none
请教关于CVE-2020-1472,如果DC启用了强制模式,是否会影响早期版本的Windows客户端登录? RRS feed

  • 问题

  • 请教一下关于CVE-2020-1472漏洞,如果DC(Win2016)安装了kb4571694补丁后,通过修改 FullSecureChannelProtection 注册表值启用了强制模式,那些早期版本(Win2000/WinXP/Win7)的客户端登录是否会受影响?是否需要先将这些机器的AD账号加到 Allow vulnerable Netlogon secure channel connections 组策略中去?

    2020年9月17日 8:21

答案

  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Stanley_L 2020年9月21日 8:23
    2020年9月21日 1:24
  • Hi Hannah,

    我测试下来,启用DC强制实施模式后,WinXP(SP3)和Win7(SP1)的客户端均不受影响。

    感谢你的回复。

    • 已标记为答案 Stanley_L 2020年9月21日 8:23
    2020年9月21日 8:23

全部回复

  • 尊敬的客户,您好,

    Win2000/WinXP/Win7属于较早的版本了,现在已经不支持了,也不会有新的补丁了。建议我们可以升级到受支持的操作系统。

    此更新将分两个阶段发布:在2020年8月11日或之后发布的更新的初始阶段以及在2021年2月9日或之后发布的更新的执行阶段。这些更新强制指定的Netlogon客户端行为,以在成员计算机和Active Directory(AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。

    部署2020年8月11日更新的目的(初始阶段)=>查找不兼容的设备。
    部署2021年2月9日更新的目的(强制阶段)=>启用DC强制实施模式。

    将8月11日的更新部署到林中的所有DC(包括Windows DC(包括只读域控制器)和非Windows DC)之后,默认情况下,已完全更新的受支持Windows版本不应使用易受攻击的Netlogon安全通道连接。只要允许存在漏洞的Netlogon安全通道连接,就在系统事件日志中记录事件ID 5829。这些事件将包括用于识别不兼容设备的相关信息。这些事件应在配置DC 强制模式之前或在2021年2月9日开始强制阶段之前解决。

    所以在初始阶段我们就可以发现不兼容的设备,也就是可以确认Win2000/WinXP/Win7会不会受到影响。

    如果上述事件在配置DC 强制模式之前或在2021年2月9日开始强制阶段之前得不到解决的话,当DC处于强制执行模式时,这些连接将被拒绝。在DC处于强制执行模式之前,我们可以部署上述提到的组策略。但是通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。最终目标应该是解决该组策略中的所有帐户并将其删除。

    详细信息,可以参考:
    https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

    如有问题,请随时联系我们。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年9月17日 9:26
  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Stanley_L 2020年9月21日 8:23
    2020年9月21日 1:24
  • Hi Hannah,

    我测试下来,启用DC强制实施模式后,WinXP(SP3)和Win7(SP1)的客户端均不受影响。

    感谢你的回复。

    • 已标记为答案 Stanley_L 2020年9月21日 8:23
    2020年9月21日 8:23
  • 那我需要问一下,那启用强制模式的作用是什么?客户端未安装相应补丁的还能和强制模式的域控进行通讯?我看到相关文章显示客户端、服务器都需要安装补丁。

    ...

    2020年10月10日 7:16
  • DC启用强制模式后,不支持较新的加密会话的客户端将不被允许和DC实现AD账户验证,从而避免利用旧版加密算法漏洞的攻击行为。

    根据我测试的结果,DC安装补丁并启用强制模式后,WinXP以上的客户端都不受影响,可以正常登录。只有一些比较老的第三方设备(比如较老型号的NetApp)的AD验证受影响,需要将对这些设备启用Allow vulnerable Netlogon secure channel connections 组策略,允许它们仍通过旧版加密会话进行AD验证。

    以我的理解,在这种情况下,理论上对DC的威胁仍存在,但范围已经缩小到启用了 Allow vulnerable Netlogon secure channel connections 策略的客户端。理想状况应当是彻底升级或替换这些客户端,以完全杜绝威胁。


    2020年10月10日 8:44