• Linkedin
  • Xing
  • Youtube
  • Twitter
+49 89 324756-0 info@infowan.de teamviewer-logoTeamViewer
infoWAN
  • Leistungen
    • Consulting
      • Strategieberatung
      • Migration
      • FastTrack
      • Adoption & Change Empowerment
    • Workshops
      • Teams Einführungs- und Vertiefungsangebote
      • Teamwork Assessment
      • Secure Remote Work Workshop
      • IT-Security und Compliance Workshop
      • Compliance Workshop
      • Office 365 Readiness Network Assessment
      • Client-Security-Workshops
      • Azure Workshops
      • Identity Workshop
      • Future of Identity
      • Rapid Cyberattack Assessment
    • Managed Services
      • GUMS
      • Azure VM
      • Service & Support
  • Expertise
    • Technologien
      • Microsoft 365
      • Office 365
      • Teams
      • Teams FAQ
      • Skype for Business
      • Exchange
      • SharePoint
      • Cloudsignatur
    • Technologien
      • Windows 10
      • Active Directory
      • Windows Server
      • Azure
      • EM+S
      • Intune
      • Cloudfax
    • Lösungen
      • Modernes Arbeiten
      • Sichere Infrastruktur
  • Referenzen
      • Neoperl
      • Kerberos Compliance-Managementsysteme
      • Serviceplan
      • Evernine
      • Daimler AG
      • KE-TEC
      • erdgas schwaben
      • Landratsamt Dachau
      • Aenova
      • Sixt
      • SubAqua
      • Landkreis Landshut
  • Karriere
      • Jobs
      • Fort- und Weiterbildungen
      • Das sagen unsere Mitarbeiter
  • Über uns
      • Kompetenzen
      • Standorte
      • Partner
      • Impressum
      • Datenschutz
  • Blog
  • Kontakt
  • Suche
  • Menü

Gefahr für Active Directory (Trusts) – Änderungen am Netlogon Secure Channel

24. August 2020/von Christian Friedel-Jain

Im Rahmen des August Patch Days wurden Änderungen bezüglich des Netlogon Secure Channel bekanntgegeben (KB4557222). Diese Änderungen werden in zwei Phasen implementiert:

  • Initial Deployment Phase – 11. August 2020
  • Enforcement Phase – 09. Februar 2021

TL;DR – Kurzzusammenfassung

  • Im Rahmen des August Patch Day kritische Lücke mit Score 10 von 10 veröffentlicht.
  • Domänencontroller patchen und anschließend sofort System Event Logs der Domänencontroller auf Events 5827, 5828, 5829, 5830 & 5831 prüfen.
  • Sofern Ereignisse protokolliert werden, Anpassung der Systeme durchführen.
  • Möglichst vor Februar 2021 den Enforcement Modus über die Registry aktivieren und testen.

Klingt spannend? Lesen Sie hier mehr Details.

Ausführliche Informationen

Im Rahmen der Initial Deployment Phase erfolgte die Einführung von:

  • Erzwingen der Nutzung des sicheren Kanals (Secure Channel) für alle Computer-Konten Windows-basierender Systeme.
  • Erzwingen der Nutzung des sicheren Kanals für Active Directory-Trust-Konten.
  • Erzwingen der Nutzung des sicheren Kanals für alle Windows- und nicht Windows-basierenden Domänencontroller.
  • Einführen eines neuen Group Policy Settings: „Domain controller: Allow vulnerable Netlogon secure channel connections”.
  • Einführen neuer EventIDs: 5827, 5828, 5829, 5830, 5831.
  • Einführung des „FullSecureChannelProtection“ Registry Schlüssels, der eine vorzeitige Nutzung des Enforcement Modus ermöglich.

Änderungen im Rahmen der Enforcement Phase, im Februar 2021:

  • Windows Domänencontroller lehnen unsichere Verbindungen ab, unabhängig von der zuvor vorhandenen Konfiguration des Registry Schlüssels „FullSecureChannelProtection“. Systeme, die weiterhin in unsicherer Weise den Secure Channel nutzen wollen, müssen über die Gruppenrichtlinien-Einstellung „Domain controller: Allow vulnerable Netlogon secure channel connections” definiert werden.

Wichtige Information

Innerhalb der Updatebeschreibung wird die Frage beantwortet, welchen Einfluss die Änderung im Rahmen der „Initial Deployment Phase“ hat, sofern keine weiteren Schritte ausgeführt werden.

Dazu folgender Auszug (gelbe Markierung) aus dem dazugehörigen CVE-Artikel CVE-2020-1472:

CVE-2020-1472 FAQ

Im Rahmen eines Kundenprojektes konnten wir feststellen, dass diese Aussage nicht in allen Fällen zutrifft. Direkt nach der Installation der August Updates innerhalb eines Active Directory Forest, schlug die Authentifizierung und der Zugriff auf Ressourcen in einem anderen Active Directory Forest fehl. Zu erkennen war dies durch folgendes Event im System Log:

Logon error

Ursache für die abgelehnte Verbindung war eine abweichende Gruppenrichtlinien-Einstellung bezüglich des sicheren Kanals (Secure Channel). Hier betraf es vor allem die folgende Einstellung:

  • Domain member: Digitally encrypt or sign secure channel data (always)

Solange diese Einstellung den Wert „Deaktiviert“ (Disabled) aufgewiesen hat, wurde die Verbindung über den Active Directory Trust abgelehnt. Die Einstellung musste dem im Event genannten Active Directory Forest angepasst werden.

Sofern auf einem Windows System die Einstellung bezüglich des Secure Channels deaktiviert ist, wird folgendes Event auf dem Domänencontroller protokolliert:

Logon Event 5827

Sofern der betroffene Windows Client/Server ein aktuelles und gepatchtes Betriebssystem aufweist, sollte im nächsten Schritt die Einstellung zum Secure Channel geprüft werden:

GPO SecureChannel

Weitere Hinweise zu der geplanten Anpassung des Netlogon Secure Channel

Mit der Installation des August Patches wurden die bereits genannten EventIDs eingeführt. Nachfolgend finden Sie eine kurze Beschreibung der Bedeutung der Events und welche Aktion Sie beim Auftreten des Events ergreifen sollten.

EventID Hinweis Betroffene Konten Kurzfristige Lösung Langfristige Behebung
5827 Verbindung abgelehnt Computer Konten Konto in die Allow-Liste aufnehmen 1. Prüfung, dass das System ein unterstütztes Betriebssystem aufweist.

2. Prüfung, dass das System ein aktualisiertes Betriebssystem aufweist.

3. Sicherstellen, dass „ Domain member: Digitally encrypt or sign secure channel data (always)” den Wert “Enabled” aufweist.

5828 Verbindung abgelehnt Active Directory Trust Konto in die Allow-Liste aufnehmen 1. Sofern nicht-Windows DC* Secure Channel unterstützt, Secure Channel aktivieren

2. Falls nicht-Windows DC* Secure Channel nicht unterstützt, Kontakt zum Hersteller aufnehmen.

3. Sofern kein Update zur Secure Channel Unterstützung des nicht-Windows-DCs verfügbar ist, nicht-Windows DC ersetzen.

5829 Verbindung wird mit Umsetzung der Enforcement Phase abgelehnt Vorrangig non-compliant 3rd Party Devices Initial Deployment Phase: keine Aktion

Enforcement Phase: Konto in die Allow-Liste aufnehmen

1. Aktivierung Secure Channel, sofern vom Device supported

2. Falls kein Support für Secure Channel, Gerät aktualisieren.

3. Sofern kein Update für Secure Channel verfügbar ist, Gerät ersetzen.

5830 Unsichere Verbindung per GPO zugelassen Computer Konten – Überwachen und weiter an Lösung arbeiten.
5831 Unsichere Verbindung per GPO zugelassen Active Directory Trust – Überwachen und weiter an Lösung arbeiten.

* Nicht-Windows DC: Darunter verstehen wir u. a. Identity Management Software, wie z. B. von Samba und Red Hat FreeIPA.

Weitere Informationen zum Secure Channel Update liefern folgende Microsoft Webseiten:

  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
  • https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

infoWAN Datenkommunikation GmbH

Parkring 29
85748 Garching b. München

Tel: +49 89 324756-0
Fax: +49 89 324756-99

infoWAN Newsletter

Erhalten Sie regelmäßig Tipps, Best Practises und Neuigkeiten von Microsoft und infoWAN.

Anmeldung Newsletter
© 2015-2021 infoWAN Datenkommunikation GmbH
  • Linkedin
  • Xing
  • Youtube
  • Twitter
  • Impressum
  • Datenschutz
  • Office 365
  • Teams
infoWAN wird Teil der Cloud Champions infoWAN WaterlandZerbor Tipps E-Mail Archiv MigrationAndreyPopov 7 Punkte, die Sie bei einer E-Mail-Archivmigration bedenken sollten
Nach oben scrollen