所述。

 

定址事件5829

當初次部署階段允許易受攻擊的連線時,會產生事件 ID 5829。 當 DCs 處於強制模式時,這些連線將遭到拒絕。 在這些事件中,您可以專注于電腦名稱稱、網域和作業系統版本,以決定不符合的裝置,以及如何解決這些裝置問題。

處理不合規裝置的方法:

  • 建議使用請與裝置製造商(OEM)或軟體供應商合作,以取得安全 RPC (Netlogon 安全通道):
    1. 如果不符合的裝置支援使用 Netlogon 安全通道的安全 RPC,請在裝置上啟用 secure RPC。
    2. 如果不符合的裝置目前不支援使用 Netlogon 安全通道的安全 RPC,請與裝置製造商或軟體廠商聯繫,取得允許啟用與 Netlogon 安全通道之安全 RPC 的更新。
    3. 撤出不相容的裝置。
  • 易受攻擊如果在 Dc 處於強制模式之前,非合規裝置不能支援使用 Netlogon 安全通道的安全 RPC,請使用 「網網域控制站」新增裝置: [允許易受攻擊的 Netlogon 安全通道連線] 群組原則 如下所述。

 

允許從協力廠商裝置進行易受攻擊的連線

使用 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則 新增不合規的帳戶。 只有在按照上述步驟處理不符合的裝置之前,才應考慮使用短期的修正方法。 附注 允許易受攻擊的來自不合規裝置的連線可能會受到未知的安全性影響,因此應謹慎使用。

  1. 已建立帳戶的安全性群組,將允許使用易受攻擊的 Netlogon 安全通道。
  2. 在群組原則中,移至 [電腦設定] > Windows 設定 > 安全性設定 > 本地原則 > 安全性選項
  3. 搜尋 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」
  4. 如果 [系統管理員] 群組或您沒有專門建立用來使用這個群組原則的群組,請將它移除。
  5. 將專門用於這個群組原則的安全性群組新增至含有 "Allow" 許可權的安全性描述項。 附注「拒絕」許可權的運作方式與未新增該帳戶相同,例如, 帳戶將不允許您執行易受攻擊的 Netlogon 安全通道。
  6. 新增安全性群組之後,群組原則必須複製到每個 DC。
  7. 定期監視事件5827、5828和5829,以判斷哪些帳戶正在使用易受攻擊的安全通道連線。
  8. 視需要將這些電腦帳戶新增到安全性群組。 最佳做法使用群組原則中的安全性群組,並將帳戶新增到群組,這樣就能透過一般的 AD 複製來複製成員資格。 這樣可避免經常發生群組原則更新及複寫延遲。

解決所有不符合的裝置之後,您可以將 Dc 移至強制模式(請參閱下一節)。

 

步驟3a: 啟用

在2月2021強制執行階段之前移至強制模式

在所有不符合的裝置都經過解決之後,您可以啟用安全 RPC,或允許易受攻擊的連線與 」網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則,請將 FullSecureChannelProtection 登錄機碼設定為1。

附注如果您使用 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則,請先確認已將群組原則複製並套用到所有 Dc,再設定 FullSecureChannelProtection 登錄機碼。

當部署 FullSecureChannelProtection 登錄機碼時,Dc 將處於強制執行模式。 此設定要求所有使用 Netlogon 安全通道的裝置都:

 

步驟3b: 強制執行階段

部署2021更新

部署2021年2月9日发行的更新将会开启 DC强制执行模式。 當網域強制執行模式是使用 secure RPC 所需的所有 Netlogon 連線,或帳戶必須已新增至 「網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 目前不再需要 FullSecureChannelProtection 登錄機碼,將不再支援。

「網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」群組原則


最佳做法是使用群組原則中的安全性群組,以便透過一般 AD 複製來複製成員資格。 這樣可避免經常發生群組原則更新及複寫延遲。

原則路徑和設定名稱 描述

原則路徑: [電腦設定] > Windows 設定 > 安全性設定 > 本地原則 > 安全性選項]

