Gefahr für Active Directory (Trusts) – Änderungen am Netlogon Secure Channel

von Christian Friedel-Jain

Kurzzusammenfassung

Im Rahmen des August Patch Days 2020 wurden Änderungen bezüglich des Netlogon Secure Channel bekanntgegeben (KB4557222). Diese Änderungen werden in zwei Phasen implementiert:

  • Initial Deployment Phase – 11. August 2020
  • Enforcement Phase – 09. Februar 2021
  • Im Rahmen des August Patch Day kritische Lücke mit Score 10 von 10 veröffentlicht.
  • Domänencontroller patchen und anschließend sofort System Event Logs der Domänencontroller auf Events 5827, 5828, 5829, 5830 & 5831 prüfen.
  • Sofern Ereignisse protokolliert werden, Anpassung der Systeme durchführen.
  • Möglichst vor Februar 2021 den Enforcement Modus über die Registry aktivieren und testen.

Klingt spannend? Lesen Sie hier mehr Details.

Ausführliche Informationen

Im Rahmen der Initial Deployment Phase erfolgte die Einführung von:

  • Erzwingen der Nutzung des sicheren Kanals (Secure Channel) für alle Computer-Konten Windows-basierender Systeme.
  • Erzwingen der Nutzung des sicheren Kanals für Active Directory-Trust-Konten.
  • Erzwingen der Nutzung des sicheren Kanals für alle Windows- und nicht Windows-basierenden Domänencontroller.
  • Einführen eines neuen Group Policy Settings: „Domain controller: Allow vulnerable Netlogon secure channel connections”.
  • Einführen neuer EventIDs: 5827, 5828, 5829, 5830, 5831.
  • Einführung des „FullSecureChannelProtection“ Registry Schlüssels, der eine vorzeitige Nutzung des Enforcement Modus ermöglich.

Änderungen im Rahmen der Enforcement Phase, im Februar 2021:

Windows Domänencontroller lehnen unsichere Verbindungen ab, unabhängig von der zuvor vorhandenen Konfiguration des Registry Schlüssels „FullSecureChannelProtection“. Systeme, die weiterhin in unsicherer Weise den Secure Channel nutzen wollen, müssen über die Gruppenrichtlinien-Einstellung „Domain controller: Allow vulnerable Netlogon secure channel connections” definiert werden.

Wichtige Information

Innerhalb der Updatebeschreibung wird die Frage beantwortet, welchen Einfluss die Änderung im Rahmen der „Initial Deployment Phase“ hat, sofern keine weiteren Schritte ausgeführt werden.

Dazu folgender Auszug (gelbe Markierung) aus dem dazugehörigen CVE-Artikel CVE-2020-1472:

Im Rahmen eines Kundenprojektes konnten wir feststellen, dass diese Aussage nicht in allen Fällen zutrifft. Direkt nach der Installation der August Updates innerhalb eines Active Directory Forest, schlug die Authentifizierung und der Zugriff auf Ressourcen in einem anderen Active Directory Forest fehl. Zu erkennen war dies durch folgendes Event im System Log:

Ursache für die abgelehnte Verbindung war eine abweichende Gruppenrichtlinien-Einstellung bezüglich des sicheren Kanals (Secure Channel). Hier betraf es vor allem die folgende Einstellung:

  • Domain member: Digitally encrypt or sign secure channel data (always)

 

Solange diese Einstellung den Wert „Deaktiviert“ (Disabled) aufgewiesen hat, wurde die Verbindung über den Active Directory Trust abgelehnt. Die Einstellung musste dem im Event genannten Active Directory Forest angepasst werden.

Sofern auf einem Windows System die Einstellung bezüglich des Secure Channels deaktiviert ist, wird folgendes Event auf dem Domänencontroller protokolliert:

Sofern der betroffene Windows Client/Server ein aktuelles und gepatchtes Betriebssystem aufweist, sollte im nächsten Schritt die Einstellung zum Secure Channel geprüft werden:

Weitere Hinweise zu der geplanten Anpassung des Netlogon Secure Channel

Mit der Installation des August Patches wurden die bereits genannten EventIDs eingeführt. Nachfolgend finden Sie eine kurze Beschreibung der Bedeutung der Events und welche Aktion Sie beim Auftreten des Events ergreifen sollten.

EventID

Hinweis

Betroffene Konten

Kurzfristige Lösung

Langfristige Behebung

5827

Verbindung abgelehnt

Computer Konten

Konto in die Allow-Liste aufnehmen

1. Prüfung, dass das System ein unterstütztes Betriebssystem aufweist.

2. Prüfung, dass das System ein aktualisiertes Betriebssystem aufweist.

3. Sicherstellen, dass „ Domain member: Digitally encrypt or sign secure channel data (always)” den Wert “Enabled” aufweist.

5828

Verbindung abgelehnt

Active Directory Trust

Konto in die Allow-Liste aufnehmen

1. Sofern nicht-Windows DC* Secure Channel unterstützt, Secure Channel aktivieren

2. Falls nicht-Windows DC* Secure Channel nicht unterstützt, Kontakt zum Hersteller aufnehmen.

3. Sofern kein Update zur Secure Channel Unterstützung des nicht-Windows-DCs verfügbar ist, nicht-Windows DC ersetzen.

5829

Verbindung wird mit Umsetzung der Enforcement Phase abgelehnt

Vorrangig non-compliant 3rd Party Devices

Initial Deployment Phase: keine Aktion

Enforcement Phase: Konto in die Allow-Liste aufnehmen

1. Aktivierung Secure Channel, sofern vom Device supported

2. Falls kein Support für Secure Channel, Gerät aktualisieren.

3. Sofern kein Update für Secure Channel verfügbar ist, Gerät ersetzen.

5830

Unsichere Verbindung per GPO zugelassen

Computer Konten

Überwachen und weiter an Lösung arbeiten.

5831

Unsichere Verbindung per GPO zugelassen

Active Directory Trust

Überwachen und weiter an Lösung arbeiten.

* Nicht-Windows DC: Darunter verstehen wir u. a. Identity Management Software, wie z. B. von Samba und Red Hat FreeIPA.

Weitere Informationen zum Secure Channel Update liefern folgende Microsoft Webseiten:

Starten wir gemeinsam in die Zukunft.

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.