{"id":234567,"date":"2020-08-17T12:23:02","date_gmt":"2020-08-17T10:23:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234567"},"modified":"2021-12-03T23:36:34","modified_gmt":"2021-12-03T22:36:34","slug":"windows-domain-controller-erzeugen-pltzlich-eventid-5829-warnungen-11-8-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/17\/windows-domain-controller-erzeugen-pltzlich-eventid-5829-warnungen-11-8-2020\/","title":{"rendered":"Achtung: Windows Domain Controller erzeugen pl&ouml;tzlich EventID 5829-Warnungen (11.8.2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/17\/windows-domain-controller-erzeugen-pltzlich-eventid-5829-warnungen-11-8-2020\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Administratoren von Active Directory (AD) Domain Controllern bemerken m\u00f6glicherweise seit dem August 2020 Patchday (11.8.2020) EventID 5829-Warnungen in der Ereignisanzeige. Das ist so gewollt, Microsoft greift damit ein Problem mit einer Schwachstelle (CVE-2020-1472) in Netlogon-Verbindungen auf. Admins m\u00fcssen reagieren, da Microsoft ab Februar 2021 einiges im Hinblick auf Netlogon-Verbindungen erzwingt. Admins sollten trotzdem den 'Hintern hochkriegen' &#8211; sonst gibt es im Februar 2021 ein b\u00f6ses Erwachen, wenn keine Anmeldung am DC mehr m\u00f6glich ist.<\/p>\n<p><!--more--><\/p>\n<h2>Domain Controller erzeugt EventID 5829-Warnungen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/da91dda368ba400f83faf88de98ba740\" alt=\"\" width=\"1\" height=\"1\" \/>Ich ziehe das Thema mal separat heraus, weil es m\u00f6glicherweise einige Admins unter den Blog-Lesern trifft. Mir ist das Thema gleich zwei Mal auf die F\u00fc\u00dfe gefallen. Einmal gab es <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/12\/project-zero-august-2020-lsass-patch-schtzt-windows-10-unzureichend\/#comment-93199\" target=\"_blank\" rel=\"noopener noreferrer\">diesen kurzen Kommentar<\/a> hier im Blog zum Thema. Parallel war ich aber bereits auf diesen Tweet mit dem Verweis auf <a href=\"https:\/\/dirteam.com\/sander\/2020\/08\/11\/knowledgebase-you-experience-warnings-with-eventid-5829-on-domain-controllers\/\" target=\"_blank\" rel=\"noopener noreferrer\">einen Blog-Beitrag<\/a> eines MVP-Kollegen gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Knowledgebase: You experience Warnings with EventID 5829 on Domain Controllers <a href=\"https:\/\/t.co\/bWnQ2KdBTY\">https:\/\/t.co\/bWnQ2KdBTY<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/DirTeam?src=hash&amp;ref_src=twsrc%5Etfw\">#DirTeam<\/a><\/p>\n<p>\u2014 DirTeam.com (@DirTeamCom) <a href=\"https:\/\/twitter.com\/DirTeamCom\/status\/1293297432630108160?ref_src=twsrc%5Etfw\">August 11, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h4>Sander Berkower weist darauf hin, dass Microsoft dieses Ereignis absichtlich erzeugt, um Active Directory-Administratoren vor anf\u00e4lligen Netlogon-Verbindungen (Schwachstelle CVE-2020-1472) zu warnen.<\/h4>\n<h2>Die Schwachstelle CVE-2020-1472<\/h2>\n<h4>Microsoft beschreibt die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/de-DE\/vulnerability\/CVE-2020-1472\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1472<\/a> als Sicherheitsanf\u00e4lligkeit bez\u00fcglich Rechteerweiterungen vor. Ein Angreifer kann mithilfe des Netlogon Remote-Protokolls (<a href=\"https:\/\/docs.microsoft.com\/de-de\/openspecs\/windows_protocols\/ms-nrpc\/ff8f970f-3e37-40f7-bd4b-af7336e4792f\" target=\"_blank\" rel=\"noopener noreferrer\">MS-NRPC<\/a>) eine anf\u00e4llige Verbindung \u00fcber einen sicheren Netlogon-Kanal zu einem Dom\u00e4nencontroller (DC) herstellt. Ein Angreifer, der die Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzt, k\u00f6nnte eine speziell gestaltete Anwendung auf einem Ger\u00e4t im Netzwerk ausf\u00fchren. Der nicht authentifizierter Angreifer m\u00fcsste MS-NRPC dazu benutzen, sich mit einem Dom\u00e4nencontroller zu verbinden, um Zugang als Dom\u00e4nenadministrator zu erhalten. Die Schwachstelle betrifft folgende (noch unterst\u00fctzten) Server-Versionen:<\/h4>\n<ol>\n<li>Windows Server 2008 R2<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows Server, Version 1903<\/li>\n<li>Windows Server, Version 1909<\/li>\n<li>Windows Server, Version 2004<\/li>\n<\/ol>\n<p>Es sind sowohl Server Core als auch vollst\u00e4ndige Windows Server-Installationen betroffen.