摘要
Netlogon 遠端通訊協定(也稱為 NRPC)是由網域聯結裝置專門使用的 RPC 介面。 NRPC 包含驗證方法和建立 Netlogon 安全通道的方法。 這些更新會強制執行指定的 Netlogon 用戶端行為,以在成員電腦和 Active Directory (AD)網網域控制站(DC)之間使用 Netlogon 安全通道。
此安全性更新會在分段發行中使用 Netlogon 安全通道時強制執行安全 RPC,在 [位址: CVE-2020-1472 ] 區段中所述的 [更新位址為最新版]。 為了提供 AD 林保護,必須更新所有 Dc,因為它們會強制執行安全的 RPC,並使用 Netlogon 安全通道。 這包括唯讀網域控制站(RODC)。
若要深入瞭解此漏洞,請參閱 CVE-2020-1472。
採取行動
若要保護您的環境並防止中斷,您必須執行下列動作:
附注 安裝2020年8月11日發行的更新步驟1,將在 CVE-2020-1472 中解決 Active Directory 網域及 Windows 裝置的問題。 若要完全降低協力廠商裝置的安全性問題,您需要完成所有步驟。
警告自2月2021日起,將會在所有 Windows 網網域控制站上啟用強制執行模式,並封鎖易受攻擊且不符合的裝置連線。 此時,您將無法停用強制模式。
-
更新 您的網網域控制站,並于2020年8月11日發行的更新發行。
-
透過監視事件記錄,找出哪些裝置正在執行易受攻擊的連線。
-
為非合規裝置處理易受攻擊的連線。
-
在您的環境中啟用[強制模式] 以處理CVE-2020-1472 。
附注如果您使用的是Windows Server 2008 R2 SP1,您需要有外延安全性更新(ESU)授權才能成功安裝任何解決此問題的更新。 如需有關 ESU 計畫的詳細資訊,請參閱 生命週期常見問題-擴充安全性更新。
本文內容:
解決 Netlogon 缺陷的更新時間 CVE-2020-1472
更新將會在兩個階段發行: 在2020年8月11日發行的更新或2月9日(2021)發行更新的執行階段。
2020年8月11日-初次部署階段
初次部署階段會從2020年8月11日發行的更新開始,並持續更新,直到執行階段為止。 這些及更新的版本會變更 Netlogon 通訊協定,以便在預設情況下保護 Windows 裝置、記錄不合規裝置探索的事件,並新增為所有加入網域的裝置啟用保護,並提供顯式例外。 本次發行:
-
針對 Windows 裝置上的電腦帳戶強制執行安全 RPC 使用。
-
強制執行信任帳戶的安全 RPC 使用。
-
針對所有視窗和非 Windows DCs 強制執行安全的 RPC 使用。
-
包含新的群組原則,以允許不合規的裝置帳戶(使用易受攻擊的 Netlogon 安全通道連線的)。 即使是在強制模式中或在強制執行階段之後執行dc,允許的裝置也不會遭到拒絕連線。
-
FullSecureChannelProtection 登錄機碼以啟用所有電腦帳戶的 DC強制執行模式(強制執行階段會將 dc 更新為 dc強制模式)。
-
當帳戶遭到拒絕或在 DC強制執行模式中遭到拒絕時(將會在強制執行階段持續)時,包含新的事件。 本文稍後將說明特定事件識別碼。
「緩解」包括在所有 Dc 和 Rodc 上安裝更新、監視新事件,並定址使用易受攻擊的 Netlogon 安全通道連線的非合規裝置。 不相容裝置上的電腦帳戶可以使用易受攻擊的 Netlogon 安全通道連線;不過,他們應更新,以支援 Netlogon 和帳戶安全 RPC,以便移除受攻擊的風險。
2021年2月9日-強制執行階段
2021版2月9日將轉場標示為強制執行階段。 Dc 將會在強制執行模式中,而不管強制模式的登錄機碼。 這要求所有 Windows 和非 Windows 裝置都要使用安全 RPC 和 Netlogon 安全通道,或為不相容的裝置新增例外,以明確允許該帳戶。 本次發行:
-
在非 Windows 版的裝置上強制執行安全的 RPC 使用,除非 「網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
-
事件 ID 5829 記錄將會被移除。 由於所有易受攻擊的連線遭到拒絕,您現在只會在系統事件記錄記錄中看到事件 Id 5827 和5828。
部署指導方針-部署更新並強制執行合規性
初次部署階段包括下列步驟:
步驟1: 更新
部署2020年8月11日更新
將八月-11 更新部署到林中所有適用的網網域控制站(Dc),包括唯讀網域控制站(Rodc)。 部署此更新之後,您可以:
-
為所有 Windows 型裝置帳戶、信任帳戶和所有 Dc 強制執行安全 RPC 使用。
-
如果連線遭到拒絕,記錄系統事件記錄中的事件 Id 5827 和5828。
-
如果 「網網域控制站」允許連線,則會在系統事件記錄記錄中記錄事件 Id 5830 和5831: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
-
當允許易受攻擊的 Netlogon 安全通道連線時,系統事件記錄記錄中的事件識別碼5829。 在設定 DC強制執行模式之前,或在強制執行階段于2021年2月9日之前,必須先解決這些事件。
步驟2a: 尋找
使用事件 ID 5829 檢測不合規裝置
在8月11日已套用2020更新之後,可在 DC 事件記錄中收集事件,以判斷您環境中的哪些裝置正在使用易受攻擊的 Netlogon 安全通道連線(稱為本文中不相容的裝置)。 針對事件 ID 5829 事件監視已修正的 Dc。 事件將包含識別不合規裝置的相關資訊。
若要監視事件,請使用可用的事件監視軟體,或使用腳本來監視您的 Dc。 如需適合您環境使用的範例腳本,請參閱使用腳本來監視與 CVE 更新相關的事件識別碼-2020-1472
步驟2b: 位址
解決事件 Id 5827 和5828
根據預設,已完全更新的 受支援 Windows 版本不應使用易受攻擊的 Netlogon 安全通道連線。 如果其中一個事件記錄在 Windows 裝置系統事件記錄中:
-
確認裝置執行的是 支援的 Windows 版本。
-
請確定裝置已完全更新。
-
檢查以確認 網域成員: 將加密或簽署安全通道資料(always) 設定為 [啟用]。
對於充當 DC 的非 Windows 裝置,當使用易受攻擊的 Netlogon 安全通道連線時,系統事件記錄會記錄這些事件。 如果其中一個事件已記錄:
-
建議使用與裝置製造商(OEM)或軟體供應商共同使用 Netlogon 安全通道,取得安全 RPC 的支援
-
如果不相容 DC 支援與 Netlogon 安全通道的安全 RPC,請在 DC 上啟用 secure RPC。
-
如果不合規的 DC 目前不支援 secure RPC,請與裝置製造商(OEM)或軟體供應商合作,取得支援與 Netlogon 安全通道之安全 RPC 的更新。
-
撤出不合規的 DC。
-
-
易受攻擊如果在 Dc 處於強制模式之前,非合規性 DC 不能支援與 Netlogon 安全通道的安全 RPC,請使用 「網網域控制站」新增 DC: [允許易受攻擊的 Netlogon 安全通道連線] 群組原則 如下所述。
警告允許 Dc 使用由群組原則易受攻擊的連線,讓目錄林容易受到攻擊。 最終目標應該是:從這個群組原則中處理並移除所有帳戶。
定址事件5829
當初次部署階段允許易受攻擊的連線時,會產生事件 ID 5829。 當 DCs 處於強制模式時,這些連線將遭到拒絕。 在這些事件中,您可以專注于電腦名稱稱、網域和作業系統版本,以決定不符合的裝置,以及如何解決這些裝置問題。
處理不合規裝置的方法:
-
建議使用請與裝置製造商(OEM)或軟體供應商合作,以取得安全 RPC (Netlogon 安全通道):
-
如果不符合的裝置支援使用 Netlogon 安全通道的安全 RPC,請在裝置上啟用 secure RPC。
-
如果不符合的裝置目前不支援使用 Netlogon 安全通道的安全 RPC,請與裝置製造商或軟體廠商聯繫,取得允許啟用與 Netlogon 安全通道之安全 RPC 的更新。
-
撤出不相容的裝置。
-
-
易受攻擊如果在 Dc 處於強制模式之前,非合規裝置不能支援使用 Netlogon 安全通道的安全 RPC,請使用 「網網域控制站」新增裝置: [允許易受攻擊的 Netlogon 安全通道連線] 群組原則 如下所述。
警告允許裝置帳戶以群群組原則使用易受攻擊的連線,將這些廣告帳戶置於風險中。 最終目標應該是:從這個群組原則中處理並移除所有帳戶。
允許從協力廠商裝置進行易受攻擊的連線
使用 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則 新增不合規的帳戶。 只有在按照上述步驟處理不符合的裝置之前,才應考慮使用短期的修正方法。 附注 允許易受攻擊的來自不合規裝置的連線可能會受到未知的安全性影響,因此應謹慎使用。
-
已建立帳戶的安全性群組,將允許使用易受攻擊的 Netlogon 安全通道。
-
在群組原則中,移至 [電腦設定] > Windows 設定 > 安全性設定 > 本地原則 > 安全性選項
-
如果 [系統管理員] 群組或您沒有專門建立用來使用這個群組原則的群組,請將它移除。
-
將專門用於這個群組原則的安全性群組新增至含有 "Allow" 許可權的安全性描述項。 附注「拒絕」許可權的運作方式與未新增該帳戶相同,例如, 帳戶將不允許您執行易受攻擊的 Netlogon 安全通道。
-
新增安全性群組之後,群組原則必須複製到每個 DC。
-
定期監視事件5827、5828和5829,以判斷哪些帳戶正在使用易受攻擊的安全通道連線。
-
視需要將這些電腦帳戶新增到安全性群組。 最佳做法使用群組原則中的安全性群組,並將帳戶新增到群組,這樣就能透過一般的 AD 複製來複製成員資格。 這樣可避免經常發生群組原則更新及複寫延遲。
解決所有不符合的裝置之後,您可以將 Dc 移至強制模式(請參閱下一節)。
警告允許 Dc 使用容易受攻擊的信任帳戶連線,讓目錄林容易受到攻擊。 信任帳戶通常是在信任網域之後命名,例如: 網域 a 中的 DC 與網域 a 中的 DC 有信任。 網域 a 中的 DC 內部有一個信任帳戶,其名稱為「網域-b $」,代表網域-b 的信任物件。 如果網域 a 中的網域想要公開目錄林,讓其受到網域-b 信任帳戶中易受攻擊的 Netlogon 安全通道連線,系統管理員可以使用 adgroupmember –身分識別「安全性群組名稱」-成員「網域-b $」,將信任帳戶新增至安全性群組。
步驟3a: 啟用
在2月2021強制執行階段之前移至強制模式
在所有不符合的裝置都經過解決之後,您可以啟用安全 RPC,或允許易受攻擊的連線與 」網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則,請將 FullSecureChannelProtection 登錄機碼設定為1。
附注如果您使用 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則,請先確認已將群組原則複製並套用到所有 Dc,再設定 FullSecureChannelProtection 登錄機碼。
當部署 FullSecureChannelProtection 登錄機碼時,Dc 將處於強制執行模式。 此設定要求所有使用 Netlogon 安全通道的裝置都:
-
使用安全 RPC。
警告當部署的 DC強制模式登錄時,不支援安全 RPC 的協力廠商用戶端將會中斷生產服務,因此會遭到拒絕。
步驟3b: 強制執行階段
部署2021更新
部署2021年2月9日发行的更新将会开启 DC强制执行模式。 當網域強制執行模式是使用 secure RPC 所需的所有 Netlogon 連線,或帳戶必須已新增至 「網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 目前不再需要 FullSecureChannelProtection 登錄機碼,將不再支援。
「網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」群組原則
最佳做法是使用群組原則中的安全性群組,以便透過一般 AD 複製來複製成員資格。 這樣可避免經常發生群組原則更新及複寫延遲。
|
原則路徑和設定名稱 |
描述 |
|
原則路徑: [電腦設定] > Windows 設定 > 安全性設定 > 本地原則 > 安全性選項] 需要重新開機嗎? 否 |
此安全性設定決定了網網域控制站是否為指定電腦帳戶的 Netlogon 安全通道連線跳過安全 RPC。 若要將此原則套用到樹林中的所有網網域控制站,請啟用網網域控制站 OU 中的原則。 設定易受攻擊的連線清單(允許清單)時:
警告啟用此原則會暴露您加入網域的裝置和 Active Directory 林,這樣可能會導致風險。 當您部署更新時,應使用這個原則做為協力廠商裝置的臨時性度量。 當協力廠商裝置更新為支援使用安全 RPC 和 Netlogon 安全通道時,應將該帳戶從建立易受攻擊的連線清單中移除。 若要更清楚地瞭解設定允許使用易受攻擊的 Netlogon 安全通道連線的帳戶,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 預設 未設定此原則。 使用 Netlogon 安全通道連線強制執行,沒有任何電腦或信任帳戶完全免于使用。 Windows Server 2008 R2 SP1 及更新版本支援此原則。 |
Windows 事件記錄與 CVE-2020-1472 相關的錯誤
活動有三種類別:
