Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

Microsoft reagierte bereits mit dem kumulativen Update im August (KB4571694) und brachte eine Lösung für dieses Problem. Sie erfordert einen Secure RPC für Netlogon-Verbindungen. Der Patch sollte auf allen Domänen-Controllern, inklusive der RODCs, installiert werden.

Während der ersten Phase erzwingen DCs die Verschlüsselung und Signierung nur bei der Anmeldung von Windows-Rechnern. Andere Geräte können weiterhin das weniger sichere Verfahren nutzen, wobei der DC dann das Ereignis 5829 in das Eventlog schreibt. Diese Einträge könnte man mit

Get-EventLog -LogName System -InstanceId 5829  -Source NETLOGON | Format-List

anzeigen.

Sie sollten Admins helfen, Geräte zu identifizieren, die bei einer vollständigen Durch­setzung des sicheren RPC Probleme hätten, sich zu authen­tifizieren. Das trifft insbe­sondere auf Rechner zu, die Samba nutzen. Auch dafür existieren bereits Patches (zum Beispiel hier für Ubuntu), die dringend auf Linux-Maschinen angewandt werden müssen, wenn sie als DCs fungieren.

Umschalten in den Enforcement Mode

Wenn kein Client eine unsichere Netlogon-Verbindung mit einem Domänen-Controller herstellen will, dann kann man auf DCs den Registry-Schlüssel FullSecureChannelProtection unter

HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

auf den Wert 1 setzen und so ausschließlich Netlogon Secure Channel über Secure RPC zulassen.

Wenn man diese Maßnahme nicht ergreift, dann ist das Risiko dennoch geringer als bei der Entdeckung der Schwach­stelle. Das Update bessert nämlich auf bei der Verschlüsselung nach.

Phase des Enforcement

Mit dem 9. Februar 2021 schaltet Microsoft die Domänen-Controller in den Modus, in den sie der oben genannte Registrier­schlüssel versetzt. Der Key verliert dann jedoch seine Wirkung, ein Zurück zu unsicheren Verbindungen über die Zuweisung des Werts 0 ist jetzt nicht mehr möglich.

Außerdem hören DCs mit diesem Datum auf, den Log-Eintrag 5829 zu schreiben, so dass Admins entsprechende Geräte bis dahin bereits identifiziert haben sollten. Weiterhin aufgezeichnet werden jedoch die Events 5827 und 5828, wenn Domänen-Controller unsichere Verbindungen ablehnen.

Sollten sich immer noch Geräte im Netz befinden, die sich an der Domäne anmelden müssen, aber sich nicht aktualisieren lassen, um das abgesicherte Netlogon zu nutzen, dann kann man für sie eine Ausnahme einrichten.

Microsoft sieht dafür eine neue Einstellung in der Gruppenrichtlinien unter Computer­konfiguration => Richt­linien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen vor. Sie heißt Domain controller: Allow vulnerable Netlogon secure channel connections ("Domänen-Controller: Sichere Verbindungen mit verwundbaren Kanäle über den Anmeldedienst (Netlogon) zulassen").

Nach Aktivieren der Richtlinie weist man ihr die Computer- oder Service-Konten zu, die sich über eine unsichere Verbindung anmelden dürfen. Dabei sollte es sich natürlich um keine dauerhafte Lösung handeln, sondern sie soll nur dazu dienen, um die Zeit bis zur Aktualisierung der betreffenden Geräte zu überbrücken.