Microsoft warnt Administratoren, dass der Netlogon Domain Controller Enforcement Mode bald standardmäßig aktiviert wird

In einem Beitrag auf der Microsoft Security Response Center Microsoft hat Netzwerkadministratoren gewarnt, dass ein kommendes Windows-Sicherheitsupdate bald dazu führen wird, dass der Domänencontroller-Erzwingungsmodus standardmäßig aktiviert wird.

Der Schritt besteht darin, einen kritischen Remote-Code-Exploit im Netlogon-Protokoll (CVE-2020-1472), bei der ein Angreifer mithilfe des Netlogon-Remoteprotokolls (MS-NRPC) eine anfällige sichere Netlogon-Kanalverbindung zu einem Domänencontroller herstellen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine speziell gestaltete Anwendung auf einem Gerät im Netzwerk ausführen.

Nach dem Update verbinden sich Geräte nur über sicheren RPC mit dem sicheren Netlogon-Kanal, es sei denn, Kunden haben ausdrücklich zugelassen, dass das Konto angreifbar ist, indem sie eine Ausnahme für das nicht konforme Gerät hinzufügen.? Dadurch werden anfällige Verbindungen von nicht konformen Geräten blockiert

Was ist zu tun

Zur Vorbereitung müssen Netzwerkadministratoren Folgendes tun:

• AKTUALISIEREN ihre Domänencontroller mit einem Update, das am 11. August 2020 oder später veröffentlicht wurde.
• FINDEN welche Geräte anfällige Verbindungen herstellen, indem Ereignisprotokolle überwacht werden.
• ADRESSE nicht konforme Geräte, die anfällige Verbindungen herstellen.
• AKTIVIEREN Domänencontroller-Erzwingungsmodus zu adressieren CVE-2020-1472 in Ihrer Umgebung.

Administratoren sollten die aktualisierte Datei überprüfen FAQs Leitlinien vom August, um weitere Klarheit über diese bevorstehende Änderung zu schaffen.

Das Sicherheitsupdate, das den Wechsel in den Domänencontroller-Erzwingungsmodus vornimmt, wird am nächsten Patchday, dem 9. Februar 2021, ausgerollt.

Lesen Sie mehr über die Änderungen bei Microsoft hier.