1. 由於嘗試使用易受攻擊的 Netlogon 安全通道連線而導致連線被拒所記錄的事件:
-
5827(電腦帳戶)錯誤
-
5828(信任帳戶)錯誤
2. 由於帳戶已新增至 「網網域控制站」而允許連線時記錄的事件: 允許易受攻擊的 Netlogon 安全通道連線「群組原則:
-
5830(電腦帳戶)警告
-
5831(信任帳戶)警告
3. 當初次發行時允許連線時記錄的事件,在 DC強制執行模式中將遭到拒絕:
-
5829(電腦帳戶)警告
事件識別碼5827
當來自機器帳戶的易受攻擊的 Netlogon 安全通道連線時,系統會記錄事件 ID 5827。
|
事件記錄 |
[系統] |
|
事件來源 |
NETLOGON |
|
事件識別碼 |
5827 |
|
等級 |
錯誤 |
|
活動訊息文字 |
Netlogon 服務拒絕來自電腦帳戶的易受攻擊的 Netlogon 安全通道連線。 電腦 SamAccountName: 網域: 帳戶類型: 電腦作業系統: 電腦作業系統組建: 電腦作業系統 Service Pack: 如需有關為什麼遭到拒絕的詳細資訊,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 |
事件識別碼5828
當來自信任帳戶的易受攻擊的 Netlogon 安全通道連線時,系統會記錄事件 ID 5828。
|
事件記錄 |
[系統] |
|
事件來源 |
NETLOGON |
|
事件識別碼 |
5828 |
|
等級 |
錯誤 |
|
活動訊息文字 |
Netlogon 服務使用信任帳戶拒絕了易受攻擊的 Netlogon 安全通道連線。 帳戶類型: 信任名稱: 信任目標: 用戶端 IP 位址: 如需有關為什麼遭到拒絕的詳細資訊,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 |
事件識別碼5829
當允許受攻擊的 Netlogon 安全通道連線時,系統會將事件 ID 5829 記錄在 初始部署階段。
當部署 DC 強制執行模式,或當 強制執行階段于2月9日(2021更新)部署啟動之後,這些連線將遭到拒絕,且會記錄事件 ID 5827。 這就是為什麼在初始部署階段監視事件5829,並在強制執行階段之前採取行動以避免中斷的原因。
|
事件記錄 |
系統 |
|
事件來源 |
NETLOGON |
|
事件識別碼 |
5829 |
|
高 |
注意 |
|
活動訊息文字 |
Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線。 警告: 一旦發行強制執行階段,此連線就會遭到拒絕。 若要更進一步瞭解強制執行階段,請造訪HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 電腦 SamAccountName: 網域: 帳戶類型: 電腦作業系統: 電腦作業系統組建: 電腦作業系統 Service Pack: |
事件識別碼5830
當 「網網域控制站」允許易受攻擊的 Netlogon 安全通道電腦帳戶連線時,系統會記錄事件 ID 5830: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
|
事件記錄 |
[系統] |
|
事件來源 |
NETLOGON |
|
事件識別碼 |
5830 |
|
等級 |
警告 |
|
活動訊息文字 |
Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線,因為「網網域控制站:」允許使用電腦帳戶: 允許易受攻擊的 Netlogon 安全通道連線」群組原則。 警告: 使用易受攻擊的 Netlogon 安全通道會公開加入網域的裝置,以進行攻擊。 若要保護您的裝置不受攻擊,請從「網域控制站:」移除電腦帳戶。 在協力廠商 Netlogon 用戶端更新之後,允許易受攻擊的 Netlogon 安全通道連線」群組原則。 若要更進一步瞭解設定允許使用易受攻擊的 Netlogon 安全通道連線的電腦帳戶的風險,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 電腦 SamAccountName: 網域: 帳戶類型: 電腦作業系統: 電腦作業系統組建: 電腦作業系統 Service Pack: |
事件識別碼5831
當 「網網域控制站」允許易受攻擊的 Netlogon 安全通道信任帳戶連線時,系統會記錄事件 ID 5831: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
