Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)

[English]Administratoren von Active Directory (AD) Domain Controllern bemerken möglicherweise seit dem August 2020 Patchday (11.8.2020) EventID 5829-Warnungen in der Ereignisanzeige. Das ist so gewollt, Microsoft greift damit ein Problem mit einer Schwachstelle (CVE-2020-1472) in Netlogon-Verbindungen auf. Admins müssen reagieren, da Microsoft ab Februar 2021 einiges im Hinblick auf Netlogon-Verbindungen erzwingt. Admins sollten trotzdem den ‘Hintern hochkriegen’ – sonst gibt es im Februar 2021 ein böses Erwachen, wenn keine Anmeldung am DC mehr möglich ist.


Anzeige

Domain Controller erzeugt EventID 5829-Warnungen

Ich ziehe das Thema mal separat heraus, weil es möglicherweise einige Admins unter den Blog-Lesern trifft. Mir ist das Thema gleich zwei Mal auf die Füße gefallen. Einmal gab es diesen kurzen Kommentar hier im Blog zum Thema. Parallel war ich aber bereits auf diesen Tweet mit dem Verweis auf einen Blog-Beitrag eines MVP-Kollegen gestoßen.

Sander Berkower weist darauf hin, dass Microsoft dieses Ereignis absichtlich erzeugt, um Active Directory-Administratoren vor anfälligen Netlogon-Verbindungen (Schwachstelle CVE-2020-1472) zu warnen.

Die Schwachstelle CVE-2020-1472

Microsoft beschreibt die Schwachstelle CVE-2020-1472 als Sicherheitsanfälligkeit bezüglich Rechteerweiterungen vor. Ein Angreifer kann mithilfe des Netlogon Remote-Protokolls (MS-NRPC) eine anfällige Verbindung über einen sicheren Netlogon-Kanal zu einem Domänencontroller (DC) herstellt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte eine speziell gestaltete Anwendung auf einem Gerät im Netzwerk ausführen. Der nicht authentifizierter Angreifer müsste MS-NRPC dazu benutzen, sich mit einem Domänencontroller zu verbinden, um Zugang als Domänenadministrator zu erhalten. Die Schwachstelle betrifft folgende (noch unterstützten) Server-Versionen:

  1. Windows Server 2008 R2
  2. Windows Server 2012
  3. Windows Server 2012 R2
  4. Windows Server 2016
  5. Windows Server 2019
  6. Windows Server, Version 1903
  7. Windows Server, Version 1909
  8. Windows Server, Version 2004

Es sind sowohl Server Core als auch vollständige Windows Server-Installationen betroffen.

Schwachstelle wird stufenweise geschlossen

Microsoft will die Sicherheitsanfälligkeit in einem phasenweisen, zweigeteilten Rollout beheben. Es gibt eine ‘Bereitstellungsphase’ (ab 11. August 2020) und dann eine Erzwingungsphase (ab 9. Februar 2021).

Bereitstellungsphase ab 11. August 2020

Zum 11. August 2020 wurden Monthly Rollups, Security only Updates und kumulative Updates für die oben genannten Server-Versionen bereitgestellt. Diese Updates beheben laut Microsofts CVE-2020-1472-Mitteilung die Sicherheitsanfälligkeit, indem sie die Art und Weise ändern, wie Netlogon die Nutzung der sicheren Netlogonkanäle handhabt.

Als Folge der Update-Installation werden die EventID 5829-Warnungen von den Domain Controllern erzeugt, sobald eine anfällige Netlogon-Verbindung benutzt wird. Diese Version:

  • Erzwingt die Secure RPC-Nutzung für Computerkonten auf Windows-basierten Geräten.
  • Erzwingt die Secure RPC-Nutzung für vertrauenswürdige Konten.
  • Erzwingt die Secure RPC-Nutzung für alle Windows- und nicht-Windows-DCs.

Alle Details, auch in Bezug auf Gruppenrichtlinien hat Microsoft in diesem KB-Artikel aufbereitet. Der Support-Beitrag beschreibt auch, was Administratoren bei Auftreten der Ereignisse mit den IDS 5827 und 5828 (Verbindungen werden verweigert) und 5829 (angreifbare sichere Netlogon-Kanalverbindung wird zugelassen) tun sollen. Auf die Ereigniseinträge sollte reagiert werden, bevor die Erzwingungsphase in 2021 beginnt.

