Welche Systeme sind von Zerologon betroffen?

Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022

Zerologon

Q: Welche Maßnahmen sind für Zerologon empfohlen?

Alle Domänencontroller müssen den Patch installiert haben. Nicht-Windows-Clients auf Secure-RPC-Kompatibilität prüfen.

Secure RPC für Netlogon vollständig erzwungen seit Februar 2021. Betrifft alle Konten einschließlich Nicht-Windows.

KritischErzwungenNetlogon

Phasen-Verlauf

11. August 2020

Patch veröffentlicht

Secure RPC für Netlogon für Windows-Gerätekonten erzwungen.

9. Februar 2021

Vollständige ErzwingungErzwungen

Enforcement für alle Konten (inkl. Nicht-Windows). Kein Opt-out.

Betroffene Systeme

Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022

Betroffene Features

Netlogon
Domänencontroller
Secure RPC

Was passiert ohne Maßnahme

CVSS 10.0 — unauthentifizierter Angreifer kann innerhalb von Sekunden Domain-Admin-Rechte erlangen. Nicht-Windows-Netlogon-Clients (Samba < 4.8) verlieren nach Enforcement die Domänenverbindung.

Empfohlene Maßnahme

Alle Domänencontroller müssen den Patch installiert haben. Nicht-Windows-Clients auf Secure-RPC-Kompatibilität prüfen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

FullSecureChannelProtection

Gruppenrichtlinien

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Domain controller: Allow vulnerable Netlogon secure channel connections

Event-IDs zur Überwachung

5827

Netlogon

Verwundbare Netlogon-Verbindung von einem Maschinenkonto wurde abgelehnt

5829

Netlogon

Verwundbare Netlogon-Verbindung wurde erlaubt (nur in Übergangsphase)

Referenzen

CVE-2020-1472 — MSRC

Zurück zur Security Timeline