|
事件記錄 |
[系統] |
|
事件來源 |
NETLOGON |
|
事件識別碼 |
5831 |
|
等級 |
警告 |
|
活動訊息文字 |
Netlogon 服務允許易受攻擊的 Netlogon 安全通道連線,因為「網網域控制站:」允許信任帳戶。 允許易受攻擊的 Netlogon 安全通道連線」群組原則。 警告: 使用易受攻擊的 Netlogon 安全通道將公開 Active Directory 林,以便攻擊。 為了防止您的 Active Directory 林受到攻擊,所有的信任都必須使用安全 RPC 和 Netlogon 安全通道。 從「網域控制站:」移除信任帳戶。 「允許易受攻擊的 Netlogon 安全通道連線」」群組原則:在網域控制站上的協力廠商 Netlogon 用戶端更新之後。 若要更清楚地瞭解設定信任帳戶以使用易受攻擊的 Netlogon 安全通道連線的風險,請造訪 HTTPs://go.microsoft.com/fwlink/?linkid=2133485。 帳戶類型: 信任名稱: 信任目標: 用戶端 IP 位址: |
強制模式的登錄值
如果您使用「登錄編輯程式」或其他方法無法正確修改登錄,可能會發生 警告。 這些問題可能會要求您重新安裝作業系統。 Microsoft 不保證這些問題都能順利解決。 請自行承擔修改登錄的風險。
2020年8月11日的更新會引入以下登錄設定,以便提早啟用強制模式。 這項功能會啟用,無論強制執行階段中的哪個登錄設定(從2021年2月9日起)開始:
|
登錄子機碼 |
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
鍵值 |
FullSecureChannelProtection |
|
資料類型 |
REG_DWORD |
|
資料 |
1:這會啟用 [強制執行] 模式。 Dc 將拒絕易受攻擊的 Netlogon 安全通道連線,除非您在 「網網域控制站」中建立易受攻擊的連線清單允許帳戶: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 0– DCs 可讓非 Windows 裝置執行易受攻擊的 Netlogon 安全通道連線。 此選項會在強制執行階段中被取代。 |
|
需要重新開機嗎? |
否 |
協力廠商裝置的實施方式 [NRPC]: Netlogon 遠端通訊協定
所有協力廠商用戶端或伺服器都必須使用安全 RPC 和 Netlogon 安全通道。 請與裝置製造商(OEM)或軟體廠商聯繫,以判斷其軟體是否與最新的 Netlogon 遠端通訊協定相容。
您可以在 Windows 通訊協定的 [檔] 網站上找到通訊協定更新。
常見問題(FAQ)
-
Windows & 在 Active Directory (AD)中安裝電腦帳戶的協力廠商網域裝置
-
Windows Server & 信任的 & 中的協力廠商網網域控制站信任在 AD 中擁有信任帳戶的網域
協力廠商裝置可能不合規。 如果您的協力廠商解決方案在 AD 中維護電腦帳戶,請與該廠商聯繫,判斷您是否受到影響。
當驗證 DC 上的 AD 和 Sysvol 複製或群組原則應用程式失敗時,可能會導致變更群組原則 "網網域控制站: 「允許易受攻擊的 Netlogon 安全通道連線」群組原則 不存在,並導致帳戶遭到拒絕。
下列步驟可能有助於解決問題:
-
如果您將原則設定為包含群組,並將群組成員資格變更新增至 [新增] 帳戶,請檢查已拒絕連線的 DC 已在本機上複製組成員資格變更。 附注不建議直接將帳戶新增到群組原則。
-
如果您變更了原則,並新增帳戶或新的群組,請檢查是否已複製並套用原則變更: 執行命令gpupdate/force和gpresult/h
-
如需有關群群組原則應用程式和相關元件疑難排解的詳細資訊,請參閱下列主題:
根據預設,已完全更新的 受支援 Windows 版本不應使用易受攻擊的 Netlogon 安全通道連線。 如果 Windows 裝置系統事件記錄中記錄了事件 ID 5827:
-
確認裝置執行的是 支援的 Windows 版本。
-
請確保已從 Windows Update 完全更新裝置。
-
檢查以確認 網域成員: 若要以數位加密或簽署安全通道資料(always),請在連結至 OU 的 GPO (例如預設網網域控制站 GPO)中設定為啟用。
是的,應更新,但不會特別容易受到CVE-2020-1472 的影響。
