{"id":246651,"date":"2021-02-07T11:29:50","date_gmt":"2021-02-07T10:29:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=246651"},"modified":"2021-02-08T11:01:51","modified_gmt":"2021-02-08T10:01:51","slug":"erinnerung-enforcement-mode-ab-9-feb-2021-bei-windows-server-domain-controllern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/07\/erinnerung-enforcement-mode-ab-9-feb-2021-bei-windows-server-domain-controllern\/","title":{"rendered":"Erinnerung: Enforcement Mode ab 9. Feb. 2021 bei Windows Server Domain Controllern"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/02\/07\/erinnerung-enforcement-mode-ab-9-feb-2021-bei-windows-server-domain-controllern\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Erinnerung f\u00fcr Administratoren von Windows Server-Systemen, die als Domain Controller laufen. Ab dem 9. Februar 2021 wird der sogenannte Enforcement Mode zum Schlie\u00dfen der Netlogon-Schwachstelle verpflichtend &#8211; Microsoft rollt dann das betreffende Update aus. <strong>Erg\u00e4nzung:<\/strong> Es gibt einen zweiten Termin f\u00fcr den Enforcement Mode mit dem 9. M\u00e4rz 2021 &#8211; Text wurde erweitert.<\/p>\n<p><!--more--><\/p>\n<h2>Die Netlogon-Schwachstelle CVE-2020-147<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/4e9c33704db54605a6676fdbff7074bd\" alt=\"\" width=\"1\" height=\"1\" \/>Im Windows Netlogon-Protokoll gibt es eine kritische Schwachstelle CVE-2020-1472, \u00fcber die ich mehrfach im Blog berichtet hatte (siehe Links am Artikelende). Bei der Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) handelt es sich um eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschl\u00fcsselung f\u00fcr Netlogon-Sitzungen. Die Schwachstelle erm\u00f6glicht die \u00dcbernahme von Active Directory Domain Controllern (DC) \u2013 auch Remote, falls der Domain-Controller per Netzwerk\/Internet erreichbar ist \u2013 durch nicht autorisierte Angreifer.<\/p>\n<p>Microsoft verfolgt einen zweistufigen Ansatz, um die Schwachstelle zu schlie\u00dfen (siehe auch den Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/help\/4557222\/\">KB4557222<\/a> sowie den Beitrag <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/verwalten-der-%C3%A4nderungen-in-den-sicheren-netlogon-kanalverbindungen-die-cve-2020-1472-zugeordnet-sind-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e\" target=\"_blank\" rel=\"noopener\">Verwalten der \u00c4nderungen in den sicheren Netlogon Kanalverbindungen, die CVE-2020-1472 zugeordnet sind<\/a>). Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Im Februar 2021 wird die zweite Stufe zum Schlie\u00dfen der Schwachstelle bereitgestellt. Diese Stufe macht dann den sogenannten Enforcement Mode verpflichtend.<\/p>\n<p>Microsoft hatte bereits am 14. Januar 2021 den Blog-Beitrag <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/01\/14\/netlogon-domain-controller-enforcement-mode-is-enabled-by-default-beginning-with-the-february-9-2021-security-update-related-to-cve-2020-1472\/\" target=\"_blank\" rel=\"noopener\">Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472<\/a> dazu ver\u00f6ffentlicht. Ich hole den Vorgang nochmals hervor, falls das an DC-Admins vorbei gegangen sein sollte. Nicht das n\u00e4chsten Dienstag, nach dem Einspielen der Februar 2021-Patches das gro\u00dfe Erwachen kommt, weil Maschinen nicht mehr mit dem Domain Controller Kontakt aufnehmen k\u00f6nnen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Wie Blog-Leser daooze in nachfolgendem Kommentar schreibt, gibt Microsoft im Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/managing-deployment-of-rbcd-protected-user-changes-for-cve-2020-16996-9a59a49f-20b9-a292-f205-da9da0ff24d3\">Managing deployment of RBCD\/Protected User changes for CVE-2020-16996<\/a> an, dass sich der Termin f\u00fcr den erzwungenen Enforcement Modus f\u00fcr DCs auf den 9. M\u00e4rz 2021 (Patchday) verschoben habe. Problem: In obigem Artikel <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/01\/14\/netlogon-domain-controller-enforcement-mode-is-enabled-by-default-beginning-with-the-february-9-2021-security-update-related-to-cve-2020-1472\/\" target=\"_blank\" rel=\"noopener\">Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472<\/a>\u00a0 wird eine andere Schwachstelle genannt, als diese <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/managing-deployment-of-rbcd-protected-user-changes-for-cve-2020-16996-9a59a49f-20b9-a292-f205-da9da0ff24d3\" target=\"_blank\" rel=\"noopener\">CVE-2020-16996<\/a> (danke an Stefan f\u00fcr den Hinweis). Wir haben also im Februar und im M\u00e4rz beim Patchday die Situation, dass der Enforcement Mode f\u00fcr die Schwachstellen erzwungen wird.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/16\/windows-server-zerologon-sicherheitslcke-cve-2020-1472-erlaubt-domain-bernahme\/\">Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/21\/cisa-warnung-patcht-eure-windows-server-gegen-cve-2020-1472-zerologon\/\">CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/18\/0patch-fixt-zerologon-cve-2020-1472-in-windows-server-2008-r2\/\">0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/17\/windows-domain-controller-erzeugen-pltzlich-eventid-5829-warnungen-11-8-2020\/\">Achtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/12\/windows-10-v1607-update-kb4571694-flutet-ereignisanzeige-mit-event-id-5827-eintrgen\/\">Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2020\/08\/12\/microsoft-security-update-summary-11-august-2020\/\">Microsoft Security Update Summary (11. August 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/12\/patchday-windows-10-updates-11-august-2020\/\">Patchday: Windows 10-Updates (11. August 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/12\/patchday-windows-8-1-server-2012-updates-11-august-2020\/\">Patchday: Windows 8.1\/Server 2012-Updates (11. August 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/12\/patchday-updates-fr-windows-7-server-2008-r2-11-8-2020\/\">Patchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (11.8.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/24\/zerologon-exploits-werden-ausgenutzt-patchen-windows-server-samba-ist-angesagt\/\">Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/30\/microsoft-przisiert-das-patchen-der-netlogon-schwachstelle-cve-2020-1472\/\">Microsoft pr\u00e4zisiert das Patchen der Netlogon-Schwachstelle (CVE-2020-1472)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Erinnerung f\u00fcr Administratoren von Windows Server-Systemen, die als Domain Controller laufen. Ab dem 9. Februar 2021 wird der sogenannte Enforcement Mode zum Schlie\u00dfen der Netlogon-Schwachstelle verpflichtend &#8211; Microsoft rollt dann das betreffende Update aus. Erg\u00e4nzung: Es gibt einen zweiten &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/02\/07\/erinnerung-enforcement-mode-ab-9-feb-2021-bei-windows-server-domain-controllern\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,4364],"class_list":["post-246651","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/246651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=246651"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/246651\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=246651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=246651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=246651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}