Erzwingungsphase ab 9. Februar 2021


Anzeige

Ab dem 9. Februar 2021 leitet Microsoft mit Updates den Übergang zur Erzwingungsphase ein. Die DCs befinden sich ab dann im Erzwingungsmodus unabhängig vom (im KB-Artikel beschriebenen) Registrierungsschlüssel des Erzwingungsmodus.  Der Erzwingungsmodus setzt voraus, dass alle Windows- und nicht-Windows-Geräte Secure RPC mit einem sicheren Netlogon-Kanal verwenden oder das Konto explizit zulassen, indem eine Ausnahme für das nicht kompatible Gerät hinzugefügt wird. Diese Version:

Auch hier möchte ich auf diesen KB-Artikel verweisen, wo Microsoft die Details für Administratoren aufbereitet hat. Administratoren haben also quasi 6 Monate Zeit, zu reagieren.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit Sicherheit, Update, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)


  1. Anzeige
  2. Dat Bundesferkel sagt:

    “Administratoren haben also quasi 6 Monate Zeit, zu reagieren.”

    Erfahrungsgemäß wird erst 6 Monate SPÄTER reagiert, so wie bei allen Änderungen zuvor auch. Bei jeder Änderung tun deutsche Unternehmen so, als käme es völlig überraschend und unangekündigt.

    Ganz davon ab, daß die ungesicherten Verbindungen schon lange, lange, lange überholt sind… aber ohne Zwang ändert sich da nichts.

    • 1ST1 sagt:

      Das Priblem ist die Überschrift dieses Artikels. Niemand wird die Brisanz dieser Information da heraus lesen. Kaum einer beobachtet/prüft im Normalbetrieb einer Domäne die Event-IDs, die so auf den DCs auflaufen. Sondern sowas wird eher geprüft, sobald Fehler bemerkt werden, und dann ist es in dem Fall eigentlich schon zu spät. Da sollte eher was stehen, dass ab Februar-Patchday Systeme sich am AD nicht mehr anmelden können, wenn sie das veraltete Protokoll verwenden. Und das betrifft damit nicht nur Linux-Systeme (z.B. mit Samba ins AD integriert), sondern auch Windows-Systeme, die schon aus dem Support gelaufen sind, zum Beispiel das immer noch viel zu beliebte Windows 7.

  3. DerEine sagt:

    Danke für die Info. Das hatte ich nicht auf dem Schirm.

    Und für die, die es schon wieder vergessen haben sollten. Für Herbst 2020 ist LDAP-Signierung angekündigt.
    https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm

  4. Anzeige

  5. JW sagt:

    Für Admins mit 2012 R2 DC’s: Richtlinie lautet auf deutsch “Domänencontroller: Sichere Verbindungen mit verwundbaren Kanäle über den Anmeldedienst (Netlogon) zulassen”

    Siehe gpedit.msc
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen

  6. Tom sagt:

    Kann man diese Ereignisse 5829 unterdrücken?

    • JW sagt:

      “Unterdrücken” kannst du das, indem du folgendes beachtest:

      How to solve events with EventID 5829

      There are two ways to solve the events in the System Log with EventID 5829:

      1. Update the device, service and/or appliance that sets up the vulnerable Netlogon connection to support secure RPC with Netlogon secure channel. For Windows-based devices, this means updating them with the latest Windows Updates.

      2a. Check to ensure that the Domain member: Digitally encrypt or sign secure channel data (always) Group Policy setting is set to Enabled.

      2b. Use the “Domain controller: Allow vulnerable Netlogon secure channel connections” group policy to add non-compliant accounts. This should only be considered a short-term remedy until non-compliant devices are addressed as described above.

  7. Lukas sagt:

    Welche Systeme sind denn davon genau betroffen? Leider findet man dazu nirgends konkrete Informationen dazu.
    Welche Windows 10 Version wird benötigt? Wird Win 7 und Srv 2008 gar nicht mehr funktionieren?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.