沒有,DCs 是唯一受CVE-2020-1472影響的角色,且可以獨立于非 DC Windows server 和其他 Windows 裝置進行更新。
Windows Server 2008 SP2 不容易受到此特定 CVE 的影響,因為它不會使用 AES 來進行安全 RPC。
是,您需要延長安全性更新(ESU)以安裝 Windows Server 2008 R2 SP1 版的CVE-2020-1472 的更新。
將八月11、2020或更新版本部署到您環境中的所有網網域控制站。
確保所有裝置都不會新增至 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則 擁有企業系統管理員或網域-系統管理許可權服務,例如 SCCM 或 Microsoft Exchange。 附注 允許清單中的任何裝置都可使用易受攻擊的連線,並可能讓您的環境暴露于攻擊中。
安裝在網域控制站上發行的2020或更新版本中所發行的更新,可保護以 Windows 為基礎的電腦帳戶、[信任帳戶] 和 [網網域控制站] 帳戶。
已加入網域的 Active Directory 電腦帳戶協力廠商裝置在部署強制模式之前 不 受保護。 如果將電腦帳戶not 新增至 [網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
請確定您環境中的所有網網域控制站都已安裝8月11日、2020或更新版本。
已新增至 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線」 [群組原則 將容易受到攻擊。
請確定您環境中的所有網網域控制站都已安裝8月11日、2020或更新版本。
[強制執行] 模式拒絕易受攻擊且不合規的協力廠商裝置身分識別。
附注 在啟用強制模式的情況下,已新增至 [網網域控制站] 的任何協力廠商裝置身分識別: 「允許易受攻擊的 Netlogon 安全通道連線」」群組原則 仍然易受攻擊,並可讓攻擊者未經授權存取您的網路或裝置。
[強制模式] 會告訴網網域控制站不允許來自不使用安全 RPC 的裝置的 Netlogon 連線,除非這些裝置帳戶已新增至 "網網域控制站: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。
如需詳細資訊,請參閱強制執行模式區段的登錄值。
只要在 Netlogon 安全通道上啟用 Secure RPC,裝置的電腦帳戶就不能在 Netlogon 安全通道上啟用安全 RPC。 建議讓這些裝置合規或取代這些裝置以保護您的環境。
攻擊者可以接管新增至群組原則的任何電腦帳戶的 Active Directory 電腦身分識別,進而運用機器身分識別的任何許可權。
如果您的協力廠商裝置不支援 Netlogon 安全通道的安全 RPC,而您想要啟用強制模式,那麼您應將該裝置的電腦帳戶新增至群組原則。 我們不建議您這麼做,而且可能會讓網域離開可能易受攻擊的狀態。 建議使用這個群組原則,以允許時間更新或取代任何協力廠商裝置,以使其符合合規性。
應儘快啟用強制執行模式。 任何協力廠商裝置都必須透過符合規範或新增至 「網網域控制站」來解決: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 附注 允許清單中的任何裝置都可使用易受攻擊的連線,並可能讓您的環境暴露于攻擊中。
詞條
|
二項式 |
巨集定義 |
|
特定 |
Active Directory |
|
直流 |
網網域控制站 |
|
可讓您在2月 9 2021 日之前啟用強制模式的登錄機碼。 |
|
|
从2月9日起,您将会在所有 Windows 网域控制器上启用强制模式的2021更新,无论登录的是什么。 如果不是将装置新增至 「域控制器」,DCs 就会拒绝来自所有不合规装置的易受攻击的联机: 允許易受攻擊的 Netlogon 安全通道連線「群組原則。 |
|
|
階段自2020年8月11日起,並持續更新,直到執行階段為止。 |
|
|
電腦帳戶 |
也稱為 Active Directory 電腦或電腦物件。 如需完整的定義,請參閱 NPRC 詞彙表 。 |
|
Microsoft Netlogon 遠端通訊協定 |
|
|
非合規裝置 |
不相容的裝置是使用易受攻擊的 Netlogon 安全通道連線的裝置。 |
|
RODC |
唯讀網網域控制站 |
|
易受攻擊的連線 |
易受攻擊的連結是無法使用安全 RPC 的 Netlogon 安全通道連線。 |
