none
windows server 开启FullSecureChannelProtection问题 RRS feed

  • 问题

  • 关于CVE-2020-1472 | Netlogon 特权提升漏洞,如果2008r2,2012r2,2016域控不安装8月11日的安全更新补丁

    FullSecureChannelProtection这个注册表键值是否可以手动添加,然后开启dc强制模式?


    2020年9月18日 2:14

答案

  • 没有ESU的话,2008R2已经不受支持了,存在安全性隐患,你想修改注册表的话是可以的,但是效果无法保证,建议先备份注册表,然后再修改

    Please mark the reply as an answer if you find it is helpful.

    • 已标记为答案 nelson2004 2020年9月18日 7:01
    2020年9月18日 4:46

全部回复

  • 不可以,这个CVE-2020-1472漏洞补丁不仅仅是一个注册表键值的修改,还包括其它方面的安全修复,建议安装该补丁。并且经过测试,该补丁确实可以发挥效果

    The updates will enable the Domain Controllers (DCs) to protect Windows devices by default, log events for non-compliant device discovery, and have the option to enable protection for all domain-joined devices with explicit exceptions.

    The second phase, planned for a Q1 2021 release, marks the transition into the enforcement phase. The DCs will be placed in enforcement mode, which requires all Windows and non-Windows devices to use secure Remote Procedure Call (RPC) with Netlogon secure channel or to explicitly allow the account by adding an exception for any non-compliant device.

    如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改

    https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc


    如果认为回复者的答复有所帮助,请将之“标记为答案”,这样可以帮助更多的用户获取有效信息


    2020年9月18日 3:40
  • 你好,我现在的2008r2没有esu,无法安装此补丁,所以希望使用手动添加注册表键值的方式,开启强制模式。
    2020年9月18日 4:01
  • 没有ESU的话,2008R2已经不受支持了,存在安全性隐患,你想修改注册表的话是可以的,但是效果无法保证,建议先备份注册表,然后再修改

    Please mark the reply as an answer if you find it is helpful.

    • 已标记为答案 nelson2004 2020年9月18日 7:01
    2020年9月18日 4:46