Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)

[English]Administratoren von Active Directory (AD) Domain Controllern bemerken möglicherweise seit dem August 2020 Patchday (11.8.2020) EventID 5829-Warnungen in der Ereignisanzeige. Das ist so gewollt, Microsoft greift damit ein Problem mit einer Schwachstelle (CVE-2020-1472) in Netlogon-Verbindungen auf. Admins müssen reagieren, da Microsoft ab Februar 2021 einiges im Hinblick auf Netlogon-Verbindungen erzwingt. Admins sollten trotzdem den 'Hintern hochkriegen' – sonst gibt es im Februar 2021 ein böses Erwachen, wenn keine Anmeldung am DC mehr möglich ist.


Anzeige

Domain Controller erzeugt EventID 5829-Warnungen

Ich ziehe das Thema mal separat heraus, weil es möglicherweise einige Admins unter den Blog-Lesern trifft. Mir ist das Thema gleich zwei Mal auf die Füße gefallen. Einmal gab es diesen kurzen Kommentar hier im Blog zum Thema. Parallel war ich aber bereits auf diesen Tweet mit dem Verweis auf einen Blog-Beitrag eines MVP-Kollegen gestoßen.

Sander Berkower weist darauf hin, dass Microsoft dieses Ereignis absichtlich erzeugt, um Active Directory-Administratoren vor anfälligen Netlogon-Verbindungen (Schwachstelle CVE-2020-1472) zu warnen.

Die Schwachstelle CVE-2020-1472

Microsoft beschreibt die Schwachstelle CVE-2020-1472 als Sicherheitsanfälligkeit bezüglich Rechteerweiterungen vor. Ein Angreifer kann mithilfe des Netlogon Remote-Protokolls (MS-NRPC) eine anfällige Verbindung über einen sicheren Netlogon-Kanal zu einem Domänencontroller (DC) herstellt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte eine speziell gestaltete Anwendung auf einem Gerät im Netzwerk ausführen. Der nicht authentifizierter Angreifer müsste MS-NRPC dazu benutzen, sich mit einem Domänencontroller zu verbinden, um Zugang als Domänenadministrator zu erhalten. Die Schwachstelle betrifft folgende (noch unterstützten) Server-Versionen:

  1. Windows Server 2008 R2
  2. Windows Server 2012
  3. Windows Server 2012 R2
  4. Windows Server 2016
  5. Windows Server 2019
  6. Windows Server, Version 1903
  7. Windows Server, Version 1909
  8. Windows Server, Version 2004

Es sind sowohl Server Core als auch vollständige Windows Server-Installationen betroffen.

Schwachstelle wird stufenweise geschlossen

Microsoft will die Sicherheitsanfälligkeit in einem phasenweisen, zweigeteilten Rollout beheben. Es gibt eine 'Bereitstellungsphase' (ab 11. August 2020) und dann eine Erzwingungsphase (ab 9. Februar 2021).

Bereitstellungsphase ab 11. August 2020

Zum 11. August 2020 wurden Monthly Rollups, Security only Updates und kumulative Updates für die oben genannten Server-Versionen bereitgestellt. Diese Updates beheben laut Microsofts CVE-2020-1472-Mitteilung die Sicherheitsanfälligkeit, indem sie die Art und Weise ändern, wie Netlogon die Nutzung der sicheren Netlogonkanäle handhabt.

Als Folge der Update-Installation werden die EventID 5829-Warnungen von den Domain Controllern erzeugt, sobald eine anfällige Netlogon-Verbindung benutzt wird. Diese Version:

  • Erzwingt die Secure RPC-Nutzung für Computerkonten auf Windows-basierten Geräten.
  • Erzwingt die Secure RPC-Nutzung für vertrauenswürdige Konten.
  • Erzwingt die Secure RPC-Nutzung für alle Windows- und nicht-Windows-DCs.

Alle Details, auch in Bezug auf Gruppenrichtlinien hat Microsoft in diesem KB-Artikel aufbereitet. Der Support-Beitrag beschreibt auch, was Administratoren bei Auftreten der Ereignisse mit den IDS 5827 und 5828 (Verbindungen werden verweigert) und 5829 (angreifbare sichere Netlogon-Kanalverbindung wird zugelassen) tun sollen. Auf die Ereigniseinträge sollte reagiert werden, bevor die Erzwingungsphase in 2021 beginnt.

Erzwingungsphase ab 9. Februar 2021

Ab dem 9. Februar 2021 leitet Microsoft mit Updates den Übergang zur Erzwingungsphase ein. Die DCs befinden sich ab dann im Erzwingungsmodus unabhängig vom (im KB-Artikel beschriebenen) Registrierungsschlüssel des Erzwingungsmodus.  Der Erzwingungsmodus setzt voraus, dass alle Windows- und nicht-Windows-Geräte Secure RPC mit einem sicheren Netlogon-Kanal verwenden oder das Konto explizit zulassen, indem eine Ausnahme für das nicht kompatible Gerät hinzugefügt wird. Diese Version:


Anzeige

Auch hier möchte ich auf diesen KB-Artikel verweisen, wo Microsoft die Details für Administratoren aufbereitet hat. Administratoren haben also quasi 6 Monate Zeit, zu reagieren.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit Sicherheit, Update, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)

  1. Dat Bundesferkel sagt:

    "Administratoren haben also quasi 6 Monate Zeit, zu reagieren."

    Erfahrungsgemäß wird erst 6 Monate SPÄTER reagiert, so wie bei allen Änderungen zuvor auch. Bei jeder Änderung tun deutsche Unternehmen so, als käme es völlig überraschend und unangekündigt.

    Ganz davon ab, daß die ungesicherten Verbindungen schon lange, lange, lange überholt sind… aber ohne Zwang ändert sich da nichts.

