How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472

最新推荐文章于 2021-12-29 16:28:00 发布
最新推荐文章于 2021-12-29 16:28:00 发布
阅读量665 收藏
点赞数
分类专栏: 系统维护(Windows & Linux) 故障处理 安全
原文链接:https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
版权

How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

适用于: Windows Server 2019, all editionsWindows Server 2016Windows Server, version 1909, all editions 详细

我们希望以您的语言尽快提供最新帮助内容。 此页面已通过自动化进行翻译,可能包含语法错误或不准确之处。 我们的目的是使此内容对您有用。 能否在本页底部告知我们信息是否对您有所帮助?

查看原始英文文章:4557222

摘要

Netlogon 远程协议 (也称为 MS-NRPC) 是由加入域的设备专门使用的 RPC 接口。 MS-NRPC 包括身份验证方法和建立 Netlogon 安全通道的方法。 这些更新强制指定的 Netlogon 客户端行为将安全 RPC 与成员计算机和 Active Directory (AD) 域控制器 (DC) 之间的 Netlogon 安全通道配合使用。

此安全更新通过以下方式解决了此漏洞:使用 Netlogon 安全通道时,在   "   解决到解决 Netlogon 漏洞的最新解决方法 CVE-2020-1472" 部分中介绍的分阶段安全通道   。 为了提供广告林保护,必须更新所有 Dc,因为它们将强制使用 Netlogon 安全通道执行安全的 RPC。 这包括只读域控制器 (RODC) 。

若要了解有关该漏洞的详细信息,请参阅 CVE-2020-1472

执行操作

若要保护环境并防止停机,必须执行以下操作:

  1. 使用2020年8月11日或更高版本发布的更新更新您的域控制器。
  2. 通过监视事件日志来查找哪些设备正在进行易受攻击的连接。
  3. 处理 不兼容的设备,使连接易受攻击。
  4. 启用强制模式以解决你的环境中的 CVE-2020-1472   。

注意在2020年8月11日或更高版本中发布的安装更新的步骤1将解决 Active Directory 域和信任以及 Windows 设备的 CVE-2020-1472 中的安全问题。 若要完全降低第三方设备的安全问题,您需要完成所有步骤。

警告   从2021年2月起,将在所有 Windows 域控制器上启用强制模式,并阻止   来自不兼容设备的易受攻击的连接。  此时,您将不能禁用强制模式。


注意  如果您使用的是   Windows Server 2008 R2   SP1,则   需要延长安全更新 (ESU) 许可证才能成功安装解决此问题的任何更新。 有关 ESU 计划的详细信息,请参阅 生命周期常见问题解答-扩展安全更新 

在本文中:

解决地址 Netlogon 漏洞 CVE-2020-1472 的更新计时

将在两个阶段发布更新:在2020年8月11日或之后(2021)或2月9日或之后发布的更新的强制执行阶段。

2020年8月11日-初始部署阶段

初始部署阶段从2020年8月11日发布的更新开始,并在 执行阶段之前继续更新。 在默认情况下,这些更新会更改 Netlogon 协议以保护 Windows 设备,并为不兼容的设备发现记录事件,并添加对所有加入域的设备进行保护的功能,并显示显式异常。 此版本:

  • 对基于 Windows 的设备上的计算机帐户强制实施安全的 RPC 使用。
  • 对信任帐户强制实施安全的 RPC 用法。
  • 对所有 Windows 和非 Windows Dc 强制执行安全的 RPC 使用。
  • 包含新的组策略,以允许不兼容的设备帐户 (使用易受攻击的 Netlogon 安全通道连接的设备帐户) 。  即使在强制模式下   或在强制执行阶段后运行 dc   ,允许的设备也不会被拒绝连接。

