Microsoft varnar administratörer att Netlogon Domain Controller Enforcement Mode kommer att aktiveras som standard snart

I ett inlägg på Microsoft Security Response Center Microsoft har varnat nätverksadministratörer att en kommande Windows-säkerhetsuppdatering snart kommer att innebära att domänkontrollanters upprätthållande läge kommer att vara aktiverat som standard.

Flytten är att ta itu med en kritisk fjärrkodexploatering i Netlogon-protokollet (CVE-2020-1472) där en angripare kan upprätta en sårbar Netlogon säker kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC). En angripare som framgångsrikt utnyttjar sårbarheten kan köra ett specialtillverkat program på en enhet i nätverket.

Efter uppdateringen kommer enheter endast att ansluta med säker RPC med Netlogon säker kanal om inte kunderna uttryckligen har tillåtit att kontot är sårbart genom att lägga till ett undantag för den icke-kompatibla enheten. Detta kommer att blockera sårbara anslutningar från icke-kompatibla enheter

Vad ska man göra

För att förbereda nätverksadministratörer måste:

• UPPDATERING deras domänkontrollanter med en uppdatering släppt 11 augusti 2020 eller senare.
• HITTA vilka enheter som gör sårbara anslutningar genom att övervaka händelseloggar.
• ADRESS icke-kompatibla enheter som gör sårbara anslutningar.
• GÖR DET MÖJLIGT Domänkontrollant-tillämpningsläge att adressera CVE-2020-1472 i din miljö.

Administratörer bör granska den uppdaterade Vanliga frågor vägledning från augusti för att ge ytterligare klarhet om denna kommande förändring.

Säkerhetsuppdateringen som gör övergången till domänkontrollertillämpningsläge kommer att rullas ut nästa patchtisdag, den 9 februari 2021.

Läs mer om förändringarna hos Microsoft här..