Microsoft waarschuwt beheerders dat Netlogon Domain Controller Enforcement Mode binnenkort standaard wordt ingeschakeld

In een bericht op de Microsoft Security Response Center Microsoft heeft netwerkbeheerders gewaarschuwd dat een komende Windows-beveiligingsupdate binnenkort zal betekenen dat de handhavingsmodus van de domeincontroller standaard wordt ingeschakeld.

De stap is om een ​​kritieke externe code-exploit in het Netlogon-protocol aan te pakken (CVE-2020-1472) waar een aanvaller een kwetsbare beveiligde Netlogon-kanaalverbinding met een domeincontroller tot stand kan brengen met behulp van het Netlogon Remote Protocol (MS-NRPC). Een aanvaller die misbruik weet te maken van het beveiligingslek, kan een speciaal vervaardigde toepassing uitvoeren op een apparaat in het netwerk.

Na de update zullen apparaten alleen verbinding maken via beveiligde RPC met het beveiligde Netlogon-kanaal, tenzij klanten expliciet hebben toegestaan ​​dat het account kwetsbaar is door een uitzondering toe te voegen voor het niet-compatibele apparaat.? Dit blokkeert kwetsbare verbindingen van niet-compatibele apparaten

Wat te doen

Om netwerkbeheerders voor te bereiden, moeten ze:

• UPDATE hun domeincontrollers met een update die op 11 augustus 2020 of later is uitgebracht.
• VINDEN welke apparaten kwetsbare verbindingen maken door gebeurtenislogboeken te bewaken.
• ADRES niet-compatibele apparaten die kwetsbare verbindingen maken.
• ENABLE Domeincontroller afdwingingsmodus om aan te pakken CVE-2020-1472 in uw omgeving.

Beheerders zouden de bijgewerkte moeten bekijken Veelgestelde vragen  richtlijnen van augustus om meer duidelijkheid te verschaffen over deze aanstaande wijziging.

De beveiligingsupdate die de overstap naar de handhavingsmodus van de domeincontroller maakt, wordt uitgerold op de volgende patch-dinsdag, 9 februari 2021.

Lees meer over de wijzigingen bij Microsoft hier.