  • FullSecureChannelProtection 注册表项若要为所有计算机帐户启用 DC强制模式   (强制阶段会将 DC 更新为 dc强制模式) 。

  • 在帐户被拒绝或在 DC强制模式下被拒绝的情况下包含新事件   (并将在 "强制" 阶段) 中继续。 本文后面将介绍特定事件 Id。

缓解措施包括在所有 Dc 和 Rodc 上安装更新、监视新事件以及解决使用易受攻击的 Netlogon 安全通道连接的不兼容设备。  可以允许不兼容设备上的计算机帐户使用易受攻击的 Netlogon 安全通道连接;但是,应尽可能更新它们以支持 Netlogon 的安全 RPC,并尽快强制执行帐户以消除受攻击的风险。

2021年2月9日-   实施阶段

2021年2月9日发布将切换标记为 "强制" 阶段。 Dc 现在将处于强制模式,   而不考虑强制模式注册表项。  这要求所有 Windows 和非 Windows 设备将安全 RPC 与 Netlogon 安全通道配合使用,或者通过为不兼容的设备添加例外来明确允许帐户。此版本:

部署指南-部署更新并强制实施合规性

初始部署阶段   将包含以下步骤:

  1. 8 月11日的更新部署到林中的所有 dc。
  2.     为警告事件   () 监视器, (b)     对每个事件执行操作
  3. () 解决所有警告事件后,可以通过部署 DC 强制模式启用完全保护。 (b) 应在2月9日(2021)执行阶段更新之前解决所有警告。

步骤1:更新

部署2020年8月11日的更新

将8月11日的更新部署到林中的所有适用域控制器 (Dc) ,包括只读域控制器 (Rodc) 。 部署此更新后,Dc 将:

  • 开始为所有基于 Windows 的设备帐户、信任帐户和所有 Dc 强制实施安全的 RPC 用法。
  • 如果连接被拒绝,则在系统事件日志中记录事件 Id 5827 和5828。
  • 如果域控制器允许连接,则在系统事件日志中记录事件 Id 5830 和 5831 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略
  • 每当允许有漏洞的 Netlogon 安全通道连接时,系统事件日志中都会记录事件 ID 5829。 应在配置了 DC强制模式之前   或在2021年2月9日开始实施阶段之前解决这些事件。

 

步骤2a:查找

使用事件 ID 5829 检测不兼容的设备

在8月11日已将2020更新应用到 Dc 后,可以在 DC 事件日志中收集事件,以确定你的环境中使用易受攻击的 Netlogon 安全通道连接的设备 (在本文) 中称为不兼容的设备。 监控事件 ID 5829 事件的已修复 Dc。 这些事件将包含用于标识不合规设备的相关信息。

若要监视事件,请使用可用的事件监视软件或通过使用脚本监视 Dc。  有关   可适应你的环境的示例脚本,请参阅   脚本以帮助监视与适用于 CVE 的 Netlogon 更新相关的事件 id-2020-1472

步骤2b:地址

寻址事件 Id 5827 和5828

默认情况下,已完全更新的受支持的 Windows 版本   不应使用易受攻击的 Netlogon 安全通道连接。 如果以下事件之一记录在 Windows 设备的系统事件日志中:

  1. 确认设备运行的是 受支持的 Windows 版本
  2. 确保设备已完全更新。
  3. 检查以确保 域成员:对安全通道数据进行数字加密或签名 (始终将) 设置为 "启用"。

对于充当 DC 的非 Windows 设备,当使用易受攻击的 Netlogon 安全通道连接时,将在系统事件日志中记录这些事件。 如果已记录以下事件之一:

  • 推荐  与设备制造商 (OEM) 或软件供应商联系,获取有关使用 Netlogon 安全通道的安全 RPC 的支持
    1. 如果不符合的 DC 支持使用 Netlogon 安全通道的安全 RPC,则在 DC 上启用安全 RPC。
    2. 如果不符合的 DC 目前不支持安全的 RPC,请与设备制造商 (OEM) 或软件供应商联系,获取支持使用 Netlogon 安全通道的安全 RPC 的更新。
    3. 停用不兼容的 DC。
  • 易受攻击  如果不符合的 DC 在 Dc 处于强制模式之前无法支持与 Netlogon 安全通道的安全 RPC,请使用域控制器添加 DC " :允许易受攻击的 Netlogon 安全通道连接 " 组策略

