Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

    Security-TeaserIm August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

    Ursache für die entdeckte Sicherheits­lücke ist die schwache AES-Verschlüsselung in einem Netlogon Secure Channel. Sie ermöglicht einem nicht authen­tifizierten Angreifer, die Identität eines PCs in der Domäne oder eines DCs anzunehmen und so administrative Privilegien zu erhalten.

    Patch mit dem August-Update

    Microsoft reagierte bereits mit dem kumulativen Update im August (KB4571694) und brachte eine Lösung für dieses Problem. Sie erfordert einen Secure RPC für Netlogon-Verbindungen. Der Patch sollte auf allen Domänen-Controllern, inklusive der RODCs, installiert werden.

    Während der ersten Phase erzwingen DCs die Verschlüsselung und Signierung nur bei der Anmeldung von Windows-Rechnern. Andere Geräte können weiterhin das weniger sichere Verfahren nutzen, wobei der DC dann das Ereignis 5829 in das Eventlog schreibt. Diese Einträge könnte man mit

    Get-EventLog -LogName System -InstanceId 5829  -Source NETLOGON | Format-List

    anzeigen.

    Sie sollten Admins helfen, Geräte zu identifizieren, die bei einer vollständigen Durch­setzung des sicheren RPC Probleme hätten, sich zu authen­tifizieren. Das trifft insbe­sondere auf Rechner zu, die Samba nutzen. Auch dafür existieren bereits Patches (zum Beispiel hier für Ubuntu), die dringend auf Linux-Maschinen angewandt werden müssen, wenn sie als DCs fungieren.

    Umschalten in den Enforcement Mode

    Wenn kein Client eine unsichere Netlogon-Verbindung mit einem Domänen-Controller herstellen will, dann kann man auf DCs den Registry-Schlüssel FullSecureChannelProtection unter

    HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    auf den Wert 1 setzen und so ausschließlich Netlogon Secure Channel über Secure RPC zulassen.

    Über den Registry Key FullSecureChannelProtection lassen sich DCs in den Enforcement Mode schalten.

    Wenn man diese Maßnahme nicht ergreift, dann ist das Risiko dennoch geringer als bei der Entdeckung der Schwach­stelle. Das Update bessert nämlich auf bei der Verschlüsselung nach.

    Phase des Enforcement

    Mit dem 9. Februar 2021 schaltet Microsoft die Domänen-Controller in den Modus, in den sie der oben genannte Registrier­schlüssel versetzt. Der Key verliert dann jedoch seine Wirkung, ein Zurück zu unsicheren Verbindungen über die Zuweisung des Werts 0 ist jetzt nicht mehr möglich.

    Außerdem hören DCs mit diesem Datum auf, den Log-Eintrag 5829 zu schreiben, so dass Admins entsprechende Geräte bis dahin bereits identifiziert haben sollten. Weiterhin aufgezeichnet werden jedoch die Events 5827 und 5828, wenn Domänen-Controller unsichere Verbindungen ablehnen.

    Sollten sich immer noch Geräte im Netz befinden, die sich an der Domäne anmelden müssen, aber sich nicht aktualisieren lassen, um das abgesicherte Netlogon zu nutzen, dann kann man für sie eine Ausnahme einrichten.

    Über diese Einstellung in den Gruppenrichtlinien können sich inkompatible Geräte weiter am AD anmelden.

    Microsoft sieht dafür eine neue Einstellung in der Gruppenrichtlinien unter Computer­konfiguration => Richt­linien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen vor. Sie heißt Domain controller: Allow vulnerable Netlogon secure channel connections ("Domänen-Controller: Sichere Verbindungen mit verwundbaren Kanäle über den Anmeldedienst (Netlogon) zulassen").

    Nach Aktivieren der Richtlinie weist man ihr die Computer- oder Service-Konten zu, die sich über eine unsichere Verbindung anmelden dürfen. Dabei sollte es sich natürlich um keine dauerhafte Lösung handeln, sondern sie soll nur dazu dienen, um die Zeit bis zur Aktualisierung der betreffenden Geräte zu überbrücken.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare