Im August 2020 veröffentlichte Microsoft einen Patch für eine schwerwiegende Sicherheitslücke in Active Directory, bekannt als CVE-2020-1472 oder kurz Zerologon. Kurz gesagt: Wenn Domänencontroller (DCs) nicht gepatcht waren, konnten Hacker potenziell aus der Ferne Berechtigungen ausweiten und sogar Ihre AD-Passwörter ohne Ihre Zustimmung zurücksetzen. Das ist kein Scherz. Nach den Updates dachten die meisten Administratoren: „Puh, Problem gelöst“, aber – wie sich herausstellte – die Sache war noch nicht ganz erledigt. Denn die Installation des Updates allein reichte nicht aus, um die Sicherheit vollständig zu gewährleisten, insbesondere aufgrund der Funktionsweise des Netlogon-Protokolls. Es ist etwas komplizierter, als einfach nur „alles aktualisieren“ zu klicken. Wenn man nicht vorsichtig ist, können die alten Protokolle weiterhin ausgenutzt werden – und deshalb ist es unerlässlich zu wissen, welche nächsten Schritte nötig sind, um Ihre Domäne zu schützen. Wenn Ihnen das bekannt vorkommt oder Sie sichergehen wollen, dass Ihre Domänencontroller wirklich sicher sind, soll dieser Leitfaden Ihnen die Zusammenhänge erklären, auf welche Patches Sie achten sollten und wie Sie sicherstellen, dass diese verdammten Sicherheitslücken tatsächlich geschlossen werden und nicht nur in Ihrem Updateverlauf als „erledigt“ markiert sind. Denn natürlich muss Windows es einem unnötig schwer machen, nicht wahr? Hier ist eine kurze Übersicht über die notwendigen Schritte und mögliche Stolpersteine.
Wie man die Zerologon-Sicherheitslücke in Windows Server behebt
Methode 1: Stellen Sie sicher, dass alle Ihre Domänencontroller vollständig gepatcht sind.
Dies ist der einfachste, aber gleichzeitig auch der wichtigste Schritt. Die Patches für CVE-2020-1472 sind Teil der kumulativen Updates vom August 2020, die Sie hoffentlich bereits installiert haben. Die bloße Installation des Updates reicht jedoch nicht unbedingt aus – insbesondere, da sich die Windows-Versionen hinsichtlich der Unterstützung und der Handhabung des Patches unterscheiden.
Unter Windows Server sollten Sie sicherstellen, dass jeder Domänencontroller über die neuesten Sicherheitsupdates verfügt. Beispielsweise sollten Sie für Windows Server 2016 oder 2019 Folgendes überprüfen:
- Gehen Sie zu Windows Update oder Microsoft Update-Katalog.
- Suchen Sie nach dem passenden KB-Artikel, der Zerologon behebt. Für Server 2016 ist es KB4571694 ; für Server 2019 ist es KB4565349.
- Falls Sie PowerShell bevorzugen, können Sie folgenden Befehl ausführen,
Get-HotFix -Id KB4565349um zu prüfen, ob es installiert ist: - Führen Sie Windows Update oder WSUS aus, um die neuesten Patches auf allen Ihren Domänencontrollern zu verteilen. Verlassen Sie sich nicht nur auf einen einzelnen Rechner – stellen Sie sicher, dass jeder Domänencontroller abgedeckt ist.
Möglicherweise verwenden Sie noch ältere oder nicht mehr unterstützte Systeme wie Windows Server 2008 R2. Microsoft bietet dafür keine öffentlichen Patches mehr an, es sei denn, Sie haben ESU (Extended Security Updates) erworben. Für 2008 R2 sollten Sie 0patch oder ähnliche inoffizielle Mikro-Patches in Betracht ziehen, da der offizielle Support eingestellt wurde und ein ungepatchtes System ein Sicherheitsrisiko darstellt.
Bei manchen Systemen können Updates problematisch sein; manchmal schlagen sie fehl oder verzögern sich aufgrund von Gruppenrichtlinien oder anderen Besonderheiten. Führen Sie daher Get-HotFixzur Sicherheit einfach ein Update durch oder überprüfen Sie Ihren Windows Update-Verlauf.
Methode 2: Verwenden der Registry-Korrektur zur Erzwingung sicheren Netlogon-Verhaltens
Hier wird es etwas knifflig. Der Patch behebt das Problem zwar schnell, aber Microsoft plant, Anfang 2021 einen erzwungenen Modus einzuführen, der alte, unsichere Netlogon-Verbindungen ablehnt. Bis dahin können Sie die sicherere Einstellung für Ihre Domänencontroller manuell aktivieren.
