How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
适用于: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions 详细
我们希望以您的语言尽快提供最新帮助内容。 此页面已通过自动化进行翻译,可能包含语法错误或不准确之处。 我们的目的是使此内容对您有用。 能否在本页底部告知我们信息是否对您有所帮助?
查看原始英文文章:4557222
摘要
Netlogon 远程协议 (也称为 MS-NRPC) 是由加入域的设备专门使用的 RPC 接口。 MS-NRPC 包括身份验证方法和建立 Netlogon 安全通道的方法。 这些更新强制指定的 Netlogon 客户端行为将安全 RPC 与成员计算机和 Active Directory (AD) 域控制器 (DC) 之间的 Netlogon 安全通道配合使用。
此安全更新通过以下方式解决了此漏洞:使用 Netlogon 安全通道时,在 " 解决到解决 Netlogon 漏洞的最新解决方法 CVE-2020-1472" 部分中介绍的分阶段安全通道 。 为了提供广告林保护,必须更新所有 Dc,因为它们将强制使用 Netlogon 安全通道执行安全的 RPC。 这包括只读域控制器 (RODC) 。
若要了解有关该漏洞的详细信息,请参阅 CVE-2020-1472。
执行操作
若要保护环境并防止停机,必须执行以下操作:
- 使用2020年8月11日或更高版本发布的更新更新您的域控制器。
- 通过监视事件日志来查找哪些设备正在进行易受攻击的连接。
- 处理 不兼容的设备,使连接易受攻击。
- 启用强制模式以解决你的环境中的 CVE-2020-1472 。
注意在2020年8月11日或更高版本中发布的安装更新的步骤1将解决 Active Directory 域和信任以及 Windows 设备的 CVE-2020-1472 中的安全问题。 若要完全降低第三方设备的安全问题,您需要完成所有步骤。
警告 从2021年2月起,将在所有 Windows 域控制器上启用强制模式,并阻止 来自不兼容设备的易受攻击的连接。 此时,您将不能禁用强制模式。
注意 如果您使用的是 Windows Server 2008 R2 SP1,则 需要延长安全更新 (ESU) 许可证才能成功安装解决此问题的任何更新。 有关 ESU 计划的详细信息,请参阅 生命周期常见问题解答-扩展安全更新 。
在本文中:
- 摘要
- 解决地址 Netlogon 漏洞 CVE-2020-1472 的更新计时
- 部署指南-部署更新并强制实施合规性
- "域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略
- 与 CVE-2020-1472 相关的 Windows 事件日志错误
- 强制模式的注册表值
- 第三方设备实现 [MS-NRPC]: Netlogon 远程协议
- 常见问题 (常见问题)
- 词条
解决地址 Netlogon 漏洞 CVE-2020-1472 的更新计时
将在两个阶段发布更新:在2020年8月11日或之后(2021)或2月9日或之后发布的更新的强制执行阶段。
初始部署阶段从2020年8月11日发布的更新开始,并在 执行阶段之前继续更新。 在默认情况下,这些更新会更改 Netlogon 协议以保护 Windows 设备,并为不兼容的设备发现记录事件,并添加对所有加入域的设备进行保护的功能,并显示显式异常。 此版本:
- 对基于 Windows 的设备上的计算机帐户强制实施安全的 RPC 使用。
- 对信任帐户强制实施安全的 RPC 用法。
- 对所有 Windows 和非 Windows Dc 强制执行安全的 RPC 使用。
- 包含新的组策略,以允许不兼容的设备帐户 (使用易受攻击的 Netlogon 安全通道连接的设备帐户) 。 即使在强制模式下 或在强制执行阶段后运行 dc ,允许的设备也不会被拒绝连接。
-
FullSecureChannelProtection 注册表项若要为所有计算机帐户启用 DC强制模式 (强制阶段会将 DC 更新为 dc强制模式) 。
- 在帐户被拒绝或在 DC强制模式下被拒绝的情况下包含新事件 (并将在 "强制" 阶段) 中继续。 本文后面将介绍特定事件 Id。
缓解措施包括在所有 Dc 和 Rodc 上安装更新、监视新事件以及解决使用易受攻击的 Netlogon 安全通道连接的不兼容设备。 可以允许不兼容设备上的计算机帐户使用易受攻击的 Netlogon 安全通道连接;但是,应尽可能更新它们以支持 Netlogon 的安全 RPC,并尽快强制执行帐户以消除受攻击的风险。
2021年2月9日发布将切换标记为 "强制" 阶段。 Dc 现在将处于强制模式, 而不考虑强制模式注册表项。 这要求所有 Windows 和非 Windows 设备将安全 RPC 与 Netlogon 安全通道配合使用,或者通过为不兼容的设备添加例外来明确允许帐户。此版本:
