原始發布日期: 2025 年 8 月 13 日
KB 編號:5066014
本文內容:
摘要
CVE-2025-49716 解決了一個拒絕服務漏洞,其中遠端未經身份驗證的使用者可能會 (RPC) 進行一系列基於 Netlogon 的遠端過程調用,最終消耗域控制器 (DC) 上的所有記憶體。 為了緩解此漏洞,在 2025 年 5 月的 Windows Server 2025 Windows 安全性更新中進行了代碼更改,並在 2025 年 7 月的所有其他伺服器平台的 2025 年 7 月Windows 安全性 匯報中進行了代碼更改,從 Windows Server 2008SP2 到 Windows Server2022 年,包括在內。 此更新包括對 Microsoft RPC Netlogon 協議的安全性強化更改。 這項變更會加強一組遠端程序呼叫 (RPC) 要求的存取檢查,以改善安全性。 安裝此更新之後,Active Directory 網域控制站將不再允許匿名用戶端透過 Netlogon RPC 伺服器叫用某些 RPC 要求。 這些要求通常與網域控制站位置相關。
此變更後,某些檔案 & 列印服務軟體可能會受到影響,包括 Samba。 Samba 發布了更新以適應此更改。 請參閱 Samba 4.22.3 - 發行說明 以取得更多資訊。
為了因應無法更新受影響的第三方軟體,我們在 2025 年 8 月 Windows 安全性更新中發行了額外的設定功能。 此變更會在預設強制模式、記錄變更但不會封鎖未經驗證的 Netlogon RPC 呼叫的稽核模式,以及不建議 (停用模式之間實作登錄機碼型切換 ) 。
採取行動
若要保護您的環境並避免中斷,請先安裝最新的 Windows 更新,以更新裝載 Active Directory 網域控制站或 LDS 伺服器角色的所有裝置。 具有 2025 年 7 月 8 日或更新版本的 DC Windows 安全性 匯報 (或 Windows Server 2025 年 DC 具有 5 月更新) ,預設為安全,而且預設不接受未經驗證的 Netlogon 型 RPC 呼叫。 具有 2025 年 8 月 12 日或更新版本Windows 安全性 匯報的 DC 預設不會接受未經驗證的 Netlogon 型 RPC 呼叫,但可以設定為暫時執行此動作。
-
監視您的環境是否有存取問題。 如果遇到,請確認 Netlogon RPC 強化變更是否是根本原因。
-
如果只安裝 7 月更新,請使用命令 “Nltest.exe /dbflag:0x2080ffff” 啟用詳細的 Netlogon 記錄,然後監視產生的記錄,以取得類似下列行的專案。 OpNum 和 Method 欄位可能會有所不同,並代表遭到封鎖的作業和 RPC 方法:
06/23 10:50:39 [嚴重] [5812] NlRpcSecurityCallback:拒絕來自 [IPAddr] OpNum:34 方法:DsrGetDcNameEx2 的未經授權的 RPC 呼叫
-
如果安裝了 8 月或之後的 Windows 更新,請在 DC 上尋找 Security-Netlogon 事件 9015,以判斷拒絕哪些 RPC 呼叫。 如果這些呼叫很重要,您可以在故障排除時暫時將DC置於審核模式或禁用模式。
-
進行變更,讓應用程式使用已驗證的 Netlogon RPC 呼叫,或連絡您的軟體廠商以取得進一步資訊。
-
-
如果您將 DC 置於稽核模式,請監視 Security-Netlogon 事件 9016,以判斷如果您開啟強制模式,會拒絕哪些 RPC 呼叫。 然後進行變更,讓應用程式使用已驗證的 Netlogon RPC 呼叫,或連絡您的軟體廠商以取得進一步資訊。
附註: 在 Windows 2008 SP2 和 Windows 2008 R2 伺服器上,這些事件會在系統事件記錄檔中分別看到為強制模式和稽核模式的 Netlogon 事件 5844 和 5845。
Windows 更新的時程
這些 Windows 更新分幾個階段發布:
-
2025 Windows Server 的初始變更 (2025 年 5 月 13 日) – 針對未經驗證的 Netlogon 型 RPC 呼叫強化的原始更新包含在 2025 年 5 月的 2025 Windows Server 的 Windows 安全性 更新中。
-
2025 年 7 月 8 日 (其他伺服器平台的初始變更) – 針對其他伺服器平台未經驗證的 Netlogon 型 RPC 呼叫強化的更新包含在 2025 年 7 月的Windows 安全性 匯報中。
-
新增稽核模式和停用模式 (2025 年 8 月 12 日) – 2025 年 8 月Windows 安全性 匯報中包含預設的強制執行,其中包含稽核或停用模式選項。
-
刪除審核模式和禁用模式 (待定) – 稍後,審核和禁用模式可能會從操作系統中刪除。 本文將在確認更多細節後更新。
部署指引
如果您部署 8 月Windows 安全性 匯報,而且想要將 DC 設定為稽核或已停用模式,請使用適當的值部署下列登錄機碼。 不需要重新啟動。
|
路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
登錄值 |
DCLocatorRPCSecurityPolicy |
|
值類型 |
REG_DWORD |
|
數值資料 |
0 - 已停用模式1 - 稽核模式 2 - 強制模式 ( 預設) |
附註: 在稽核和停用模式下都允許未經驗證的要求。
新增事件
2025 年 8 月 12 日Windows 安全性 匯報還將在 Windows Server 2012 到 Windows Server 2022 域控制器上添加新的事件日誌:
|
事件記錄檔 |
Microsoft-Windows-安全性-Netlogon/操作 |
|
事件類型 |
資訊 |
|
事件識別碼 |
9015 |
|
事件文字 |
Netlogon 拒絕了 RPC 呼叫。 原則處於強制模式。 客戶資訊: 方法名稱:%method% 方法 opnum:%opnum% 客戶端地址:<IP 地址> 用戶端身分識別:<來電者 SID> 如需詳細資訊,請參閱 https://aka.ms/dclocatorrpcpolicy。 |
|
事件記錄檔 |
Microsoft-Windows-安全性-Netlogon/操作 |
|
事件類型 |
資訊 |
|
事件識別碼 |
9016 |
|
事件文字 |
Netlogon 允許通常會遭到拒絕的 RPC 呼叫。 原則處於稽核模式。 客戶資訊: 方法名稱:%method% 方法 opnum:%opnum% 客戶端地址:<IP 地址> 用戶端身分識別:<來電者 SID> 如需詳細資訊,請參閱 https://aka.ms/dclocatorrpcpolicy。 |
附註: 在 Windows 2008 SP2 和 Windows 2008 R2 伺服器上,這些事件會在系統事件記錄檔中分別看到為強制和稽核模式的 Netlogon 事件 5844 和 5845。
常見問題 (常見問題)
未使用 2025 年 7 月 8 日Windows 安全性 匯報或更新版本更新的 DC 仍會允許未經驗證的 Netlogon 型 RPC 呼叫 & 不會記錄與此弱點相關的事件。
使用 2025 年 7 月 8 日Windows 安全性 匯報更新的 DC 將不允許未經驗證的 Netlogon 型 RPC 呼叫,但不會在封鎖這類呼叫時記錄事件。
根據預設,使用 2025 年 8 月 12 日Windows 安全性 匯報或更新版本更新的 DC 將不允許未經驗證的 Netlogon 型 RPC 呼叫,並在封鎖這類呼叫時記錄事件。
否。
