查看: 2891|回复: 7
收起左侧

[一般话题] 新增:请各位按需设置一下这个策略。

[复制链接]
ELOHIM
发表于 2020-12-20 18:38:37 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2020-12-21 14:09 编辑

如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改
摘要
Netlogon 远程协议(也称为 MS-NRPC)是一种 RPC 接口,由加入域的设备独占使用。 MS-NRPC 包括一种身份验证方法和一种建立 Netlogon 安全频道的方法。 这些更新强制指定的 Netlogon 客户端行为将安全 RPC 与成员计算机和 Active Directory (AD)域控制器(DC)之间的 Netlogon 安全频道配合使用。
此安全更新通过强制实施安全 RPC 来解决该漏洞,方法是在发布到 "地址" 中的 "解决 netlogon 漏洞" CVE-2020-1472部分中所述的分阶段安全频道中使用 Netlogon 安全通道。 为了提供 AD 林保护,必须对其进行更新,因为它们将强制实施安全 RPC 和 Netlogon 安全频道。 这包括只读域控制器(RODC)。
若要了解有关该漏洞的详细信息,请参阅 CVE-2020-1472

设置在组策略里面。



域控制器: 允许易受攻击的 Netlogon 安全通道连接

此安全设置决定域控制器是否为指定的计算机帐户绕过 Netlogon 安全通道连接的安全 RPC。

应通过在域控制器组织单元 (OU) 上启用策略,将此策略应用于林中的所有域控制器。

配置“创建易受攻击的连接列表” (允许列表) 时:

- 如果授予允许权限,则域控制器将允许帐户在没有安全 RPC 的情况下使用 Netlogon 安全通道。
- 如果授予拒绝权限,则域控制器将要求帐户在具有安全 RPC (与默认设置相同,但不是必需) 的情况下使用 Netlogon 安全通道。

警告! 启用此策略将使你已加入域的设备以及 Active Directory 林面临风险。在部署更新时,此策略应用作第三方设备的临时措施。一旦将加入域的客户端更新为支持通过 Netlogon 安全通道使用安全 RPC,则应从“创建易受攻击的连接列表” (允许列表) 中删除该帐户。如需深入了解将帐户配置为允许使用易受攻击的 Netlogon 安全通道连接的风险,请访问 https://go.microsoft.com/fwlink/?linkid=2133485

默认: 不配置此策略。没有计算机或信任帐户明确地可以不强制在安全 RPC 情况下使用 Netlogon 安全通道连接。

此策略受支持的最低版本为 Windows Server 2008 R2。


峪飞鹰
发表于 2020-12-21 11:42:11 | 显示全部楼层
本帖最后由 峪飞鹰 于 2020-12-21 11:53 编辑

这个设置,如果设备没有加入域的话,应该是没有用的吧。而且设置端应该在服务器上,而不是客户端上。不过我没用过域,也许我的理解有误,仅供参考。

从这个设置的描述上来看,应该是Netlogon已经开始应用了新的安全技术,这种安全技术会对RPC的调用进行加密。然而并不是所有的组织和团队的客户端电脑都有这个新技术(比如,操作系统版本不同,或者有什么第三方依赖暂时不能打开),那么域管理员可以在牺牲一定安全性的情况下对特定账户开启向下兼容的设定,这个设定应该就是上述设置的初衷。

评分

参与人数 1人气 +3 收起 理由
ELOHIM + 3 给我鹰加分!

查看全部评分

ELOHIM
 楼主| 发表于 2020-12-21 11:54:15 | 显示全部楼层
峪飞鹰 发表于 2020-12-21 11:42
这个设置,如果设备没有加入域的话,应该是没有用的吧。而且设置端应该在服务器上,而不是客户端上。不过我 ...

一般情况下,家用计算机没有域,但是黑客可以搞一下,僵尸网络集群啊等等。。神不知鬼不觉。
我先禁用了。。
峪飞鹰
发表于 2020-12-21 12:00:19 | 显示全部楼层
ELOHIM 发表于 2020-12-21 11:54
一般情况下,家用计算机没有域,但是黑客可以搞一下,僵尸网络集群啊等等。。神不知鬼不觉。
我先禁用了 ...

不加入域的话应该对个人电脑没有任何影响,当然禁了也行。不过根据上面的页面(https://go.microsoft.com/fwlink/?linkid=2133485 )的描述,这个设定会在将来的2021年2月9日后强制启用安全连接,以阻止这个可能导致域控制、Active Directory功能的设备之间的通讯协议漏洞被利用。这个设置很有可能会在将来被删除,目前仅仅是过渡期的一个选项而已。
ELOHIM
 楼主| 发表于 2020-12-21 14:07:24 | 显示全部楼层
峪飞鹰 发表于 2020-12-21 12:00
不加入域的话应该对个人电脑没有任何影响,当然禁了也行。不过根据上面的页面(https://go.microsoft.com ...

没有看到这个细节。。。
峪飞鹰
发表于 2020-12-21 16:07:28 | 显示全部楼层
ELOHIM 发表于 2020-12-21 14:07
没有看到这个细节。。。


如图红框

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

ELOHIM
 楼主| 发表于 2020-12-21 21:02:50 | 显示全部楼层

感谢。看到了。
那他现在推到系统里面,是说在部分测试吗??
峪飞鹰
发表于 2020-12-22 10:07:03 | 显示全部楼层
ELOHIM 发表于 2020-12-21 21:02
感谢。看到了。
那他现在推到系统里面,是说在部分测试吗??

不是部分测试,就像当初smb1.0要淘汰一样,预留了缓冲期。毕竟淘汰smb1.0后,很多旧设备就无法连接了,在缓冲期里不会强制开启安全登录,但是过了缓冲期就会开启了。毕竟windows被很多大型组织和机构使用,硬件软件都需要配套修改,缓冲期的作用就是给时间让这些组织升级软硬件。

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:00 , Processed in 0.138516 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表