- 对非 Windows 设备上的计算机帐户强制实施安全 RPC 使用,除非 " 域控制器允许:允许易受攻击的 Netlogon 安全通道连接 " 组策略。
- 将删除事件 ID 5829 的日志记录。 由于所有易受攻击的连接都被拒绝,你现在将仅在系统事件日志中看到事件 Id 5827 和5828。
部署指南-部署更新并强制实施合规性
初始部署阶段 将包含以下步骤:
- 将8 月11日的更新部署到林中的所有 dc。
- 为警告事件 () 监视器, (b) 对每个事件执行操作。
- () 解决所有警告事件后,可以通过部署 DC 强制模式启用完全保护。 (b) 应在2月9日(2021)执行阶段更新之前解决所有警告。
步骤1:更新
部署2020年8月11日的更新
将8月11日的更新部署到林中的所有适用域控制器 (Dc) ,包括只读域控制器 (Rodc) 。 部署此更新后,Dc 将:
- 开始为所有基于 Windows 的设备帐户、信任帐户和所有 Dc 强制实施安全的 RPC 用法。
- 如果连接被拒绝,则在系统事件日志中记录事件 Id 5827 和5828。
- 如果域控制器允许连接,则在系统事件日志中记录事件 Id 5830 和 5831 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略。
- 每当允许有漏洞的 Netlogon 安全通道连接时,系统事件日志中都会记录事件 ID 5829。 应在配置了 DC强制模式之前 或在2021年2月9日开始实施阶段之前解决这些事件。
步骤2a:查找
使用事件 ID 5829 检测不兼容的设备
在8月11日已将2020更新应用到 Dc 后,可以在 DC 事件日志中收集事件,以确定你的环境中使用易受攻击的 Netlogon 安全通道连接的设备 (在本文) 中称为不兼容的设备。 监控事件 ID 5829 事件的已修复 Dc。 这些事件将包含用于标识不合规设备的相关信息。
若要监视事件,请使用可用的事件监视软件或通过使用脚本监视 Dc。 有关 可适应你的环境的示例脚本,请参阅 脚本以帮助监视与适用于 CVE 的 Netlogon 更新相关的事件 id-2020-1472
步骤2b:地址
寻址事件 Id 5827 和5828
默认情况下,已完全更新的受支持的 Windows 版本 不应使用易受攻击的 Netlogon 安全通道连接。 如果以下事件之一记录在 Windows 设备的系统事件日志中:
- 确认设备运行的是 受支持的 Windows 版本。
- 确保设备已完全更新。
- 检查以确保 域成员:对安全通道数据进行数字加密或签名 (始终将) 设置为 "启用"。
对于充当 DC 的非 Windows 设备,当使用易受攻击的 Netlogon 安全通道连接时,将在系统事件日志中记录这些事件。 如果已记录以下事件之一:
- 推荐 与设备制造商 (OEM) 或软件供应商联系,获取有关使用 Netlogon 安全通道的安全 RPC 的支持
- 如果不符合的 DC 支持使用 Netlogon 安全通道的安全 RPC,则在 DC 上启用安全 RPC。
- 如果不符合的 DC 目前不支持安全的 RPC,请与设备制造商 (OEM) 或软件供应商联系,获取支持使用 Netlogon 安全通道的安全 RPC 的更新。
- 停用不兼容的 DC。
- 易受攻击 如果不符合的 DC 在 Dc 处于强制模式之前无法支持与 Netlogon 安全通道的安全 RPC,请使用域控制器添加 DC " :允许易受攻击的 Netlogon 安全通道连接 " 组策略。
警告 允许 Dc 通过组策略使用易受攻击的连接将使林易受攻击。 最终目标应该是从该组策略中寻址和删除所有帐户。
寻址事件5829
在初始部署阶段允许易受攻击的连接时,将生成事件 ID 5829。 当 Dc 处于 强制模式时,这些连接将被拒绝。 在这些事件中,重点关注计算机名称、用于确定不合规设备的域和操作系统版本以及它们的寻址方式。
解决不合规设备的方法:
- 推荐 与设备制造商 (OEM) 或软件供应商联系,获取有关使用 Netlogon 安全通道的安全 RPC 的支持:
- 如果不符合的设备支持使用 Netlogon 安全通道的安全 RPC,则在设备上启用安全 RPC。
- 如果不符合的设备当前不支持与 Netlogon 安全通道的安全 RPC,请与设备制造商或软件供应商联系,获取允许启用 Netlogon 安全通道安全的 RPC 的更新。
- 停用不兼容的设备。
- 易受攻击 如果不符合的设备在 Dc 处于强制模式之前无法支持与 Netlogon 安全通道的安全 RPC,请使用 " 域控制器添加设备: "允许易受攻击的 Netlogon 安全通道连接" " 组策略。
警告 允许设备帐户通过组策略使用易受攻击的连接会使这些广告帐户面临风险。 最终目标应该是从该组策略中寻址和删除所有帐户。
允许从第三方设备易受攻击连接
