Microsoft advierte a los administradores que el modo de cumplimiento del controlador de dominio de Netlogon se habilitará de forma predeterminada pronto

En una publicación en el Centro de respuestas de seguridad de Microsoft Microsoft ha advertido a los administradores de red que una próxima actualización de seguridad de Windows pronto significará que el modo de aplicación del controlador de dominio se habilitará de forma predeterminada.

El movimiento es para abordar una vulnerabilidad crítica de código remoto en el protocolo Netlogon (CVE-2020-1472) donde un atacante puede establecer una conexión de canal seguro Netlogon vulnerable a un controlador de dominio, utilizando el protocolo remoto Netlogon (MS-NRPC). Un atacante que aprovechara con éxito la vulnerabilidad podría ejecutar una aplicación especialmente diseñada en un dispositivo de la red.

Después de la actualización, los dispositivos solo se conectarán mediante RPC seguro con el canal seguro de Netlogon, a menos que los clientes hayan permitido explícitamente que la cuenta sea vulnerable agregando una excepción para el dispositivo no conforme. Esto bloqueará las conexiones vulnerables de dispositivos no compatibles

Qué hacer

Para prepararse, los administradores de red deben:

• ACTUALIZAR sus controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.
• ENCONTRAR qué dispositivos están haciendo conexiones vulnerables al monitorear los registros de eventos.
• DIRECCION dispositivos no compatibles que hacen conexiones vulnerables.
• HABILITAR Modo de aplicación del controlador de dominio para abordar CVE-2020-1472 en su entorno.

Los administradores deben revisar la actualización Preguntas Frecuentes orientación de agosto para brindar mayor claridad sobre este próximo cambio.

La actualización de seguridad que cambia al modo de aplicación del controlador de dominio se implementará el próximo martes de parches, el 9 de febrero de 2021.

Más información sobre los cambios en Microsoft esta página.