警告 允许 Dc 通过组策略使用易受攻击的连接将使林易受攻击。 最终目标应该是从该组策略中寻址和删除所有帐户。

 

寻址事件5829

在初始部署阶段允许易受攻击的连接时,将生成事件 ID 5829。 当 Dc 处于 强制模式时,这些连接将被拒绝。 在这些事件中,重点关注计算机名称、用于确定不合规设备的域和操作系统版本以及它们的寻址方式。

解决不合规设备的方法:

  • 推荐  与设备制造商 (OEM) 或软件供应商联系,获取有关使用 Netlogon 安全通道的安全 RPC 的支持:
    1. 如果不符合的设备支持使用 Netlogon 安全通道的安全 RPC,则在设备上启用安全 RPC。
    2. 如果不符合的设备当前不支持与 Netlogon 安全通道的安全 RPC,请与设备制造商或软件供应商联系,获取允许启用 Netlogon 安全通道安全的 RPC 的更新。
    3. 停用不兼容的设备。
  • 易受攻击  如果不符合的设备在 Dc 处于强制模式之前无法支持与 Netlogon 安全通道的安全 RPC,请使用 " 域控制器添加设备: "允许易受攻击的 Netlogon 安全通道连接" " 组策略

警告 允许设备帐户通过组策略使用易受攻击的连接会使这些广告帐户面临风险。 最终目标应该是从该组策略中寻址和删除所有帐户。

 

允许从第三方设备易受攻击连接

使用 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略   添加不合规的帐户。 只有在上述情况下才解决不符合的设备,才应将此项视为短期修复。 注意 允许来自不兼容设备的易受攻击的连接可能有未知的安全影响,因此应谨慎使用。

  1. 为将允许使用易受攻击的 Netlogon 安全通道的帐户 (s) 创建安全组。
  2. 在 "组策略" 中,转到 "计算机配置 > Windows 设置 > 安全设置 > 本地策略   > 安全选项"
  3. 搜索 " 域控制器:允许易受攻击的 Netlogon 安全 " 通道连接
  4. 如果 "管理员" 组或未特别创建用于 "组策略" 的任何组存在,请将其删除。
  5. 将专用于使用此组策略的安全组添加到具有 "允许" 权限的安全描述符 " " 。 注意 " " 拒绝" " 权限的行为方式与未添加帐户相同,即不允许帐户提供易受攻击的 Netlogon 安全通道。
  6. 添加安全组 (s) 后,组策略必须复制到每个 DC。
  7. 定期监视事件5827、5828和5829以确定哪些帐户使用易受攻击的安全通道连接。
  8. 根据需要将这些计算机帐户添加到安全组 (s) 。 最佳做法 使用组策略中的安全组并将帐户添加到组,以便通过正常的 AD 复制复制成员身份。 这样可以避免频繁的组策略更新和复制延迟。

一旦解决了所有不兼容的设备,你可以将 Dc 移动到 强制模式 (请参阅下一节) 。

警告 通过组策略,允许 Dc 对信任帐户使用易受攻击的连接将使林易受攻击。 信任帐户通常以受信任域为名称,例如:域 a 中的 DC 与域 b 中的 dc 有信任。 在内部,域 a 中的 DC 具有一个名为 " domain-b $ 的信任帐户, " 表示域 b 的信任对象。 如果域 a 中的 DC 希望通过允许来自域 b 信任帐户的易受攻击的 Netlogon 安全通道连接来公开林,管理员可以使用 – " 安全组 " 成员 " 域-b $ 的 adgroupmember 标识名称 " 将信任帐户添加到安全组。

 

步骤3a:启用

在2月2021实施阶段之前移到强制模式

在所有不符合的设备均已解决后,通过启用安全的 RPC 或允许与域控制器有漏洞的连接,请 " 执行以下操作:允许易受攻击的 Netlogon 安全通道连接 " 组策略,将 FullSecureChannelProtection 注册表项设置为1。

