目录
步骤 2a:查找 - 使用事件 ID 5829 检测不合规设备
步骤 3a:启用 - 在 2021-02-09 更新之前转向强制模式
1、技术概述
Netlogon Remote Protocol(MS-NRPC)是一个 RPC 接口,专供加入域的设备使用。MS-NRPC 包括认证方法和建立 Netlogon 安全通道的方法。这些更新强制指定的 Netlogon 客户端行为使用安全 RPC 与成员计算机和 AD 域控制器之间的 Netlogon 安全通道。
此安全更新通过在解决 Netlogon 漏洞 CVE-2020-1472 的更新时间部分中解释的分阶段版本中使用 Netlogon 安全通道时强制执行安全 RPC 来解决漏洞。为了提供 AD 林保护,必须更新所有 DC,因为它们将使用 Netlogon 安全通道强制执行安全 RPC。这包括只读域控制器(RODC)。
2、时间线
1)初始部署阶段(2020-08-11)
初始部署阶段从 2020-08-11 发布的更新开始,并继续进行后续更新,直到实施阶段。这些和更高版本的更新对 Netlogon 协议进行了更改,以在默认情况下保护 Windows 设备,记录不合规设备发现的事件,并增加了为所有加入域的设备启用保护的能力,但有明确的例外。本次发布:
- 为基于 Windows 的设备上的计算机帐户强制使用安全的 RPC。
- 为信任帐户强制使用安全的 RPC。
- 为所有 Windows 和非 Windows DC 强制使用安全的 RPC。
- 包括新的组策略以允许不合规的设备帐户(使用易受攻击的 Netlogon 安全通道连接的设备帐户)。即使 DC 在强制模式下运行或在强制阶段开始后,允许的设备也不会被拒绝连接。
- FullSecureChannelProtection 注册表项,用于为所有计算机帐户启用 DC 强制模式(强制阶段会将 DC 更新为 DC 强制模式)。
- 包括在 DC 强制模式下帐户被拒绝或将被拒绝时的新事件(并将在强制阶段继续)。本文稍后将解释特定的事件 ID。
缓解措施包括在所有 DC 和 RODC 上安装更新、监视新事件以及解决使用易受攻击的 Netlogon 安全通道连接的不合规设备。可以允许不合规设备上的机器帐户使用易受攻击的 Netlogon 安全通道连接;但是,应该更新它们以支持 Netlogon 的安全 RPC,并尽快强制执行帐户以消除攻击风险。
2)执行阶段(2021-02-09)
2021-02-09 的发布标志着过渡到强制执行阶段。无论强制模式注册表项是什么,DC 现在都将处于强制模式。这要求所有 Windows 和非 Windows 设备将安全 RPC 与 Netlogon 安全通道一起使用,或者通过为不合规设备添加例外来明确允许该帐户。本次发布:
- 除非 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略允许,否则对基于非 Windows 的设备上的计算机帐户强制使用安全的 RPC。
- 将删除事件 ID 5829 的日志记录。由于所有易受攻击的连接都被拒绝,您现在只会在系统事件日志中看到事件 ID 5827 和 5828。
- 管理员将无法禁用或覆盖强制模式。
3、部署指南 - 部署更新并强制执行合规性
初始部署阶段将包括以下步骤:
1)将 2020-08-11 的更新部署到林中的所有 DC。
2)a - 监视警告事件和
b - 对每个事件采取行动。
3)a 一旦解决了所有警告事件,就可以通过部署 DC 强制模式启用全面保护。
b 所有警告都应在 2021-02-09 执行阶段更新之前解决。
步骤 1:更新 - 部署 2020-08-11 的更新
将 2020-08-11 的更新部署到林中所有适用的域控制器,包括只读域控制器。部署此更新后,打补丁的 DC 将:
- 开始对所有基于 Windows 的设备帐户、信任帐户和所有 DC 强制使用安全的 RPC。
- 如果连接被拒绝,则在系统事件日志中记录事件 ID 5827 和 5828。
- 如果 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略允许连接,则在系统事件日志中记录事件 ID 5830 和 5831。
- 只要允许存在易受攻击的 Netlogon 安全通道连接,就会在系统事件日志中记录事件 ID 5829。这些事件应在配置 DC 强制模式之前或强制阶段于 2021-02-09 开始之前解决。
步骤 2a:查找 - 使用事件 ID 5829 检测不合规设备
2020-08-11 更新应用于 DC 后,可以在 DC 事件日志中收集事件,以确定您的环境中哪些设备正在使用易受攻击的 Netlogon 安全通道连接(本文中称为不合规设备)。监视已修补的 DC 的事件 ID 5829 事件,这些事件将包括用于识别不合规设备的相关信息。
要监视事件,请使用可用的事件监视软件或使用
脚本监视 DC。
步骤 2b:地址
1)处理事件 ID=5827 和 5828
默认情况下,已完全更新的受支持 Windows 版本不应使用易受攻击的 Netlogon 安全通道连接。如果 Windows 设备的系统事件日志中记录了以下事件之一:
- 确认设备正在运行受支持的 Windows 版本。
- 确保设备已完全更新。
- 检查组策略,已启用 Domain member: Digitally encrypt or sign secure channel data (always)。
对于充当 DC 的非 Windows 设备,当使用易受攻击的 Netlogon 安全通道连接时,这些事件将记录在系统事件日志中。如果记录了以下事件之一:
-
推荐:建议与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全通道获得对安全 RPC 的支持:
+ 如果不合规的 DC 支持使用 Netlogon 安全通道的安全 RPC,则在 DC 上启用安全 RPC。
+ 如果不合规的 DC 当前不支持安全 RPC,请与设备制造商(OEM)或软件供应商合作以获取支持使用 Netlogon 安全通道的安全 RPC 的更新。
+ 淘汰不合规的 DC。
-
易受攻击:
如果在 DC 处于强制模式之前,不合规的 DC 无法通过 Netlogon 安全通道支持安全 RPC,请使用 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略添加 DC。
2)处理
事件 ID=5829
