ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ワークグループ環境のWindows10はNetlogonサービスはデフォルトで手動/停止

マイクロソフトは CVE-2020-1472 Active Directory の Netlogon における 特権の昇格の脆弱性に対するセキュリティ更新プログラムを公開しましたが、それに関連して影響のある範囲を調べてみました。内容的にはドメインに参加している端末が影響を受けるように見られます。

 

以下はマイクロソフトのCVE-2020-1472 Netlogon の対応ガイダンスの概要ですが、AD管理者向けとあります。

[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center

 

では、具体的に情報を抜粋していきますが、脆弱性の内容は以下になります。認証されていない攻撃者がというところが少し分かりにくいですね。

 

認証されていない攻撃者が、この脆弱性を悪用する特別に細工されたアプリケーションなどを利用し、Netlogon リモート プロトコル (MS-NRPC とも呼ばれます) を使用してドメイン コントローラ (DC) に対して脆弱な Netlogon セキュア チャネル接続を確立した場合、特権の昇格が可能になります。

 

Netlogon リモート プロトコル (MS-NRPC とも呼ばれます) を使用してドメイン コントローラ (DC) に対して脆弱な Netlogon セキュア チャネル接続を確立した場合とあります。悪用するには、Netlogon リモート プロトコルを使用する必要があるので、ドメインに参加している端末に悪意のあるプログラムが仕込まれると悪用されると考えていいでしょう。

 

 

Active Directory を管理する IT 管理者は、この脆弱性から保護するために追加の対応を実行する必要がありますと書かれています。

 

●この脆弱性が存在する Netlogon リモート プロトコルは、ドメインに参加しているデバイスでのみ使用される RPC インターフェイスにあります。

脆弱性からシステムを保護するためには、「安全な RPC (Secure RPC)」を利用する必要があります。

●すべてのサポート内の Windows OS は、「安全な RPC (Secure RPC)」を既定で利用可能で、ドメインコントローラが「安全な RPC (Secure RPC)」を要求した場合、ドメイン内の Windows OS 端末は自動的に「安全な RPC (Secure RPC)」を利用した接続を行います (DC 以外に更新プログラム適用の必要はありません)。しかしながら、このフェーズでは安全な RPC を使用しない Netlogon セキュア チャネル接続 (脆弱な接続) も、引き続き許可され利用可能になっています。

脆弱性から Active Directory を保護するためには、ドメインコントローラが Netlogon セキュア チャネル接続で、「安全な RPC (Secure RPC)」を強制し、すべての Active Directory ドメイン参加端末が「安全な RPC (Secure RPC)」を利用する必要があります。

 

「この脆弱性が存在する Netlogon リモート プロトコルは、ドメインに参加しているデバイスでのみ使用される RPC インターフェイスにあります。」と書かれている為、ドメインに参加が前提ととらえられますね。

 

ということで自宅のワークグループのWindows10をチェックしてみましたが、Netlogonサービスはデフォルトで手動/停止となっていました。

f:id:merrywhite:20200928074206p:plain

 

その為、ワークグループ運用をしている環境では影響はなさそうですね。内容的には最新のパッチが提供されたOSでは、この対策が適用されていますので、それが適用されていないWindowsバイス、もしくは非準拠デバイスを洗い出す為に一回目のパッチが提供されていますので、管理者は早めに対応したほうがいいですね。

 

 

要領がよくないと思い込んでいる人のための仕事術図鑑