Microsoft предупреждает администраторов, что режим принудительного применения контроллера домена Netlogon скоро будет включен по умолчанию

В сообщении на Центр реагирования на вопросы безопасности Майкрософт Microsoft предупредила сетевых администраторов, что грядущее обновление безопасности Windows скоро будет означать, что принудительный режим контроллера домена будет включен по умолчанию.

Этот шаг заключается в устранении критической уязвимости удаленного кода в протоколе Netlogon (CVE-2020-1472), где злоумышленник может установить уязвимое подключение безопасного канала Netlogon к контроллеру домена, используя удаленный протокол Netlogon (MS-NRPC). Злоумышленник, успешно воспользовавшийся уязвимостью, может запустить специально созданное приложение на устройстве в сети.

После обновления устройства будут подключаться только с использованием безопасного RPC с безопасным каналом Netlogon, если только клиенты явно не разрешили учетную запись быть уязвимой, добавив исключение для несовместимого устройства.? Это заблокирует уязвимые соединения с несовместимых устройств.

Что делать

Для подготовки сетевых администраторов необходимо:

• ОБНОВЛЕНИЕ ПО свои контроллеры домена с обновлением, выпущенным 11 августа 2020 г. или позже.
• НАЙТИ какие устройства создают уязвимые соединения, отслеживая журналы событий.
• АДРЕС несовместимые устройства, создающие уязвимые соединения.
• ВКЛЮЧИТЬ Режим принудительного применения контроллера домена для адреса CVE-2020-1472 в вашем окружении.

Админы должны просмотреть обновленную Часто задаваемые вопросы руководство от августа, чтобы внести дополнительную ясность в отношении этого предстоящего изменения.

Обновление безопасности, которое переключает режим принудительного применения контроллера домена, будет выпущено в следующий вторник исправлений, 9 февраля 2021 года.

Подробнее об изменениях в Microsoft здесь.