<\/p>\n<h2>Schwachstelle wird stufenweise geschlossen<\/h2>\n<p>Microsoft will die Sicherheitsanf\u00e4lligkeit in einem phasenweisen, zweigeteilten Rollout beheben. Es gibt eine 'Bereitstellungsphase' (ab 11. August 2020) und dann eine Erzwingungsphase (ab 9. Februar 2021).<\/p>\n<h3>Bereitstellungsphase ab 11. August 2020<\/h3>\n<p>Zum 11. August 2020 wurden Monthly Rollups, Security only Updates und kumulative Updates f\u00fcr die oben genannten Server-Versionen bereitgestellt. Diese Updates beheben laut Microsofts <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/de-DE\/vulnerability\/CVE-2020-1472\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1472-Mitteilung<\/a> die Sicherheitsanf\u00e4lligkeit, indem sie die Art und Weise \u00e4ndern, wie Netlogon die Nutzung der sicheren Netlogonkan\u00e4le handhabt.<\/p>\n<p>Als Folge der Update-Installation werden die EventID 5829-Warnungen von den Domain Controllern erzeugt, sobald eine anf\u00e4llige Netlogon-Verbindung benutzt wird. Diese Version:<\/p>\n<ul>\n<li>Erzwingt die Secure RPC-Nutzung f\u00fcr Computerkonten auf Windows-basierten Ger\u00e4ten.<\/li>\n<li>Erzwingt die Secure RPC-Nutzung f\u00fcr vertrauensw\u00fcrdige Konten.<\/li>\n<li>Erzwingt die Secure RPC-Nutzung f\u00fcr alle Windows- und nicht-Windows-DCs.<\/li>\n<\/ul>\n<p>Alle Details, auch in Bezug auf Gruppenrichtlinien hat Microsoft in <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc\" target=\"_blank\" rel=\"noopener noreferrer\">diesem KB-Artikel<\/a> aufbereitet. Der Support-Beitrag beschreibt auch, was Administratoren bei Auftreten der Ereignisse mit den IDS 5827 und 5828 (Verbindungen werden verweigert) und 5829 (angreifbare sichere Netlogon-Kanalverbindung wird zugelassen) tun sollen. Auf die Ereigniseintr\u00e4ge sollte reagiert werden, bevor die Erzwingungsphase in 2021 beginnt.<\/p>\n<h3>Erzwingungsphase ab 9. Februar 2021<\/h3>\n<p>Ab dem 9. Februar 2021 leitet Microsoft mit Updates den \u00dcbergang zur Erzwingungsphase ein. Die DCs befinden sich ab dann im Erzwingungsmodus unabh\u00e4ngig vom (im KB-Artikel beschriebenen) Registrierungsschl\u00fcssel des Erzwingungsmodus.\u00a0 Der Erzwingungsmodus setzt voraus, dass alle Windows- und nicht-Windows-Ger\u00e4te Secure RPC mit einem sicheren Netlogon-Kanal verwenden oder das Konto explizit zulassen, indem eine Ausnahme f\u00fcr das nicht kompatible Ger\u00e4t hinzugef\u00fcgt wird.\u202fDiese Version:<\/p>\n<ul>\n<li>Erzwingt die Secure RPC-Nutzung f\u00fcr Computerkonten auf nicht-Windows-basierten Ger\u00e4ten, sofern nicht von der <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#theGroupPolicy\" target=\"_blank\" rel=\"noopener noreferrer\">Gruppenrichtlinie \u201eDom\u00e4nencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen\"<\/a> zugelassen.<\/li>\n<li>Die Protokollierung der Ereignis-ID 5829 wird entfernt.\u00a0 Da alle angreifbaren Verbindungen verweigert werden, werden jetzt nur die Ereignis-IDs 5827 und 5828 im Systemereignisprotokoll angezeigt.<\/li>\n<\/ul>\n<h4>Auch hier m\u00f6chte ich auf <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc\" target=\"_blank\" rel=\"noopener noreferrer\">diesen KB-Artikel<\/a> verweisen, wo Microsoft die Details f\u00fcr Administratoren aufbereitet hat. Administratoren haben also quasi 6 Monate Zeit, zu reagieren.<\/h4>\n","protected":false},"excerpt":{"rendered":"<p>[English]Administratoren von Active Directory (AD) Domain Controllern bemerken m\u00f6glicherweise seit dem August 2020 Patchday (11.8.2020) EventID 5829-Warnungen in der Ereignisanzeige. Das ist so gewollt, Microsoft greift damit ein Problem mit einer Schwachstelle (CVE-2020-1472) in Netlogon-Verbindungen auf. Admins m\u00fcssen reagieren, da &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/17\/windows-domain-controller-erzeugen-pltzlich-eventid-5829-warnungen-11-8-2020\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,4364],"class_list":["post-234567","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234567"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234567\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}