注意如果您使用的是 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略,请确保在设置 FullSecureChannelProtection 注册表项之前已将组策略复制并应用到所有 dc。

部署 FullSecureChannelProtection 注册表项时,Dc 将处于 强制模式。 此设置要求所有使用 Netlogon 安全通道的设备都可以:

警告’当部署 DC强制模式注册表项时,不支持与 Netlogon 安全通道连接的安全 RPC 的第三方客户端将被拒绝,这可能会中断生产服务。

 

步骤3b:强制阶段

部署2021年2月9日的更新

部署2021年2月9日或更高版本的更新将启用 DC 强制模式。 DC强制模式   是指所有 Netlogon 连接都需要使用安全 RPC,或者必须已将帐户添加到 " 域控制器:允许易受攻击的 netlogon 安全通道连接 " 组策略。 目前,不再需要 FullSecureChannelProtection 注册表项,并且将不再支持它。

"域控制器:允许易受攻击的 Netlogon 安全通道连接" 组策略

最佳做法是使用组策略中的安全组,以便成员身份通过常规 AD 复制进行复制。 这样可以避免频繁的组策略更新和复制延迟。

策略路径和设置名称说明

策略路径:计算机配置 > Windows 设置 > 安全设置 > 本地策略   > 安全选项

设置名称: 域控制器:允许易受攻击的 Netlogon 安全通道连接

是否需要重启? 否

此安全设置确定域控制器是否绕过针对指定计算机帐户的 Netlogon 安全通道连接的安全 RPC。

应通过在域控制器 OU 上启用策略来将此策略应用于林中的所有域控制器。

当创建易受攻击的连接列表时 ("允许列表") 已配置:

  • 允许:域控制器将允许指定的组/帐户使用 Netlogon 安全通道,而无需安全的 RPC。
  • 拒绝:此设置与默认行为相同。 域控制器将要求指定的组/帐户使用具有安全 RPC 的 Netlogon 安全通道。

警告 启用此策略将公开你的加入域的设备和你的 Active Directory 林,这可能会导致这些设备发生风险。 在部署更新时,应将此策略用作第三方设备的临时度量值。 第三方设备更新为支持将安全 RPC 与 Netlogon 安全通道配合使用时,应从 "创建易受攻击的连接" 列表中删除该帐户。 若要更好地了解配置允许使用易受攻击的 Netlogon 安全通道连接的帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。

默认:未配置此策略。 通过 Netlogon 安全通道连接强制,没有任何计算机或信任帐户显式免除安全 RPC。

此策略在 Windows Server 2008 R2 SP1 及更高版本中受支持。

与 CVE-2020-1472 相关的 Windows 事件日志错误

有三种类型的事件:

1. 由于尝试使用易受攻击的 Netlogon 安全通道连接而导致连接被拒绝时记录的事件:

  • 5827 (计算机帐户) 错误

  • 5828 (信任帐户) 错误

2.由于帐户已添加到域控制器而导致连接被允许时记录的事件 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略

  • 5830 () 警告的计算机帐户

  • 5831 (信任帐户) 警告

3. 在初始发布中允许连接时记录的事件,在 DC 强制模式中将被拒绝:

  • 5829 () 警告的计算机帐户

事件 ID 5827

当来自计算机帐户的易受攻击的 Netlogon 安全通道连接被拒绝时,将记录事件 ID 5827。

事件日志

系统

事件源

NETLOGON

事件 ID

5827

程度

错误

事件消息文本

Netlogon 服务拒绝了来自计算机帐户的易受攻击的 Netlogon 安全通道连接。

计算机 SamAccountName:

帐户类型:

计算机操作系统:

计算机操作系统内部版本:

计算机操作系统 Service Pack:

有关拒绝原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。

 

事件 ID 5828

当来自信任帐户的易受攻击的 Netlogon 安全通道连接被拒绝时,将记录事件 ID 5828。

事件日志

系统

事件源

NETLOGON

事件 ID

5828

程度

错误

事件消息文本

Netlogon 服务使用信任帐户拒绝了易受攻击的 Netlogon 安全通道连接。

帐户类型:

信任名称:

信任目标:

客户端 IP 地址:

有关拒绝原因的详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。

 

事件 ID 5829

仅   当允许来自计算机帐户的易受攻击的 Netlogon 安全通道连接时,才会在初始部署阶段   记录事件 ID 5829。

当部署 DC强制模式时   ,或者一旦 强制阶段在   2021 年2月9日的部署后启动,则这些连接将被拒绝,并且将记录事件 ID 5827。 这就是为什么在初始部署阶段监视事件5829并在实施阶段之前采取行动以避免中断的原因非常重要。

事件日志 

系统 

事件源 

NETLOGON 

事件 ID 

5829 

程度 

警告 

事件消息文本 

 Netlogon   服务允许受影响的   netlogon   安全通道连接。  

警告:一旦实施阶段被释放,此连接将被拒绝。 若要更好地了解强制阶段,   请访问   https://go.microsoft.com/fwlink/?linkid=2133485 。  

计算机   SamAccountName:  

域  

帐户   类型:  

计算机操作系统:  

计算机操作系统内部版本:  

计算机操作系统 Service Pack:  

事件 ID 5830

当域控制器允许受漏洞的 Netlogon 安全通道计算机帐户连接时,将记录事件 ID 5830 " :允许易受攻击的 netlogon 安全通道连接 " 组策略

事件日志

系统

事件源

NETLOGON

事件 ID

5830

程度

警告

事件消息文本

Netlogon 服务允许受影响的 Netlogon 安全通道连接,因为域控制器中允许使用计算机帐户 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。

警告:使用易受攻击的 Netlogon 安全通道将公开加入域的设备以进行攻击。 若要保护设备免受攻击,请从域控制器删除计算机帐户 " :在 " 更新第三方 netlogon 客户端后,允许有漏洞的 netlogon 安全通道连接组策略。 若要更好地了解配置计算机帐户以允许使用易受攻击的 Netlogon 安全通道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。

计算机 SamAccountName:

帐户类型:

计算机操作系统:

计算机操作系统内部版本:

计算机操作系统 Service Pack:

 

事件 ID 5831

当域控制器允许受漏洞的 Netlogon 安全通道信任帐户连接时,将记录事件 ID 5831 " :允许易受攻击的 netlogon 安全通道连接 " 组策略

事件日志

系统

事件源

NETLOGON

事件 ID

5831

程度

警告

事件消息文本

Netlogon 服务允许受影响的 Netlogon 安全通道连接,因为域控制器中允许使用信任帐户 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。

警告:使用易受攻击的 Netlogon 安全通道将公开 Active Directory 林进行攻击。 为了保护您的 Active Directory 林免受攻击,所有信任都必须将安全 RPC 与 Netlogon 安全通道配合使用。 在 " " 域控制器上的第三方 Netlogon 客户端更新后,从域控制器删除信任帐户:允许易受攻击的 netlogon 安全通道连接组策略。 若要更好地了解配置允许使用易受攻击的 Netlogon 安全通道连接的信任帐户的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485 。

帐户类型:

信任名称:

信任目标:

客户端 IP 地址:

强制模式的注册表值

警告 如果您使用注册表编辑器或使用其他方法错误地修改注册表,可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 无法保证可以解决这些问题。修改注册表的风险由您自己承担。 

2020年8月11日的更新引入   了以下注册表设置,以便尽早启用强制模式。  无论从2021年2月9日开始的强制阶段中的注册表设置如何,都将启用此操作: 

注册表子项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
FullSecureChannelProtection
数据类型REG_DWORD
数据

1 – 这将启用强制模式。 除非域控制器中的 "创建易受攻击的连接" 列表允许帐户,否则 Dc 将拒绝易受攻击的 Netlogon 安全通道连接 " :允许易受攻击的 netlogon 安全通道连接 " 组策略。  

0 – dc 将允许来自非 Windows 设备的易受攻击的 Netlogon 安全通道连接。 在强制阶段发布中,此选项将被弃用。

是否需要重启?

 

第三方设备实现 [MS-NRPC]: Netlogon 远程协议

所有第三方客户端或服务器必须将安全 RPC 与 Netlogon 安全通道配合使用。 请联系设备制造商 (OEM) 或软件   供应商,确定其软件是否与最新的 Netlogon 远程协议兼容。 

可以在 Windows 协议文档网站上找到协议更新。 

常见问题 (常见问题)

1.   什么是使用 Netlogon 安全通道?

2.  第三方解决方案会受到影响?

3. 为什么我的 DC 拒绝在域控制器中配置的帐户 " :允许易受攻击的 Netlogon 安全通道连接 " 组策略?

4. 我有一个 Windows 设备的事件 ID 5827。我认为你说的是 Windows 不会受到影响?

5. 是否还需要更新工作站和终结点设备?

6. 是否需要用2020年8月11日或更高版本更新 Dc 之前发布的非 DC Windows 服务器或其他 Windows 设备?

7. 为什么't Windows Server 2008 SP2 更新为无法解决 CVE-2020-1472?

8. 是否需要 ESU for Windows Server 2008 R2 SP1 才能解决   CVE-2020-1472?

9. 如何确保我的域控制器受保护?

10. 如果我 ’ 已将更新部署到我的所有域控制器,则我的企业是否已从 CVE-2020-1472 保护?

11. 如何确保我的 Windows 域加入的设备标识受到保护?

12. 如何确保我的第三方加入域的设备标识受到保护?

13. 什么是强制模式?

14. 应将哪些计算机帐户添加到 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略?

15. 攻击者可以对域控制器上的计算机帐户执行哪些 " 操作:允许易受攻击的 Netlogon 安全通道连接 " 组策略?

16. 为什么要将计算机帐户添加到 " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略?

17. 何时要启用强制模式?

 

词条

字词Definition
专用Active Directory
电源域控制器
强制模式允许你在2021年2月9日之前启用 强制模式 的注册表项。
强制阶段从2021年2月9日开始,   enforcement mode   无论注册表设置如何,都将在所有 Windows 域控制器上启用强制模式的更新模式。 Dc 将拒绝来自所有不兼容设备的易受攻击的连接,除非将其添加到   " 域控制器:允许易受攻击的 Netlogon 安全通道连接 " 组策略。 
初始部署阶段阶段从2020年8月11日起开始,在执行阶段之前继续更新。
计算机帐户也称为 "Active Directory 计算机" 或 "计算机" 对象。   有关完整定义,请参阅 NPRC 术语表 。
MS-NRPCMicrosoft Netlogon 远程协议
不兼容的设备不兼容的设备是使用易受攻击的 Netlogon 安全通道连接的设备。
RODC只读域控制器
易受攻击连接易受攻击的连接是不使用安全 RPC 的 Netlogon 安全通道连接。

