Aufgrund einer gravierenden Lücke im Netlogon Protokoll stuft Microsoft den Security Standard für die Netlogon Verbindungen zwischen Client und Server per 9. Februar hinauf. Die sogenannte «netlogon secure channel connections» wird Microsoft an diesem Datum durch ein Cumulative Update auf den Domänen Controllern erzwingen. Nicht konforme Geräte können ab diesem Datum nicht mehr mit der Domäne kommunizieren! Damit sind die betroffenen Endgeräte vom Netzwerk per sofort isoliert und der Login durch den Benutzer ist nicht mehr möglich.
Die Erstbereitstellungsphase hat bereits am 11. August 2020 mit einem Cumulative Update seitens Microsofts begonnen. Mit diesem und allen späteren CUs werden Änderungen am Netlogon-Protokoll vorgenommen, um domänenintegrierte Geräte standardmässig zu schützen. Die Erstbereitstellungsphase umfasst das Protokollieren von Ereignissen, bei welchen die Domänen Controller und Endgeräte über einen unsicheren Kanal kommunizieren. Zusätzlich können Geräte explizit ausgenommen und die unsichere Kommunikation erlaubt werden. Wenn aktuelle Windows Updates installiert worden sind, befinden sich die entsprechenden Domänen Controller also bereits in dieser Phase.
Mehr zu: Sicherheitsanfälligkeit in Netlogon bezüglich Rechteerweiterungen
Empfehlungen zum Vorgehen rund um die Netlogon Sicherheitslücke
Damit etwaigen Login- oder Connection-Problemen im Netlogon Bereich ab dem 9. Februar 2021 vorgebeugt werden kann, empfiehlt die Leuchter IT Solutions untenstehendes Vorgehen. Dieser Plan umfasst vier Schritte, die durch die Unternehmens-IT umgesetzt werden müssen.
Kunden unseres Leuchter CLOUD Monitoring Services sind geprüft und wurden bereits von unseren Technikern kontaktiert, falls die Änderung einen Einfluss auf ihre Umgebung gehabt hätte.
Schritt-für-Schritt-Anleitung zur Schliessung der Netlogon Sicherheitslücke
Schritt 1 – Update
- Alle Domänen Controller (auch Read-only Domänen Controller) im Forest müssen mindestens das Cumulative Update vom August 2020 installiert haben. Nach der Installation ist ein Neustart aller Domänen Controller notwendig.
- Nach der Aktualisierung und dem Neustarten der Domänen Controller werden drei neue Event IDs im Event Log der Domänen Controller geloggt
a. Event ID 5827 und 5828: geblockte Netlogon-Verbindungen
b. Event ID 5830 und 5831: Verbindungen die explizit per Gruppenrichtline erlaubt wurden.
c. Event ID 5829: Verbindungen über einen unsicheren Netlogon Kanal, welche adressiert werden müssen.
Schritt 2 – Finden und Adressieren
- Microsoft stellt ein Script zur Verfügung, um unsichere Verbindungen aufzuspüren.
- Die oben genannten Event Logs können auch in ein Monitoring System eingepflegt und ausgewertet werden.
- Wenn oben genannte Massnahmen Geräte aufdecken, welche eine unsichere Netlogon Verbindung aufweisen, müssen diese adressiert werden.
- Für Windows Geräte gilt folgendes Vorgehen:
a. Prüfen, ob die Geräte eine aktuelle, gepatchte und supportete Windows Version aufweisen.
b. Prüfen, ob die Gruppenrichtlinie «Domain member: Digitally encrypt or sign secure channel data (always)» gesetzt ist.
c. Das Gerät ausser Betrieb setzen, falls der Kanal nicht gesichert werden kann.
d. Nur im Notfall: Falls das Gerät die sichere Verbindung nicht unterstützt, kann dieses in der Ausnahmeliste hinzugefügt werden: «Domain controller: Allow vulnerable Netlogon secure channel connections» - Für NICHT Windows Geräte, muss mit dem OEM der sichere Netlogon secure chnannel erzwungen werden
a. Das Gerät ausser Betrieb setzen, falls der Kanal nicht gesichert werden kann.
b. Nur im Notfall: Falls das Gerät die sichere Verbindung nicht unterstützt, kann dieses in der Ausnahmeliste hinzugefügt werden: «Domain controller: Allow vulnerable Netlogon secure channel connections» - Nachdem alle Geräte adressiert wurden, sollten keine der oben erwähnten Event IDs mehr geloggt werden. Dies sollte repetitiv per Script oder Monitoring verifiziert werden.
Schritt 3 – Aktivieren
Sobald die ersten beiden Schritte abgearbeitet worden sind, sollte man so schnell wie möglich den Erzwingungsmodus aktivieren. Dieser Schritt wird durch Microsoft am 9. Februar erzwungen. Aufgrund der frühzeitigen Aktivierung können potenzielle Probleme vorher erkannt werden.
Die Aktivierung erfolgt durch einen Registry Key. Der Registry Key muss unter dem Pfad «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters» mit dem Namen «FullSecureChannelProtection», Typ «REG_DWORD» und dem Wert «1» erstellt werden. Diese Einstellung sollte per Gruppenrichtlinie an die Domänen Controller verteilt werden. Alle anderen Geräte sollen diese Einstellung NICHT erhalten.
Wir empfehlen weiterhin, die Event IDs 5827 und 5828 zu überwachen.
Schritt 4 – Erzwingungsphase
Am 9. Februar 2021 wird von Microsoft das neueste Cumulative Update veröffentlicht, welches die Erzwingungsphase einleitet. Mit diesem Update sind keine unsicheren Netlogon Verbindungen mehr möglich, ausser den in Schritt 4c oder 5a gemachten Ausnahmen.