設定名稱: 網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線

需要重新開機嗎? 否

此安全性設定決定了網網域控制站是否為指定電腦帳戶的 Netlogon 安全通道連線跳過安全 RPC。

若要將此原則套用到樹林中的所有網網域控制站,請啟用網網域控制站 OU 中的原則。

設定易受攻擊的連線清單(允許清單)時:

  • 能 網網域控制站將允許指定的群組/帳戶使用 Netlogon 安全通道,而不需要安全的 RPC。
  • 他們 這項設定和預設行為相同。 網網域控制站會要求指定的群組/帳戶使用 Netlogon 安全通道與安全 RPC。

警告啟用此原則會暴露您加入網域的裝置和 Active Directory 林,這樣可能會導致風險。 當您部署更新時,應使用這個原則做為協力廠商裝置的臨時性度量。 當協力廠商裝置更新為支援使用安全 RPC 和 Netlogon 安全通道時,應將該帳戶從建立易受攻擊的連線清單中移除。 若要更清楚地瞭解設定允許使用易受攻擊的 Netlogon 安全通道連線的帳戶,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。

預設 未設定此原則。 使用 Netlogon 安全通道連線強制執行,沒有任何電腦或信任帳戶完全免于使用。

Windows Server 2008 R2 SP1 及更新版本支援此原則。

Windows 事件記錄與 CVE-2020-1472 相關的錯誤


活動有三種類別:

1. 由於嘗試使用易受攻擊的 Netlogon 安全通道連線而導致連線被拒所記錄的事件:

  • 5827(電腦帳戶)錯誤

  • 5828(信任帳戶)錯誤

2. 由於帳戶已新增至 「網網域控制站」而允許連線時記錄的事件: 允許易受攻擊的 Netlogon 安全通道連線「群組原則

  • 5830(電腦帳戶)警告

  • 5831(信任帳戶)警告

3. 當初次發行時允許連線時記錄的事件,在 DC強制執行模式中將遭到拒絕:

  • 5829(電腦帳戶)警告

事件識別碼5827

當來自機器帳戶的易受攻擊的 Netlogon 安全通道連線時,系統會記錄事件 ID 5827。

事件記錄

[系統]

事件來源

NETLOGON

事件識別碼

5827

等級

錯誤

活動訊息文字

Netlogon 服務拒絕來自電腦帳戶的易受攻擊的 Netlogon 安全通道連線。

電腦 SamAccountName:

網域:

帳戶類型:

電腦作業系統:

電腦作業系統組建:

電腦作業系統 Service Pack:

如需有關為什麼遭到拒絕的詳細資訊,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485

 

事件識別碼5828

當來自信任帳戶的易受攻擊的 Netlogon 安全通道連線時,系統會記錄事件 ID 5828。

事件記錄

[系統]

事件來源

NETLOGON

事件識別碼

5828

等級

錯誤

活動訊息文字

Netlogon 服務使用信任帳戶拒絕了易受攻擊的 Netlogon 安全通道連線。

帳戶類型:

信任名稱:

信任目標:

用戶端 IP 位址:

如需有關為什麼遭到拒絕的詳細資訊,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485

 

事件識別碼5829

當允許受攻擊的 Netlogon 安全通道連線時,系統會將事件 ID 5829 記錄在 初始部署階段

當部署 DC 強制執行模式,或當 強制執行階段于2月9日(2021更新)部署啟動之後,這些連線將遭到拒絕,且會記錄事件 ID 5827。 這就是為什麼在初始部署階段監視事件5829,並在強制執行階段之前採取行動以避免中斷的原因。

事件記錄

系統

事件來源

NETLOGON

事件識別碼

5829

注意

活動訊息文字

Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線。  

警告: 一旦發行強制執行階段,此連線就會遭到拒絕。 若要更進一步瞭解強制執行階段,請造訪HTTPs://go.microsoft.com/fwlink/?linkid=2133485。  

電腦 SamAccountName:  

網域:  

帳戶類型:  

電腦作業系統:  

電腦作業系統組建:  

電腦作業系統 Service Pack:  

事件識別碼5830

「網網域控制站」允許易受攻擊的 Netlogon 安全通道電腦帳戶連線時,系統會記錄事件 ID 5830: 允許易受攻擊的 Netlogon 安全通道連線「群組原則

事件記錄

[系統]

