CVE-2020-1472Netlogon特权易损

微软Windows+
Netlogon安全信道连接域控制器使用Netlogon远程协议

显示微软:
攻击者成功开发漏洞 可在网络设备上运行专用程序
微软分两部分展开处理漏洞更新通过修改方式解决漏洞
Netlogon处理Netlogon安全通道使用

指南管理此脆弱点所需的修改 和更多分解信息
如何管理Netlogon安全信道连接中与CVE-2020-1472....

初始部署阶段

8112020

华体会联盟hth机载空间技术推荐下列动作:

• 限制入港135防火墙内部设备
• 安装至少二零零二年八月微软补丁推荐https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472.
• 监控事件编号5829A级
  微软支持文章
  提供下列细节:
  • 811后 2020更新应用到发展中国家 事件日志中收集
    环境使用脆弱Netlogon安全通道连接
  • 监控器修复事件ID 5829事件事件将包括识别不达标装置的相关信息
    监听事件使用可用事件监听软件或脚本监听举个例子脚本
    可适应环境,见
    脚本帮助监控事件ID....
• 上头微软管理更改文章添加 : “ 如果不达标DC无法支持安全RPC使用Netlogon安全通道强制模式中添加机器账号域控制器:允许脆弱Netlogon安全通道连接分组策略描述如下

注解:管理修改文章警告 : " 赋能此策略会暴露您的域参控设备 和活动目录森林,应用更新时,该策略应作为第三方设备的一项临时措施使用第三方设备更新后使用安全RPCNetlogon安全通道支持后,账户应从CreateDelvice连接列表删除深入理解配置账户允许使用脆弱Netlogon安全信道连接的风险,请访问https://go.microsoft.com/fwlink/?linkid=2133485....

上头管理修改文章提供下列帮助信息:

• 策略路径:计算机配置 > Windows设置 >安全设置 > 本地策略 > 安全选项.
• 设置名称域控制器:允许脆弱Netlogon安全通道连接
• 启动8112020更新中引入的下列注册设置以提前实现强制模式自2月9日2021启动执行阶段时,无论注册设置如何,均能实现该功能
  • 子密钥 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • 值 :FullSecureChannelProtection
  • 数据类型 :REG_DWORD.
  • 数据 :
    • 一号:允许执行模式DC将拒绝脆弱Netlogon安全通道连接,除非CreateVielt连接列表允许使用“Dome控制器:允许脆弱Netlogon安全通道连接”组策略
    • 0eglogon安全通道连接非Windows设备执行阶段发布时,此选项将预设值

执行阶段

2021年2月9日

华体会联盟hthRackspace技术推荐安装2021年2月微软补丁

上头微软文章通知 : Windows和非Windows设备使用安全RPC并用Netlogon安全通道或明文允许账户

设备接收2021年2月补丁后,默认不再允许不达标设备之间的通信

显示微软安全RPC非窗口设备机账使用域控制器:允许脆弱Netlogon安全通道连接分组策略上前初始部署阶段注解

记录事件ID5829由于所有脆弱连接均拒绝使用,你现在只能在系统事件日志中见事件ID5827和5828

华体会联盟hth需要更多信息或帮助时,可调用支持票或调用机房支持团队