使用 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略 添加不合规的帐户。 只有在上述情况下才解决不符合的设备,才应将此项视为短期修复。 注意 允许来自不兼容设备的易受攻击的连接可能有未知的安全影响,因此应谨慎使用。
- 为将允许使用易受攻击的 Netlogon 安全通道的帐户 (s) 创建安全组。
- 在 "组策略" 中,转到 "计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项"
- 搜索 " 域控制器:允许易受攻击的 Netlogon 安全 " 通道连接。
- 如果 "管理员" 组或未特别创建用于 "组策略" 的任何组存在,请将其删除。
- 将专用于使用此组策略的安全组添加到具有 "允许" 权限的安全描述符 " " 。 注意 " " 拒绝" " 权限的行为方式与未添加帐户相同,即不允许帐户提供易受攻击的 Netlogon 安全通道。
- 添加安全组 (s) 后,组策略必须复制到每个 DC。
- 定期监视事件5827、5828和5829以确定哪些帐户使用易受攻击的安全通道连接。
- 根据需要将这些计算机帐户添加到安全组 (s) 。 最佳做法 使用组策略中的安全组并将帐户添加到组,以便通过正常的 AD 复制复制成员身份。 这样可以避免频繁的组策略更新和复制延迟。
一旦解决了所有不兼容的设备,你可以将 Dc 移动到 强制模式 (请参阅下一节) 。
警告 通过组策略,允许 Dc 对信任帐户使用易受攻击的连接将使林易受攻击。 信任帐户通常以受信任域为名称,例如:域 a 中的 DC 与域 b 中的 dc 有信任。 在内部,域 a 中的 DC 具有一个名为 " domain-b $ 的信任帐户, " 表示域 b 的信任对象。 如果域 a 中的 DC 希望通过允许来自域 b 信任帐户的易受攻击的 Netlogon 安全通道连接来公开林,管理员可以使用 – " 安全组 " 成员 " 域-b $ 的 adgroupmember 标识名称 " 将信任帐户添加到安全组。
步骤3a:启用
在2月2021实施阶段之前移到强制模式
在所有不符合的设备均已解决后,通过启用安全的 RPC 或允许与域控制器有漏洞的连接,请 " 执行以下操作:允许易受攻击的 Netlogon 安全通道连接 " 组策略,将 FullSecureChannelProtection 注册表项设置为1。
注意如果您使用的是 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略,请确保在设置 FullSecureChannelProtection 注册表项之前已将组策略复制并应用到所有 dc。
部署 FullSecureChannelProtection 注册表项时,Dc 将处于 强制模式。 此设置要求所有使用 Netlogon 安全通道的设备都可以:
- 使用安全的 RPC。
- 在 " 域控制器中允许:允许易受攻击的 Netlogon 安全通道连接 " 组策略。
警告’当部署 DC强制模式注册表项时,不支持与 Netlogon 安全通道连接的安全 RPC 的第三方客户端将被拒绝,这可能会中断生产服务。
步骤3b:强制阶段
部署2021年2月9日的更新
部署2021年2月9日或更高版本的更新将启用 DC 强制模式。 DC强制模式 是指所有 Netlogon 连接都需要使用安全 RPC,或者必须已将帐户添加到 " 域控制器:允许易受攻击的 netlogon 安全通道连接 " 组策略。 目前,不再需要 FullSecureChannelProtection 注册表项,并且将不再支持它。
"域控制器:允许易受攻击的 Netlogon 安全通道连接" 组策略
最佳做法是使用组策略中的安全组,以便成员身份通过常规 AD 复制进行复制。 这样可以避免频繁的组策略更新和复制延迟。
策略路径和设置名称 | 说明 |
策略路径:计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 是否需要重启? 否 | 此安全设置确定域控制器是否绕过针对指定计算机帐户的 Netlogon 安全通道连接的安全 RPC。 应通过在域控制器 OU 上启用策略来将此策略应用于林中的所有域控制器。 当创建易受攻击的连接列表时 ("允许列表") 已配置:
警告 启用此策略将公开你的加入域的设备和你的 Active Directory 林,这可能会导致这些设备发生风险。 在部署更新时,应将此策略用作第三方设备的临时度量值。 第三方设备更新为支持将安全 RPC 与 Netlogon 安全通道配合使用时,应从 "创建易受攻击的连接" 列表中删除该帐户。 若要更好地了解配置允许使用易受攻击的 Netlogon 安全通道连接的帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 默认:未配置此策略。 通过 Netlogon 安全通道连接强制,没有任何计算机或信任帐户显式免除安全 RPC。 此策略在 Windows Server 2008 R2 SP1 及更高版本中受支持。 |