上次更新时间:2020年10月30日

z荒野求生
关注
专栏目录
CVE-2020-1472域渗透 NetLogon 权限提升漏洞
千寻的博客
06-13 257
模拟环境:获取了一个加入了域的计算机权限,在system账号权限的情况下,将域管密码置空,导出域管hash,然后进行连接
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7135
0x01漏洞背景 NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
Netlogon 特权提升漏洞 CVE-2020-1472 复现
热门推荐
高飞的博客
03-04 31万+
Netlogon 特权提升漏洞 CVE-2020-1472
Windows Update - How to manage the changes in Netlogon RPC associated with CVE-2020-1472
老陈醋的博客
12-29 251
Windows Update - How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
本地计算机上的netlogon服务启动后停止_Netlogon(CVE20201472)讲解及复现
weixin_39920338的博客
12-08 2814
摘要2020年08月12日,Windows官方发布了NetLogon 特权提升漏洞的风险通告,该漏洞编号为CVE-2020-1472,漏洞等级:严重,漏洞评分:10分。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序影响版本Windows Server...
Netlogon特权提升漏洞
m0_48520508的博客
09-18 554
0x01 漏洞概要 2020年8月11日,Microsoft公司发布安全公告,公布了Netlogon 特权提升漏洞(CVE-2020-1472)的相关信息。12日起,各大安全研究团队纷纷对该漏洞作出漏洞通告。 下图是某厂对该漏洞的影响力的一份评估: 0x02 漏洞详情 NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 当攻击者使用 Netlogon 远程协
重设secure channel 解决 DFS及AD同步问题
weixin_34133829的博客
10-20 562
有台在澳洲的服务器,由于一些原因离线很久,最近恢复上线。客户反映DFS不能与国内的服务器同步。赶快远程登录看看,日志中一堆的报错,如图: 看来DFS不仅不能同步,AD也有同样问题(此服务器也是DC)。 试着访问国内的DC得到报错信息:logon failure the target account name is incorrect,但用IP地址访问正常。在服...
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
CVE-2020-1472 CVE-2020-1472又称为Zerologon的检查和利用代码 测试域控制器是否容易受到Zerologon攻击,如果容易受到攻击,它将把域控制器的帐户密码重置为空字符串。 注意:它可能会破坏生产环境中的内容(例如...
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
使用Impacket库测试Zerologon漏洞(CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。 成功执行旁路时,脚本将立即终止,并且不执行任何Netlogon操作。 修补域控制器后,检测脚本将在发送2000...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
net logon服务无法启动
tiantian6036的专栏
01-30 2万+
1. 启动"注册表编辑器"(Regedt32.exe)。 2. 在以下注册表项下选择 DependOnService 值: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Netlogon/ 3. 在编辑菜单上,单击多重字符串,在出现的"多重字符串编辑器"中的不同行上键入下面的内容: LanmanServer Lanman
Netlogon 5774 5575 5781错误
12-03 2040
通常,记录这些错误信息的原因是:Netlogon 服务未从拥有正在注册的记录所在区域的 DNS 服务器那里收到“success”消息。Netlogon 服务接收不到“success”消息的原因有以下几个: •域控制器配置:域控制器的传输控制协议/Internet 协议 (TCP/IP) 属性中的 DNS 服务器项未正确配置。•连接:此域控制器与拥有这
ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(下)
systemino的博客
10-11 1240
上文我们介绍了攻击原理,本文我们将详细介绍可以发起的攻击种类和防御措施。 攻击种类 计算机/设备帐户本质上与用户帐户相同,如果配置错误,可能同样危险。因此,可以利用计算机帐户密码/哈希值进行一些其他攻击: 1.银票攻击; 2.金票攻击; 3.过时的DNS条目; 4.攻击的替代方法。 金票和银票攻击通过利用Kerberos票据授予服务(TGS)来伪造票据。金票和银票攻击的主要区别在于银票只允许攻击者伪造特定服务的TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码..
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1132
该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
漏洞权限管理-域控制器告警
ITmoster的博客
11-13 375
最近的 Zerologon漏洞(CVE-2020-1472)成了特权提升漏洞的头条新闻,它可能会影响组织中的所有计算机和域控制器。 这个被称为Zerologon的高风险漏洞使威胁者可以轻松即时地访问域控制器,而无需提供任何其他特权。这种攻击甚至不需要对用户进行身份验证;威胁者甚至只需要连接到内部网络即可。 什么是Zerologon漏洞? 这是Netlogon中的一个漏洞,该身份验证协议用于验证加入域的计算机对域控制器的身份。它被归类为高风险(CVSS评分为10),因此该漏洞意味着泄露用户帐户甚至不需要向域进
netlogon 服务未启动
心想事成
01-25 5023
netlogon 服务未启动直观的错误可能有: 1、接口未知 2、Windows 无法确定用户帐户和计算机帐户是否位于同一林中 3、此工作站与主域间的信任关系失败影响有: 1、打不开域控制器 域控制器上未启动该服务,那么,用域管理工具连接到该域控制器时,会提示接口未知。 2、不能启动 WDS 服务3、不能更新组策略 如果在本地没有启动该服务,更新域策略时会出现错误:Windows 无法
CVE-2020-1472
最新发布
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值