如果在初始部署阶段允许存在易受攻击的连接,则会生成事件 ID 5829。当 DC 处于强制模式时,这些连接将被拒绝。在这些事件中,重点关注识别的机器名称、域和操作系统版本,以确定不合规的设备以及需要如何处理它们。
解决不合规设备的方法:
-
推荐:建议与设备制造商(OEM)或软件供应商合作,通过 Netlogon 安全通道获得对安全 RPC 的支持:
+ 如果不合规的 DC 支持使用 Netlogon 安全通道的安全 RPC,则在 DC 上启用安全 RPC。
+ 如果不合规的 DC 当前不支持安全 RPC,请与设备制造商(OEM)或软件供应商合作以获取支持使用 Netlogon 安全通道的安全 RPC 的更新。
+ 淘汰不合规的 DC。
-
易受攻击:
如果在 DC 处于强制模式之前,不合规的 DC 无法通过 Netlogon 安全通道支持安全 RPC,请使用 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略添加 DC。
3)允许来自 3rd 方设备的易受攻击的连接
使用 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略添加不合规的帐户。在如上所述解决不合规设备之前,这仅应被视为一种短期补救措施。注意,允许来自不合规设备的易受攻击的连接可能会产生未知的安全影响,应谨慎允许。
- 为允许使用易受攻击的 Netlogon 安全通道的帐户创建了一个安全组。
- 在组策略中,定位到:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
- 找到设置:Domain controller: Allow vulnerable Netlogon secure channel connections
- 如果存在管理员组或任何不是专门为与此组策略一起使用而创建的组,请将其删除。
- 将专门用于此组策略的安全组添加到具有 Allow 权限的安全描述符。注意 Deny 权限的行为方式与未添加帐户的方式相同,即不允许帐户创建易受攻击的 Netlogon 安全通道。
- 添加安全组后,组策略必须确保复制到每个 DC。
- 定期监视事件 5827、5828 和 5829,以确定哪些帐户正在使用易受攻击的安全通道连接。
- 根据需要将这些计算机帐户添加到安全组。
一旦解决了所有不合规的设备,您就可以将 DC 移至强制模式。
步骤 3a:启用 - 在 2021-02-09 更新之前转向强制模式
在解决了所有不合规的设备后,通过启用安全 RPC 或通过 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略允许易受攻击的连接,将 FullSecureChannelProtection 注册表项设置为 1。(注意,如果先使用并复制组策略,再设置 FullSecureChannelProtection 注册表项)
部署 FullSecureChannelProtection 注册表项后,DC 将处于强制模式。此设置要求所有使用 Netlogon 安全通道的设备:
- 使用安全 RPC。
- 在 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略中允许。
警告,当部署 DC 强制模式注册表项时,不支持使用 Netlogon 安全通道连接的安全 RPC 的第三方客户端将被拒绝,这可能会中断生产服务。
步骤 3b:执行阶段 - 部署 2021-02-09 更新
部署 2021 年 2 月 9 日或之后发布的更新将打开 DC 强制模式。DC 强制模式是当所有 Netlogon 连接都需要使用安全 RPC 或帐户必须已添加到 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略时。此时,不再需要 FullSecureChannelProtection 注册表项,并且将不再受支持。
4、相关组策略
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Domain controller: Allow vulnerable Netlogon secure channel connections = Deny(默认值)
- 无需重启服务器。
- 应当确保将该组策略复制到林中所有域控制器。
- 最佳做法是在组策略中使用安全组,以便通过正常的 AD 复制来复制成员资格。这避免了频繁的组策略更新和复制延迟。
- Windows Server 2008 R2 SP1 及更高版本支持此策略。
5、强制模式中的注册表键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
FullSecureChannelProtection(REG_DWORD)= 1
- 1:这将启用强制模式。DC 将拒绝易受攻击的 Netlogon 安全通道连接,除非 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略中的 Create Vulnerable Connection 列表允许该帐户。
- 0:DC 将允许来自非 Windows 设备的易受攻击的 Netlogon 安全通道连接。此选项将在强制阶段版本中被弃用。
- 无需重启服务器。
6、相应 Windows 事件日志
1)连接因尝试连接易受攻击的 Netlogon 安全通道而被拒绝时记录的事件:
- 5827(机器长湖)错误
Event log: System
Event source: NETLOGON
Event ID: 5827
Level: Error
Event message text:
The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
Machine SamAccountName:
Domain:
Account Type:
Machine Operating System:
Machine Operating System Build:
Machine Operating System Service Pack:
For more information about why this was denied, please visit https://go.microsoft.com/fwlink/?linkid=2133485.- 5828(信任帐户)错误
Event log: System
Event source: NETLOGON
Event ID: 5828
Level: Error
Event message text:
The Netlogon service denied a vulnerable Netlogon secure channel connection using a trust account.
Account Type:
Trust Name:
Trust Target:
Client IP Address:
For more information about why this was denied, please visit https://go.microsoft.com/fwlink/?linkid=2133485.2)由于帐户已添加到 Domain controller: Allow vulnerable Netlogon secure channel connections 组策略而允许连接时记录的事件:
- 5830(机器账户)警告
Event log: System
Event source: NETLOGON
Event ID: 5829
Level: Warning
Event message text:
The Netlogon service allowed a vulnerable Netlogon secure channel connection.
Warning: This connection will be denied once the enforcement phase is released. To better understand the enforcement phase, please visit https://go.microsoft.com/fwlink/?linkid=2133485.
Machine SamAccountName:
Domain:
Account Type:
Machine Operating System:
Machine Operating System Build:
Machine Operating System Service Pack: - 5831(信任帐户)警告
Event log: System
Event source: NETLOGON
Event ID: 5830
Level: Warning
Event message text:
The Netlogon service allowed a vulnerable Netlogon secure channel connection because the machine account is allowed in the "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy.
Warning: Using vulnerable Netlogon secure channels will expose the domain-joined devices to attack. To protect your device from attack, remove a machine account from "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy after the third-party Netlogon client has been updated. To better understand the risk of configuring machine accounts to be allowed to use vulnerable Netlogon secure channel connections, please visit https://go.microsoft.com/fwlink/?linkid=2133485.
Machine SamAccountName:
Domain:
Account Type:
Machine Operating System:
Machine Operating System Build:
Machine Operating System Service Pack:3)在初始版本中允许连接时记录的事件在 DC 强制模式中将被拒绝:
- 5829(机器账户)警告
Event log: System
Event source: NETLOGON
Event ID: 5831
Level: Warning
Event message text:
The Netlogon service allowed a vulnerable Netlogon secure channel connection because the trust account is allowed in the "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy.
Warning: Using vulnerable Netlogon secure channels will expose Active Directory forests to attack. To protect your Active Directory forests from attack, all trusts must use secure RPC with Netlogon secure channel. Remove a trust account from "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy after the third-party Netlogon client on the domain controllers have been updated. To better understand the risk of configuring trust accounts to be allowed to use vulnerable Netlogon secure channel connections, please visit https://go.microsoft.com/fwlink/?linkid=2133485.
Account Type:
Trust Name:
Trust Target:
Client IP Address:
https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e
2714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
