[AD 管理员指南] CVE-2020-1472 Netlogon 应对指南概述

2020年8月月度安全更新（2020年8月11日发布，美国时间）修复了Active Directory中Netlogon协议实现的特权提升漏洞CVE-2020-1472。
Netlogon协议不仅用于Windows设备，也用于非Windows设备。因此，考虑到非Windows设备Netlogon实现的兼容性，该漏洞的修复将分两个阶段进行。

[1] 漏洞概述（CVE-2020-1472）

• 2020年8月11日（美国时间），微软发布了针对CVE-2020-1472 Active Directory Netlogon特权提升漏洞的安全更新。
  未经身份验证的攻击者可通过特制应用程序利用此漏洞，使用Netlogon远程协议（也称为MS-NRPC）与域控制器（DC）建立易受攻击的Netlogon安全通道连接，从而实现特权提升。
• 管理Active Directory的IT管理员需执行额外操作以防护此漏洞。
  Netlogon远程协议存在于仅限域加入设备使用的RPC接口中。
  防护系统需使用“安全RPC（Secure RPC）”。
  所有受支持的Windows OS默认支持安全RPC，当域控制器要求时，域内Windows OS终端会自动使用安全RPC连接（无需在DC以外应用更新）。但在此阶段，仍允许使用不安全的Netlogon安全通道连接（易受攻击的连接）。
  为保护Active Directory，域控制器必须在Netlogon安全通道连接中强制使用安全RPC，且所有Active Directory域加入终端都需使用安全RPC。
• 微软分阶段解决此漏洞。
  所有受支持的Windows OS默认支持Netlogon安全RPC，但考虑到非Windows设备Netlogon实现的兼容性，修复分两个阶段进行。详情参见[3]分阶段应对计划。

[2] 受影响环境

所有使用Active Directory域的Windows OS及非Windows设备均受影响。

• 域控制器
  需更新林中所有域控制器（包括只读域控制器：RODC）。
  Windows OS上的域控制器需应用2020年8月月度安全更新或更高版本。
  非Windows OS上的域控制器需更新Netlogon实现以支持安全RPC。详情请咨询供应商。
• 域成员服务器、域客户端
  Active Directory中加入的所有设备需支持安全RPC。
  受支持的Windows OS默认支持安全RPC，无需额外操作。域控制器启用安全RPC后，域加入客户端会自动使用安全RPC。使用不受支持的Windows时，需升级至受支持版本。
  非Windows OS需更新Netlogon实现以支持安全RPC。详情请咨询供应商。

[3] 分阶段应对计划

阶段1：初始部署阶段（2020年8月11日-2021年2月9日，美国时间）

微软发布了Windows域控制器安全更新（2020年8月11日发布）。需更新林中所有域控制器。应用此更新后，域控制器行为如下：

• 安全RPC的默认使用：域控制器在Netlogon安全通道连接中默认使用安全RPC，在支持安全RPC的域终端间使用安全RPC。
• 域控制器与Windows域加入客户端/成员服务器的连接：域控制器要求Netlogon安全通道连接必须使用安全RPC。受支持的Windows OS默认支持安全RPC，无需额外操作。域控制器启用安全RPC后，域加入客户端自动使用安全RPC。
• 域控制器与非Windows域加入客户端/成员服务器的连接：域控制器要求使用安全RPC，但此阶段仍允许不支持安全RPC的“非合规设备”连接。
• 域控制器与信任域的连接：域控制器要求Netlogon安全通道连接必须使用安全RPC。信任域控制器为Windows时（作为Netlogon客户端）默认支持安全RPC，可连接。信任域控制器为非Windows且不支持安全RPC时，连接被拒绝。
• 新事件日志：DC在账户被拒绝或可能在强制模式下被拒绝时记录新事件。
• 新组策略（“域控制器：允许易受攻击的Netlogon安全通道连接”）：此策略允许的域成员终端即使在强制模式下或未来进入强制阶段也不会被拒绝连接。
• 测试阶段2的注册表键：在DC设置注册表键FullSecureChannelProtection = 1可测试强制模式。
  设置FullSecureChannelProtection后，DC对所有计算机账户强制安全RPC（DC强制模式）。阶段2强制阶段DC将切换至强制模式。

阶段2：强制阶段（2021年2月9日后）

微软于2021年2月9日（美国时间）发布了Windows域控制器的额外安全更新。需更新林中所有域控制器。应用此更新后，域控制器行为如下：

• 安全RPC的强制：域控制器强制Netlogon安全通道连接使用安全RPC。不支持安全RPC的“非合规设备”无法连接域控制器（但“域控制器：允许易受攻击的Netlogon安全通道连接”组策略指定的设备允许连接）。
• 事件日志功能更新：记录ID 5829的功能被移除。所有易受攻击连接被拒绝，系统事件日志仅显示ID 5827和5828。

[4] 需执行的操作

管理Active Directory的IT管理员建议执行以下操作：

1. 查看微软官方文档，确认漏洞详情及必要应对措施：
   安全更新指南"CVE-2020-1472 | NetLogon特权提升漏洞"
   管理CVE-2020-1472相关Netlogon安全通道连接更改的方法
   监控CVE-2020-1472相关Netlogon安全通道连接更改事件ID的脚本
2. 注册微软技术安全通知（aka.ms/MSTN）以接收新更新发布通知。
3. 检查域设备，确认影响。
4. 将2020年8月11日发布的安全更新部署到林中所有域控制器。
5. 在应用更新的DC上监控警告事件并处理：
   • 事件日志记录错误的Windows设备：最新受支持Windows默认不使用易受攻击Netlogon安全通道连接。使用不受支持Windows时，升级至受支持版本。
   • 事件日志记录错误的非Windows设备：联系设备制造商（OEM）或软件制造商确认软件是否与最新Netlogon远程协议兼容。
   • 非合规设备无法支持安全RPC时，设置组策略“域控制器：允许易受攻击的Netlogon安全通道连接”。
6. 在DC设置注册表键FullSecureChannelProtection测试强制模式。
   2020年8月11日更新后，以下注册表设置可用于提前启用强制模式（此设置与2021年2月9日强制阶段无关）：
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection
   • 1 – 启用强制模式。除非组策略“域控制器：允许易受攻击的Netlogon安全通道连接”允许，否则所有非合规账户连接被拒绝。
   • 0 – DC接受非Windows设备的易受攻击Netlogon安全通道连接。此选项在强制阶段不推荐。

尽早应用

此漏洞并非所谓“零日”漏洞（即安全更新发布前漏洞详情或攻击代码已公开）。基于协调漏洞披露理念，微软与发现者共同调查并发布了安全更新。但安全更新发布后漏洞存在公开，未应用更新的环境可能被利用。与其他漏洞一样，未应用最新更新的环境应尽快考虑应用更新。

垣内由梨香 安全项目经理 安全响应团队
2021年2月10日：追加发布了Windows域控制器的额外更新并进入强制阶段。