修復 Fix ZeroLogon Attack Domain Controller Hash (CVE-2020-1472) Patch KB4565349

防禦 (攻擊手法 NTLM Hash Pass the Hash)

前文摘要

近日 剛好公司有遇到相同狀況

駭客 透過 Mimikatz 獲取 TGT Kerberos (Golden Ticket)

透過 網域內的電腦 取得一般使用者權限 Domain Users

連線 至 網域控制站 (DC) 輕輕鬆鬆得 “獲得權限" Administrators

這也 剛好檢查到 Login Account 訊息 (駭客留下的事件痕跡)

順便了解到 KRBTGT 帳戶的重要性 (SID) (HASH)

參考文章 – [ (Kerberos 黃金票據 取得原理) ]

https://www.itread01.com/content/1514394434.html

進入主題

更新 Windows Server 2019 伺服器

前往 搜尋 Microsoft Update catalog KB4565349 (Download)

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565349

下載 更新檔案 Windows Update (KB4565349)

微軟說明 (強制更新 一條登錄機碼)

在2020年8月11日的更新會引入以下登錄設定,以便提早啟用強制模式。

這項會啟用,無論強制執行階段中的哪個登錄設定(從2021年2月9日起)開始

Domain Controller 將 “拒絕" 易受攻擊的 Netlogon

安全通道連線 (RPC,Remote Procedure Call) (MS-NRPC)

首先 執行 Regedit

確認 目前是否有 FullSecureChannelProtection (KeyWord)

輸入 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

若是 發現沒有 可以進行下列更新操作

開啟 網域控制站 Active Directory (Master) 虛擬主機

針對 Windows Server 2019 伺服器主機

進行更新 Microsoft Update 獨立封裝 (.msu) Patch 338MB

進行搜尋 目前 網域控制站的更新 (是否曾有安裝)

點選 是

(確認 KB 4565349 Windows 安全更新)

等候 正在複製套件

等候 初始化安裝

確認 正在安裝進行 (共1個)

注意 更新完成後 (需要 立即重新啟動 網域控制站)

更新說明 需要 重新啟動

確認 已經新增 Microsoft Windows 的 安全性更新 (KB4565349)

確認 已經新增 FullSecureChannelProtection (REG_DWORD)

參考文章 – [ 修復 Netlogon 安全通道連線 (RPC) (MS-NRPC) ]

https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

若有遇到 此更新不適用於您的電腦。

安裝失敗 Windows Update Standalone Installer

代表 目前 網域控制站 (or Virtual Machine) 已配置安裝更新

2020-08 適用於 x64 系統 Windows Server 2019 的累積更新 KB4565349

目前已取代 項目有

2020-08 Windows Server 2019 的累積更新預覽,基於 x64 系統 (KB4571748)

2020-09 適用於 x64 系統 Windows Server 2019 的累積更新 (KB4570333)

2020-09 Windows Server 2019 的累積更新預覽,基於 x64 系統 (KB4577069)

WeiYao
0

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

Gravatar
WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

取消

連結到 %s

%d 位部落客按了讚: