none
グループポリシー:「ドメインコントローラー:脆弱なNetlogonセキュアチャネル接続を許可」へのデバイス登録方法について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。AD管理初心者です。

    ADのグループポリシーでの設定方法について質問です。
    NetLogon脆弱性対応CVE-2020-1472の対応のため、たいおうしていないレガシーOSで稼働する端末のコンピュータアカウントを
    ポリシー「ドメインコントローラー:脆弱なNetlogonセキュアチャネル接続を許可」に登録したいのですが、正しい登録方法がわかりません。

    以下の2つを試してみました。
    1.コンピュータアカウントを直接登録する
    2.AD上にグループを作成してコンピュータアカウントを登録し、ポリシーにはそのグループを指定する。

    最初1.の方法でやってみたのですが無効なアカウントを登録しようとしている、といったようなメッセージが表示されました。
    OKを押して登録はできたのですが、しばらくしてポリシーを開くと登録できていませんでした。
    次に2.の方法でやったところ、メッセージは表示されずポリシー設定後も設定は残っています。

    が、2.の方法で正しいのかが確信が持てません。

    このポリシーでの正しいコンピュータアカウントの登録方法についてご教示願えると幸いです。

    2021年2月16日 6:09
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ・コンピュータアカウントをダイレクトに追加すればよいのか?
     それとも
    ・グループを作成してコンピューターアカウントを追加し、ポリシー側ではグループを追加すればよいのか?
     が知りたいと思っています。

    答えとしては後者です。うえの回答にも追記しておいたのですが、反映がおかしくなっていて、見られなかったのだと思います。すでにあげた資料の中に、正しい手順が書いてあります。

    https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e?WT.mc_id=EM-MVP-8322

    1. Created a security group(s) for accounts which will be allowed to use a vulnerable Netlogon secure channel.
    2. In Group Policy, go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
    3. Search for "Domain controller: Allow vulnerable Netlogon secure channel connections".
    4. If the Administrator group or if any group not specifically created for use with this Group Policy is present, remove it.
    5. Add a security group specifically made for use with this Group Policy to the security descriptor with the "Allow" permission. Note The "Deny" permission behaves the same way as if the account was not added, i.e. the accounts will not be allowed to make vulnerable Netlogon secure channels.
    6. Once the security group(s) is added, the group policy must replicate to every DC.
    7. Periodically, monitor events 5827, 5828 and 5829 to determine which accounts are using vulnerable secure channel connections.
    8. Add those machine accounts to the security group(s) as needed. Best practice Use security groups in the group policy and add accounts to the group so that membership is replicated through normal AD replication. This avoids frequent group policy updates and replication delays.

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年2月17日 12:11
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、対象のグループポリシーは、ドメインコントローラーに適用するモノです。脆弱なデバイスを登録する方法は、したのページの"Allowing vulnerable connections from 3rd party devices"項目を参考にしてください。

    https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e?WT.mc_id=EM-MVP-8322

    実際に動作しているかどうかは、対象デバイスを再起動・ログオンさせ、イベントID 5829ログが記録されることを確認してください。うえのページにも詳細があります。

    追記:実機で簡単に試したのですが、2の方法で正解です(Administrators等他のグループははずしてください)。1の方法でも実はできますが、オブジェクト選択時に(オブジェクトビッカー上で)[オブジェクトの種類]ボタンを押し、「コンピューター」を検索条件に加える必要があります。しかし推奨されないので、する必要はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2021年2月16日 14:47
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん
    ご回答ありがとうございます。また、説明が不足しておりまして申し訳ありません。

    ポリシーは、ドメインコントローラーが属している「Domain Controllers」組織単位にリンクされている
    Default Domain Controllers Policyで設定しておりますので、ドメインコントローラに適用される認識です。

    その前提の上で、ポリシーの設定で、ドメインに属しているサポート切れのOSやSecureRPCに対応していない非Windowsデバイスを追加する場合に

    ・コンピュータアカウントをダイレクトに追加すればよいのか?
     それとも
    ・グループを作成してコンピューターアカウントを追加し、ポリシー側ではグループを追加すればよいのか?

     が知りたいと思っています。

     よろしくお願いいたします。

    2021年2月16日 23:18
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ・コンピュータアカウントをダイレクトに追加すればよいのか?
     それとも
    ・グループを作成してコンピューターアカウントを追加し、ポリシー側ではグループを追加すればよいのか?
     が知りたいと思っています。

    答えとしては後者です。うえの回答にも追記しておいたのですが、反映がおかしくなっていて、見られなかったのだと思います。すでにあげた資料の中に、正しい手順が書いてあります。

    https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e?WT.mc_id=EM-MVP-8322

    1. Created a security group(s) for accounts which will be allowed to use a vulnerable Netlogon secure channel.
    2. In Group Policy, go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
    3. Search for "Domain controller: Allow vulnerable Netlogon secure channel connections".
    4. If the Administrator group or if any group not specifically created for use with this Group Policy is present, remove it.
    5. Add a security group specifically made for use with this Group Policy to the security descriptor with the "Allow" permission. Note The "Deny" permission behaves the same way as if the account was not added, i.e. the accounts will not be allowed to make vulnerable Netlogon secure channels.
    6. Once the security group(s) is added, the group policy must replicate to every DC.
    7. Periodically, monitor events 5827, 5828 and 5829 to determine which accounts are using vulnerable secure channel connections.
    8. Add those machine accounts to the security group(s) as needed. Best practice Use security groups in the group policy and add accounts to the group so that membership is replicated through normal AD replication. This avoids frequent group policy updates and replication delays.

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年2月17日 12:11
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。フォーラムオペレーターのFanです。

    フォーラムにご投稿くださいましてありがとうございます。

    チャブーンさんも、適格なアドバイスをいただきありがとうございました。

    同じ問題を持っている人々に役に立つために、参考になった投稿には「回答としてマーク」をご設定ください。


    今後ご不明な点がございましたら、お気軽にお問い合わせください。
    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2021年2月18日 2:39
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    大変失礼しました。セキュリティグループの記載がありました。

    AD上にセキュリティグループを作成し、そこにレガシーOSのコンピュータアカウントをメンバーとして追加したら
    そのセキュリティグループをグループポリシー側に設定いたします。

    ありがとうございました。

    2021年2月19日 3:50
    |