与 CVE-2020-1472 相关的 Windows 事件日志错误
1. 由于尝试使用易受攻击的 Netlogon 安全通道连接而导致连接被拒绝时记录的事件:
-
5827 (计算机帐户) 错误
-
5828 (信任帐户) 错误
2.由于帐户已添加到域控制器而导致连接被允许时记录的事件 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略:
-
5830 () 警告的计算机帐户
-
5831 (信任帐户) 警告
3. 在初始发布中允许连接时记录的事件,在 DC 强制模式中将被拒绝:
-
5829 () 警告的计算机帐户
当来自计算机帐户的易受攻击的 Netlogon 安全通道连接被拒绝时,将记录事件 ID 5827。
事件日志 | 系统 |
事件源 | NETLOGON |
事件 ID | 5827 |
程度 | 错误 |
事件消息文本 | Netlogon 服务拒绝了来自计算机帐户的易受攻击的 Netlogon 安全通道连接。 计算机 SamAccountName: 域 帐户类型: 计算机操作系统: 计算机操作系统内部版本: 计算机操作系统 Service Pack: 有关拒绝原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 |
当来自信任帐户的易受攻击的 Netlogon 安全通道连接被拒绝时,将记录事件 ID 5828。
事件日志 | 系统 |
事件源 | NETLOGON |
事件 ID | 5828 |
程度 | 错误 |
事件消息文本 | Netlogon 服务使用信任帐户拒绝了易受攻击的 Netlogon 安全通道连接。 帐户类型: 信任名称: 信任目标: 客户端 IP 地址: 有关拒绝原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 |
仅 当允许来自计算机帐户的易受攻击的 Netlogon 安全通道连接时,才会在初始部署阶段 记录事件 ID 5829。
当部署 DC强制模式时 ,或者一旦 强制阶段在 2021 年2月9日的部署后启动,则这些连接将被拒绝,并且将记录事件 ID 5827。 这就是为什么在初始部署阶段监视事件5829并在实施阶段之前采取行动以避免中断的原因非常重要。
事件日志 | 系统 |
事件源 | NETLOGON |
事件 ID | 5829 |
程度 | 警告 |
事件消息文本 | Netlogon 服务允许受影响的 netlogon 安全通道连接。 警告:一旦实施阶段被释放,此连接将被拒绝。 若要更好地了解强制阶段, 请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 计算机 SamAccountName: 域 帐户 类型: 计算机操作系统: 计算机操作系统内部版本: 计算机操作系统 Service Pack: |
当域控制器允许受漏洞的 Netlogon 安全通道计算机帐户连接时,将记录事件 ID 5830 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。
事件日志 | 系统 |
事件源 | NETLOGON |
事件 ID | 5830 |
程度 | 警告 |
事件消息文本 | Netlogon 服务允许受影响的 Netlogon 安全通道连接,因为域控制器中允许使用计算机帐户 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。 警告:使用易受攻击的 Netlogon 安全通道将公开加入域的设备以进行攻击。 若要保护设备免受攻击,请从域控制器删除计算机帐户 " :在 " 更新第三方 netlogon 客户端后,允许有漏洞的 netlogon 安全通道连接组策略。 若要更好地了解配置计算机帐户以允许使用易受攻击的 Netlogon 安全通道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 计算机 SamAccountName: 域 帐户类型: 计算机操作系统: 计算机操作系统内部版本: 计算机操作系统 Service Pack: |
当域控制器允许受漏洞的 Netlogon 安全通道信任帐户连接时,将记录事件 ID 5831 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。
事件日志 | 系统 |
事件源 | NETLOGON |
事件 ID | 5831 |
程度 | 警告 |
事件消息文本 | Netlogon 服务允许受影响的 Netlogon 安全通道连接,因为域控制器中允许使用信任帐户 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。 警告:使用易受攻击的 Netlogon 安全通道将公开 Active Directory 林进行攻击。 为了保护您的 Active Directory 林免受攻击,所有信任都必须将安全 RPC 与 Netlogon 安全通道配合使用。 在 " " 域控制器上的第三方 Netlogon 客户端更新后,从域控制器删除信任帐户:允许易受攻击的 netlogon 安全通道连接组策略。 若要更好地了解配置允许使用易受攻击的 Netlogon 安全通道连接的信任帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。 帐户类型: 信任名称: 信任目标: 客户端 IP 地址: |
强制模式的注册表值
警告 如果您使用注册表编辑器或使用其他方法错误地修改注册表,可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 无法保证可以解决这些问题。修改注册表的风险由您自己承担。
2020年8月11日的更新引入 了以下注册表设置,以便尽早启用强制模式。 无论从2021年2月9日开始的强制阶段中的注册表设置如何,都将启用此操作:
注册表子项 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
值 | FullSecureChannelProtection |
数据类型 | REG_DWORD |
数据 | 1 – 这将启用强制模式。 除非域控制器中的 "创建易受攻击的连接" 列表允许帐户,否则 Dc 将拒绝易受攻击的 Netlogon 安全通道连接 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。 0 – dc 将允许来自非 Windows 设备的易受攻击的 Netlogon 安全通道连接。 在强制阶段发布中,此选项将被弃用。 |
是否需要重启? | 否 |
第三方设备实现 [MS-NRPC]: Netlogon 远程协议
所有第三方客户端或服务器必须将安全 RPC 与 Netlogon 安全通道配合使用。 请联系设备制造商 (OEM) 或软件 供应商,确定其软件是否与最新的 Netlogon 远程协议兼容。
可以在 Windows 协议文档网站上找到协议更新。
常见问题 (常见问题)
3. 为什么我的 DC 拒绝在域控制器中配置的帐户 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略?
4. 我有一个 Windows 设备的事件 ID 5827。我认为你说的是 Windows 不会受到影响?
6. 是否需要用2020年8月11日或更高版本更新 Dc 之前发布的非 DC Windows 服务器或其他 Windows 设备?
7. 为什么't Windows Server 2008 SP2 更新为无法解决 CVE-2020-1472?
8. 是否需要 ESU for Windows Server 2008 R2 SP1 才能解决 CVE-2020-1472?
10. 如果我 ’ 已将更新部署到我的所有域控制器,则我的企业是否已从 CVE-2020-1472 保护?
11. 如何确保我的 Windows 域加入的设备标识受到保护?
14. 应将哪些计算机帐户添加到 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略?
15. 攻击者可以对域控制器上的计算机帐户执行哪些 " 操作:允许易受攻击的 Netlogon 安全通道连接 " 组策略?
16. 为什么要将计算机帐户添加到 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略?
词条
字词 | Definition |
专用 | Active Directory |
电源 | 域控制器 |
强制模式 | 允许你在2021年2月9日之前启用 强制模式 的注册表项。 |
强制阶段 | 从2021年2月9日开始, enforcement mode 无论注册表设置如何,都将在所有 Windows 域控制器上启用强制模式的更新模式。 Dc 将拒绝来自所有不兼容设备的易受攻击的连接,除非将其添加到 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略。 |
初始部署阶段 | 阶段从2020年8月11日起开始,在执行阶段之前继续更新。 |
计算机帐户 | 也称为 "Active Directory 计算机" 或 "计算机" 对象。 有关完整定义,请参阅 NPRC 术语表 。 |
MS-NRPC | Microsoft Netlogon 远程协议 |
不兼容的设备 | 不兼容的设备是使用易受攻击的 Netlogon 安全通道连接的设备。 |
RODC | 只读域控制器 |
易受攻击连接 | 易受攻击的连接是不使用安全 RPC 的 Netlogon 安全通道连接。 |
上次更新时间:2020年10月30日