Warum ist das hilfreich? Nun, selbst wenn Ihr Patch installiert ist, werden ältere Protokolle möglicherweise weiterhin akzeptiert, sofern Sie dem Server nicht explizit mitteilen, dass dies nicht geschehen soll. Daher ist die Konfiguration der Registry zur Durchsetzung vollständiger Sicherheitsmaßnahmen in der Zwischenzeit von entscheidender Bedeutung.
Erstellen oder ändern Sie auf Ihren Domänencontrollern diesen Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Und fügen Sie den DWORD-Wert (32 Bit) hinzu oder legen Sie ihn fest:
FullSecureChannelProtection = 1
Dies zwingt den Domänencontroller, unsichere Netlogon-Verbindungen abzulehnen. Sie fragen sich, wie das geht? Sie können es über Gruppenrichtlinien bereitstellen:
- Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (GPMC).
- Navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Registrierung
- Erstellen Sie eine neue Registrierungseinstellung, die auf Folgendes verweist
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters - Setzen Sie FullSecureChannelProtection auf 1
- Verknüpfen Sie das Gruppenrichtlinienobjekt mit Ihrer Domänencontroller-Organisationseinheit und führen Sie es aus.gpupdate /force
Diese Taktik ist zwar etwas trickreich, stellt aber sicher, dass Ihre Domänencontroller keine Verbindungen von älteren Geräten akzeptieren, die nur das unsichere Protokoll verwenden. Auf manchen Servern kann dies zu kleineren Verbindungsproblemen führen, aber im Allgemeinen lohnt sich der Sicherheitsgewinn.
Methode 3: Verwaltung älterer Geräte und Kompatibilitätseinstellungen
Wenn Sie ältere Geräte oder Nicht-Windows-Server haben, die eine Verbindung herstellen müssen, aber nur das alte Netlogon-Protokoll unterstützen, müssen Sie diese explizit zulassen. Dies erfolgt über Gruppenrichtlinien unter der Einstellung „ Domänencontroller: Zulassen unsicherer Netlogon-Sicherheitskanalverbindungen“.
Diese Richtlinie finden Sie unter:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
Indem Sie diese Option für eine bestimmte Sicherheitsgruppe mit Ihren älteren Geräten aktivieren, signalisieren Sie dem Domänencontroller im Prinzip: „Diese Geräte dürfen das alte, unsichere Protokoll verwenden“, jedoch nur vorübergehend. Sobald das zweite Update (geplant für kurz nach Februar 2021) veröffentlicht ist, müssen Sie diese Ausnahme entfernen und die vollständigen Sicherheitsmaßnahmen wiederherstellen. Andernfalls bleibt eine Sicherheitslücke bestehen.
Natürlich wird nicht jeder so schnell veraltete Software entfernen können. Beachten Sie, dass nach dem Wechsel in den erzwungenen Modus nur noch Geräte mit den neuesten Updates authentifiziert werden können. Alle anderen Geräte werden blockiert.
Zusammenfassung
- Stellen Sie sicher, dass alle Domänencontroller mit den neuesten Updates von Microsoft oder inoffiziellen Patches für nicht unterstützte Betriebssysteme aktualisiert sind.
- Nutzen Sie Registry-Anpassungen, um sichere Netlogon-Kommunikation zu erzwingen, insbesondere wenn Patches installiert, aber noch nicht aktiviert wurden.
- Verwalten Sie Ihre älteren Geräte sorgfältig und verwenden Sie Gruppenrichtlinien, um nur diejenigen zuzulassen, die es wirklich benötigen. Planen Sie, diese Berechtigungen wieder zu entfernen, sobald Updates verfügbar sind.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass die Zerologon-Lösung mehr beinhaltet als nur die Ausführung von Windows Update. Es geht darum zu verstehen, dass manche Protokolle und ältere Geräte weiterhin Probleme bereiten können. Das Einspielen des Patches, die Durchsetzung sicherer Protokolle und die sorgfältige Verwaltung von Ausnahmen tragen wesentlich zur Sicherheit Ihres Active Directory bei. Solche Sicherheitsmaßnahmen sind oft mühsam, aber es lohnt sich, um potenziell katastrophale Sicherheitslücken zu verhindern. Hoffentlich hilft dies dabei, besser zu verstehen, was nach der Installation der Patches noch zu tun ist – denn im Bereich der IT-Sicherheit reicht es heutzutage nicht mehr aus, einfach anzunehmen, dass ein Problem behoben ist.