Gefahr für Active Directory (Trusts) – Änderungen am Netlogon Secure Channel
Im Rahmen des August Patch Days wurden Änderungen bezüglich des Netlogon Secure Channel bekanntgegeben (KB4557222). Diese Änderungen werden in zwei Phasen implementiert:
- Initial Deployment Phase – 11. August 2020
- Enforcement Phase – 09. Februar 2021
TL;DR – Kurzzusammenfassung
- Im Rahmen des August Patch Day kritische Lücke mit Score 10 von 10 veröffentlicht.
- Domänencontroller patchen und anschließend sofort System Event Logs der Domänencontroller auf Events 5827, 5828, 5829, 5830 & 5831 prüfen.
- Sofern Ereignisse protokolliert werden, Anpassung der Systeme durchführen.
- Möglichst vor Februar 2021 den Enforcement Modus über die Registry aktivieren und testen.
Klingt spannend? Lesen Sie hier mehr Details.
Ausführliche Informationen
Im Rahmen der Initial Deployment Phase erfolgte die Einführung von:
- Erzwingen der Nutzung des sicheren Kanals (Secure Channel) für alle Computer-Konten Windows-basierender Systeme.
- Erzwingen der Nutzung des sicheren Kanals für Active Directory-Trust-Konten.
- Erzwingen der Nutzung des sicheren Kanals für alle Windows- und nicht Windows-basierenden Domänencontroller.
- Einführen eines neuen Group Policy Settings: „Domain controller: Allow vulnerable Netlogon secure channel connections”.
- Einführen neuer EventIDs: 5827, 5828, 5829, 5830, 5831.
- Einführung des „FullSecureChannelProtection“ Registry Schlüssels, der eine vorzeitige Nutzung des Enforcement Modus ermöglich.
Änderungen im Rahmen der Enforcement Phase, im Februar 2021:
- Windows Domänencontroller lehnen unsichere Verbindungen ab, unabhängig von der zuvor vorhandenen Konfiguration des Registry Schlüssels „FullSecureChannelProtection“. Systeme, die weiterhin in unsicherer Weise den Secure Channel nutzen wollen, müssen über die Gruppenrichtlinien-Einstellung „Domain controller: Allow vulnerable Netlogon secure channel connections” definiert werden.
Wichtige Information
Innerhalb der Updatebeschreibung wird die Frage beantwortet, welchen Einfluss die Änderung im Rahmen der „Initial Deployment Phase“ hat, sofern keine weiteren Schritte ausgeführt werden.
Dazu folgender Auszug (gelbe Markierung) aus dem dazugehörigen CVE-Artikel CVE-2020-1472:
Im Rahmen eines Kundenprojektes konnten wir feststellen, dass diese Aussage nicht in allen Fällen zutrifft. Direkt nach der Installation der August Updates innerhalb eines Active Directory Forest, schlug die Authentifizierung und der Zugriff auf Ressourcen in einem anderen Active Directory Forest fehl. Zu erkennen war dies durch folgendes Event im System Log:
Ursache für die abgelehnte Verbindung war eine abweichende Gruppenrichtlinien-Einstellung bezüglich des sicheren Kanals (Secure Channel). Hier betraf es vor allem die folgende Einstellung:
- Domain member: Digitally encrypt or sign secure channel data (always)
Solange diese Einstellung den Wert „Deaktiviert“ (Disabled) aufgewiesen hat, wurde die Verbindung über den Active Directory Trust abgelehnt. Die Einstellung musste dem im Event genannten Active Directory Forest angepasst werden.
Sofern auf einem Windows System die Einstellung bezüglich des Secure Channels deaktiviert ist, wird folgendes Event auf dem Domänencontroller protokolliert:
Sofern der betroffene Windows Client/Server ein aktuelles und gepatchtes Betriebssystem aufweist, sollte im nächsten Schritt die Einstellung zum Secure Channel geprüft werden:
Weitere Hinweise zu der geplanten Anpassung des Netlogon Secure Channel
Mit der Installation des August Patches wurden die bereits genannten EventIDs eingeführt. Nachfolgend finden Sie eine kurze Beschreibung der Bedeutung der Events und welche Aktion Sie beim Auftreten des Events ergreifen sollten.
| EventID | Hinweis | Betroffene Konten | Kurzfristige Lösung | Langfristige Behebung |
| 5827 | Verbindung abgelehnt | Computer Konten | Konto in die Allow-Liste aufnehmen | 1. Prüfung, dass das System ein unterstütztes Betriebssystem aufweist.
2. Prüfung, dass das System ein aktualisiertes Betriebssystem aufweist. 3. Sicherstellen, dass „ Domain member: Digitally encrypt or sign secure channel data (always)” den Wert “Enabled” aufweist. |
| 5828 | Verbindung abgelehnt | Active Directory Trust | Konto in die Allow-Liste aufnehmen | 1. Sofern nicht-Windows DC* Secure Channel unterstützt, Secure Channel aktivieren
2. Falls nicht-Windows DC* Secure Channel nicht unterstützt, Kontakt zum Hersteller aufnehmen. 3. Sofern kein Update zur Secure Channel Unterstützung des nicht-Windows-DCs verfügbar ist, nicht-Windows DC ersetzen. |
| 5829 | Verbindung wird mit Umsetzung der Enforcement Phase abgelehnt | Vorrangig non-compliant 3rd Party Devices | Initial Deployment Phase: keine Aktion
Enforcement Phase: Konto in die Allow-Liste aufnehmen |
1. Aktivierung Secure Channel, sofern vom Device supported
2. Falls kein Support für Secure Channel, Gerät aktualisieren. 3. Sofern kein Update für Secure Channel verfügbar ist, Gerät ersetzen. |
| 5830 | Unsichere Verbindung per GPO zugelassen | Computer Konten | – | Überwachen und weiter an Lösung arbeiten. |
| 5831 | Unsichere Verbindung per GPO zugelassen | Active Directory Trust | – | Überwachen und weiter an Lösung arbeiten. |
* Nicht-Windows DC: Darunter verstehen wir u. a. Identity Management Software, wie z. B. von Samba und Red Hat FreeIPA.
Weitere Informationen zum Secure Channel Update liefern folgende Microsoft Webseiten:
Zerbor
AndreyPopov