    • 1ST1 sagt:

      Das Priblem ist die Überschrift dieses Artikels. Niemand wird die Brisanz dieser Information da heraus lesen. Kaum einer beobachtet/prüft im Normalbetrieb einer Domäne die Event-IDs, die so auf den DCs auflaufen. Sondern sowas wird eher geprüft, sobald Fehler bemerkt werden, und dann ist es in dem Fall eigentlich schon zu spät. Da sollte eher was stehen, dass ab Februar-Patchday Systeme sich am AD nicht mehr anmelden können, wenn sie das veraltete Protokoll verwenden. Und das betrifft damit nicht nur Linux-Systeme (z.B. mit Samba ins AD integriert), sondern auch Windows-Systeme, die schon aus dem Support gelaufen sind, zum Beispiel das immer noch viel zu beliebte Windows 7.

  2. DerEine sagt:

    Danke für die Info. Das hatte ich nicht auf dem Schirm.

    Und für die, die es schon wieder vergessen haben sollten. Für Herbst 2020 ist LDAP-Signierung angekündigt.
    https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm

  3. JW sagt:

    Für Admins mit 2012 R2 DC's: Richtlinie lautet auf deutsch "Domänencontroller: Sichere Verbindungen mit verwundbaren Kanäle über den Anmeldedienst (Netlogon) zulassen"

    Siehe gpedit.msc
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen

    • Anonymous sagt:

      Hallo JW,
      sehe ich das richtig, dass die obige Richtlinie NUR über "LOCAL COMPUTER POLICY" verfügbar ist? Heißt das auch, dass ich diese Richtlinie auf allen DCs manuell aktivieren muss und wenn ja, wie ? Habe zwei DCs einer Sub-Domäne testweise mit den entsprechenden Updates versorgt und finde auf beiden auch obige Richtlinie, aber es gibt keine Erläuterung, was hier einzutragen ist. Bzw.: wenn ich z.B. eine Gruppe hinterlege, wird die Sicherheitsbeschreibung zwar geändert, aber nach Schließen und erneutem Öffnen von GPEDIT.msc ist diese Einstellung wiederum verschwunden…
      Was ist also zu tun?
      Danke für jede Antwort !

  4. Tom sagt:

    Kann man diese Ereignisse 5829 unterdrücken?

    • JW sagt:

      "Unterdrücken" kannst du das, indem du folgendes beachtest:

      How to solve events with EventID 5829

      There are two ways to solve the events in the System Log with EventID 5829:

      1. Update the device, service and/or appliance that sets up the vulnerable Netlogon connection to support secure RPC with Netlogon secure channel. For Windows-based devices, this means updating them with the latest Windows Updates.

      2a. Check to ensure that the Domain member: Digitally encrypt or sign secure channel data (always) Group Policy setting is set to Enabled.

      2b. Use the "Domain controller: Allow vulnerable Netlogon secure channel connections" group policy to add non-compliant accounts. This should only be considered a short-term remedy until non-compliant devices are addressed as described above.

  5. Lukas sagt:

    Welche Systeme sind denn davon genau betroffen? Leider findet man dazu nirgends konkrete Informationen dazu.
    Welche Windows 10 Version wird benötigt? Wird Win 7 und Srv 2008 gar nicht mehr funktionieren?

    • Bernd sagt:

      @ Lukas das würde mich auch mal interessieren. Es gibt noch eine Menge Unternehmen, die nicht mehr supportete Windows Systeme einsetzen. Aus den verschiedensten Gründen und bitte hier keine Grundsatzdiskussion starten wie selber schuld oder warum macht man sowas überhaupt. Fakt ist, dass man dann gezwungen wird diese Systeme aus der Domäne zu nehmen, was bedeuten würde, dass auf den betroffenen Systemen keine GPOs etc. angewendet werden können. Und das würde für viele Admins eine Menge zusätzliche Arbeit bedeuten, die mit hohen Kosten verbunden sind.

  6. Jo Rek sagt:

    Ich habe gerade mal testhalber einen Windows Server 2016 mit aktuellem Patchstand als DC aufgesetzt, und kann diese EventID 5829 NICHT reproduzieren. Wie alt muss denn ein Windows sein, damit es überhaupt zu diesem Event kommt? Ich würde das wirklich gerne einmal testen, das älteste Testsystem das ich verwendet habe war ein Windows XP mit SP3. Da liefert dann auch unter Powershell Test-ComputerSecureChannel ein TRUE zurück.

    Also entweder ich bin zu doof dafür, oder ich bekomme es nicht hin, diese Warnung zu provozieren, kann mal jemand ein bestimmtes Win7- oder WinXP auf irgendeinem alten Patchlevel nennen, bei dem diese EventIDs auftreten sollten? Welche Rahmenbedingungen müssen dafür sonst noch erfüllt sein?

    Danke!

  7. O.K. sagt:

    Hi zusammen, und speziell @ Jo Rek:

    Es betrifft aus meiner Erfahrung heraus nur Clients und Systeme jenseits der Microsoft docs/Windows/release-information Website die als "nicht mehr supported" gekennzeichnet sind.
    Konkret bei einem meiner Kunden verursacht ein Win10 Client die ID 5827 . Dieser client hat folgendes OS installiert: Win10 PRO, V 1903 Build 18362.

    Seltsamerweise habe ich bei dem Kunden auch noch Win7 SP 1 und einige Win10 Enterprise mit der gleichen Build-Nr. die das Verhalten nicht zeigen.

    Gruß
    O.K.

  8. Hans sagt:

    Kann jemand denn sagen, welche Aktion am client ausgeführt werden muss, um das Event (jetzt 5830/31) zu erzeugen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.