事件來源

NETLOGON

事件識別碼

5830

等級

警告

活動訊息文字

Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線,因為「網網域控制站:」允許使用電腦帳戶: 允許易受攻擊的 Netlogon 安全通道連線」群組原則。

警告: 使用易受攻擊的 Netlogon 安全通道會公開加入網域的裝置,以進行攻擊。 若要保護您的裝置不受攻擊,請從「網域控制站:」移除電腦帳戶。 在協力廠商 Netlogon 用戶端更新之後,允許易受攻擊的 Netlogon 安全通道連線」群組原則。 若要更進一步瞭解設定允許使用易受攻擊的 Netlogon 安全通道連線的電腦帳戶的風險,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485

電腦 SamAccountName:

網域:

帳戶類型:

電腦作業系統:

電腦作業系統組建:

電腦作業系統 Service Pack:

 

事件識別碼5831

「網網域控制站」允許易受攻擊的 Netlogon 安全通道信任帳戶連線時,系統會記錄事件 ID 5831: 允許易受攻擊的 Netlogon 安全通道連線「群組原則

事件記錄

[系統]

事件來源

NETLOGON

事件識別碼

5831

等級

警告

活動訊息文字

Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線,因為「網網域控制站:」允許信任帳戶。 允許易受攻擊的 Netlogon 安全通道連線」群組原則。

警告: 使用易受攻擊的 Netlogon 安全通道將公開 Active Directory 林,以便攻擊。 為了防止您的 Active Directory 林受到攻擊,所有的信任都必須使用安全 RPC 和 Netlogon 安全通道。 從「網域控制站:」移除信任帳戶。 「允許易受攻擊的 Netlogon 安全通道連線」」群組原則:在網域控制站上的協力廠商 Netlogon 用戶端更新之後。 若要更清楚地瞭解設定信任帳戶以使用易受攻擊的 Netlogon 安全通道連線的風險,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485

帳戶類型:

信任名稱:

信任目標:

用戶端 IP 位址:

強制模式的登錄值


2020年8月11日的更新會引入以下登錄設定,以便提早啟用強制模式。 這項功能會啟用,無論強制執行階段中的哪個登錄設定(從2021年2月9日起)開始: 

登錄子機碼 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
鍵值 FullSecureChannelProtection
資料類型 REG_DWORD
資料

1:這會啟用 [強制執行] 模式。 Dc 將拒絕易受攻擊的 Netlogon 安全通道連線,除非您在 「網網域控制站」中建立易受攻擊的連線清單允許帳戶: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。  

0– DCs 可讓非 Windows 裝置執行易受攻擊的 Netlogon 安全通道連線。 此選項會在強制執行階段中被取代。

需要重新開機嗎?

 

協力廠商裝置的實施方式 [NRPC]: Netlogon 遠端通訊協定


所有協力廠商用戶端或伺服器都必須使用安全 RPC 和 Netlogon 安全通道。 請與裝置製造商(OEM)或軟體廠商聯繫,以判斷其軟體是否與最新的 Netlogon 遠端通訊協定相容。 

您可以在 Windows 通訊協定的 [檔] 網站上找到通訊協定更新。 

常見問題(FAQ)


 

詞條


二項式 巨集定義
特定 Active Directory
直流 網網域控制站
強制執行模式 可讓您在2月 9 2021 日之前啟用強制模式的登錄機碼。
強制執行階段 从2月9日起,您将会在所有 Windows 网域控制器上启用强制模式的2021更新,无论登录的是什么。 如果不是将装置新增至 「域控制器」,DCs 就会拒绝来自所有不合规装置的易受攻击的联机: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 
初次部署階段 階段自2020年8月11日起,並持續更新,直到執行階段為止。
電腦帳戶 也稱為 Active Directory 電腦或電腦物件。  如需完整的定義,請參閱 NPRC 詞彙表
NRPC Microsoft Netlogon 遠端通訊協定
非合規裝置 不相容的裝置是使用易受攻擊的 Netlogon 安全通道連線的裝置。
RODC 唯讀網網域控制站
易受攻擊的連線 易受攻擊的連結是無法使用安全 RPC 的 Netlogon 安全通道連線。