none
Windows 2016 域控服务器上安装了2020 09累计更新后,关于CVE-2020-1472的日志都没有,会是什么问题? RRS feed

  • 问题

  • rt ...

    Windows 2016 域控服务器安装了2020 09累计更新后,未做其他调整,但未发现 582X 系列的日志记录,而域中大部分的客户端都是Win7,这是什么问题?

    2020年11月4日 2:31

全部回复

  • 尊敬的客户,您好,

    感谢您的发帖。

    此更新将分两个阶段发布:在2020年8月11日或之后发布的更新的初始阶段以及在2021年2月9日或之后发布的更新的执行阶段。这些更新强制指定的Netlogon客户端行为,以在成员计算机和Active Directory(AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。

    部署2020年8月11日更新的目的(初始阶段)=>查找不兼容的设备。
    部署2021年2月9日更新的目的(强制阶段)=>启用DC强制实施模式。

    将8月11日的更新部署到林中的所有DC(包括Windows DC(包括只读域控制器)和非Windows DC)之后,默认情况下,已完全更新的受支持Windows版本不应使用易受攻击的Netlogon安全通道连接。只要允许存在漏洞的Netlogon安全通道连接,就在系统事件日志中记录事件ID 5829。这些事件将包括用于识别不兼容设备的相关信息。这些事件应在配置DC 强制模式之前或在2021年2月9日开始强制阶段之前解决。

    如果上述事件在配置DC 强制模式之前或在2021年2月9日开始强制阶段之前得不到解决的话,当DC处于强制执行模式时,这些连接将被拒绝。在DC处于强制执行模式之前,我们可以部署上述提到的组策略。但是通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。最终目标应该是解决该组策略中的所有帐户并将其删除。

    所以在初始阶段我们就可以发现不兼容的设备,也就是可以确认Win7会不会受到影响。如果发现事件5829的话,我们将要解决这些事件。如果未发现这类事件的话,我们可以使用Test-ComputerSecureChannel进一步验证下。

    https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/test-computersecurechannel?view=powershell-5.1

    根据我们一部分客户的反馈,Test-ComputerSecureChannel测试均正常工作,也未收到任何582X系列的事件日志,到强制阶段后,Win7的客户端仍然可以登录。我们建议,如果可以的话,我们将尽可能更新这些客户端。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月4日 7:33
  • 也就是说,从目前的反馈来看,这种情况是有可能发生的?
    2020年11月5日 7:59
  • 您好,

    感谢您的回复。

    因为每个客户的AD环境不同,所以不能一概而论。我们当前未发现 582X 系列的日志记录,可以使用上述提到的脚本进一步验证下。如果都是正常的话,当DC处于强制执行模式时,我们可以观察一段时间。如果一切都能正常工作,那就最好了。

    强制模式告诉域控制器不允许来自不使用安全RPC的设备的Netlogon连接,除非已将这些设备帐户添加到“域控制器:允许易受攻击的Netlogon安全通道连接”组策略中。如果计算机账户不能正常连接,我们可以将账户添加到上述的组策略中。此安全设置确定域控制器是否为指定的计算机帐户绕过Netlogon安全通道连接的安全RPC。

    但是通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。最终目标应该是解决该组策略中的所有帐户并将其删除。

    默认情况下,已完全更新的受支持的Windows版本不应使用易受攻击的Netlogon安全通道连接。所以,如果可以的话,建议我们可以将这个客户端升级到受支持的版本,

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月6日 3:19
  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月9日 1:33
  • 尊敬的客户,您好!

    请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月11日 2:14