Netlogon 域控制器强制执行模式默认启用:应对 CVE-2020-1472 漏洞

微软宣布自2021年2月9日安全更新起,默认启用Netlogon域控制器强制执行模式,以阻止非合规设备的漏洞连接,要求所有设备使用安全RPC与Netlogon安全通道,除非明确添加例外。

Microsoft 于 2020 年 8 月 11 日修复了影响 Netlogon 协议的关键 RCE 漏洞(CVE-2020-1472)。我们提醒客户,从 2021 年 2 月 9 日安全更新发布开始,我们将默认启用域控制器强制执行模式。这将阻止来自非合规设备的易受攻击连接。DC 强制执行模式要求所有 Windows 和非 Windows 设备使用安全 RPC 与 Netlogon 安全通道,除非客户通过为非合规设备添加例外明确允许账户易受攻击。

客户应查看 8 月更新的常见问题解答指南,以进一步明确此即将到来的更改。

  • 更新 您的域控制器,使用 2020 年 8 月 11 日或之后发布的更新。
  • 查找 通过监控事件日志来识别哪些设备正在建立易受攻击的连接。
  • 处理 建立易受攻击连接的非合规设备。
  • 启用 域控制器强制执行模式,以在您的环境中应对 CVE-2020-1472。

部署 Microsoft Defender for Identity(之前称为 Azure Advanced Threat Protection)或 Microsoft 365 Defender(之前称为 Microsoft Threat Protection)的组织能够检测到攻击者试图针对其域控制器利用此特定漏洞。

Aanchal Gupta
MSRC 工程副总裁

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次