none
CVE-2020-1472 漏洞请教! RRS feed

  • 问题

  • 尊敬的微软工程师,

    https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1472

    中有一段烦请解释一下:

    Microsft 打算如何修复此漏洞?


    Microsoft 正在修复此阶段性推广中的漏洞。初始部署阶段以 2020 年 8 月 11 日发布的 Windows 更新开始。该更新有助于域控制器 (DC) 在默认情况下保护 Windows 设备,记录非符合性设备发现事件,并可选择通过显式异常保护所有已加入域的设备。


    2021 年第一季度计划发布的第二阶段更新标志着过渡至强制模式阶段。DC 将被置于强制模式中,强制模式要求所有 Windows 和非 Windows 设备使用带有 Netlogon 安全通道的安全 RPC 或通过向任何非符合性设备添加异常来明确允许帐户。

    我没理解这个强制模式阶段是啥意思,能否解释一下?

    这份链接中提到漏洞我是否可以理解为补丁更新到如下水平可以解决漏洞:

    微软OS 补丁更新 补丁更新
    Window2008 4571729 4571719
    Window2008R2 4571729 4571719
    Windows2012 4571736 4571702
    Windows2012R2 4571703 4571723
    Windows2016

    4571694


    谷青松


    • 已编辑 谷青松 2020年8月12日 2:30 补充
    2020年8月12日 2:19

答案

  • 你好,

    根据您提供的链接信息有关的漏洞修复解释,我也查看了一些相关的信息,基本上就是按您理解的没错。安装8月份的更新是需要的。

    第一阶段指的就是刚刚发布的811日的安全更新。第二阶段则是将在2021年第一季度发布的更新。

    因为对于这个修复现在只在第一阶段,那么在安装8月份的更新后,可以在注册表中提早的开启这个强制模式,这给了我们一个选择。而到了21年的话,那么这个就会强制的进行开启这个模式了。

    主要还是更新对 Netlogon 协议进行更改,以默认保护 Windows 设备,记录不合规设备发现的事件,并增加对所有加入域的设备(有显式异常)启用保护的能力。

    强制模式是指所有 Netlogon 连接均需使用安全 RPC,或必须将帐户添加到 "域控制器: 允许易受攻击的 Netlogon 安全频道连接 "组策略。这是个组策略,需要我们手动的设置。同时这个时候就不再需要之前的注册表项,将不再受支持。

    202129日发布将切换标记为 "强制" 阶段。 无论强制模式注册表项如何,Dc 现在都处于强制模式。 这要求所有 Windows 和非 Windows 设备将安全 RPC Netlogon 安全频道配合使用,或者通过添加不合规设备的例外来显式允许帐户。此版本: 在非 Windows 设备上对计算机帐户强制实施安全 RPC 使用,除非 "域控制器允许: 允许易受攻击的 Netlogon 安全频道连接 "组策略。 将删除事件 ID 5829 的日志记录。 由于所有易受攻击的连接都被拒绝,因此在系统事件日志中现在只能看到事件 Id 5827 5828

    下方是这个发布过程的几个阶段说明,对您可能会有帮助。

    https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#EnforcementMode

    如果回答是有帮助的请将其标记为答案可以帮助其他有相同问题的社区成员并快速找到有用的答复。



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    • 已标记为答案 谷青松 2020年8月13日 5:56
    2020年8月12日 8:54