Secure RPC bei Verwendung des sicheren Netlogon-Kanals

Secure RPC für Netlogon

Durch ein im August 2020 bereitgestelltes Update wird das sichere Netlogon-Clientverhalten im Februar 2021 durchgesetzt, um Secure RPC mit dem sicheren Netlogon-Kanal zwischen Mitgliedscomputern und Active Directory (AD)-Domänencontrollern (DC) zu verwenden.

Es wird in Kürze erzwungen! Bitte prüft eure Umgebung auf Kompatibilität.

Wie bin ich vorgegangen damit die Umstellung reibungslos verläuft?

Die Voraussetzung sprich das benötigte Update wurde bei mir per WSUS verteilt. Ich setze in meiner Umgebung auf Windows Server 2019.

Secure RPC bei Verwendung des sicheren Netlogon-Kanals

Kurze Einsicht in den Updateverlauf eines der Domaincontroller zeigt, dass das Update erfolgreich installiert wurde.

Cumulative-Update-KB4565349

Danach habe ich im Event-Log nach der Ereignis-IDs 5829 gesucht. Dieses gibt Aufschluss darüber, ob ein System eine “angreifbare sichere Netlogon-Kanalverbindung” verwendet. Zur Auswertung der Events habe ich das von Microsoft bereitgestellte Skript eingesetzt. Nach der Auswertung kam heraus, das keiner meiner Systeme geloggt wurde.

Secure RPC für Netlogon

Somit konnte ich mir sicher sein, das kein System seine Verbindung zum Domain-Controller verlieren würde, sobald Microsoft den Modus im Februar 2021 über ein Update auf “Erzwingen” stellt.

Also kam ich Microsoft bezüglich des Erzwingungsmodus zuvor und habe ihn selbst erzwungen, indem ich folgende Registry-Key auf die Domain Controller ausgerollt habe.
Es ist kein Neustart notwendig!

Secure-RPC-Netlogon-Force

Sollte nach der Aktivierung des Erzwingungsmodus (Secure-RPC) nun doch ein Gerät dabei sein, welches einen nicht sicheren Kanal zur Kommunikation verwendet, würde dieses mit den Event-IDs 5827 und 5828 protokolliert werden. Hinter diesen Events steht das Verhalten, das eine Verbindung verweigert wurde. Nun gilt es zu prüfen, um welches Gerät es sich handelt.

Entweder bekommt man das Gerät, gerne auch einen Drucker auf Secure-RPC umgestellt, wenn nicht, dann muss es innerhalb der vorbereiteten Gruppenrichtlinie zur Ausnahmeliste hinzugefügt oder abgeschaltet werden.

Bitte nutzt dafür eine Sicherheitsgruppe und fügt die Geräte/Systeme nicht einzeln hinzu.

Secure RPC bei Verwendung des sicheren Netlogon-Kanals

Sobald Geräte oder Systeme der Ausnahmeliste hinzugefügt wurden, und der/die Domaincontroller diese Systeme als Ausnahme behandelt hat, werden diese mit den Ereignis IDs 5830 und 5831 protokolliert.

Die Events im Detail:

Es gibt drei Kategorien von Ereignissen:

  1. Ereignisse, die protokolliert werden, wenn eine Verbindung verweigert wird, weil eine angreifbare sichere Netlogon-Kanalverbindung versucht wurde:
  • 5827 (Computerkonten) Fehler
  • 5828 (Vertrauenskonten) Fehler
  1. Ereignisse, die protokolliert werden, wenn eine Verbindung zugelassen wird, da das Konto hinzugefügt wurde zur Gruppenrichtlinie “Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“:
  • 5830 (Computerkonten) Warnung
  • 5831 (Vertrauenskonten) Warnung
  1. Ereignisse, die protokolliert werden, wenn in der ursprünglichen Version eine Verbindung zugelassen wird, die im DC-Erzwingungsmodusverweigert wird:
  • 5829 (Computerkonten) Warnung

Weitere Informationen bei Microsoft

Technical Documentation:

MS-NRPC-200826

https://www.der-windows-papst.de/2020/12/15/exchange-smarthost-klartext-passwort-in-ntds-dit/