„Domain Controller Enforcement mode“ wird ab dem 9 Februar aktiviert

e1a9d1d712ee4b1b82584de558d4b355

This article also available in English at LinkedIn Pulse: „Domain Controller Enforcement mode“​ will be activated as of 9 February 2021.


Mit dem Sicherheitsupdates vom 11 August 2020 hat Microsoft eine Sicherheitslücke (CVE-2020-1472) adressiert. Geschlossen wurde dies noch nicht automatisch, da es zu Kompatibilitätsproblemen kommen kann. Wie die Schließung der Lücke vorher schon durchgeführt werden kann, ist in dem KB-Artikel 455722 erklärt.

Da die Lücke die RPC bzw. Secure RPC Verbindung betrifft, sollte vorher schon einmal prüfen, ob es zu Problemen kommen wird, und durch welches System. Seit dem Augustupdate werden im Event-Log entsprechende Einträge protokolliert, wenn ein Blockierung im Enforcement Mode stattfinden würde. Das Update kommt quasi mit einem Auditmode wie es ihn auch bei AppLocker oder Windows Defender Exploitation Guard (Ehemals EMET) gibt.

Die passenden Event Ids sind 5827-5831 im System Eventlog.

Weitere Informationen. Inklusive der Gruppenrichtlinien Einstellungen finden Sie ebenfalls in dem KB Artikel.

Microsoft stellt auch ein Musterscript bereit um die Exportierten Eventlogdateien auf die Fehler zu analysieren.


Hinweise zu Programm- und PowerShell Code

Der hier enthaltene Code dient als Beispiel. Ich übernehme keine Garantie, Gewährleistung oder Support für den Code oder Bestandteile. Verwendung des Codes erfolgt auf eigene Gefahr.
Ich empfehle immer sich die Skripte vor der Verwendung genau anzuschauen, was sie wirklich tun.


<#
.SYNOPSIS
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog
	
.DESCRIPTION
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog. This are the Event for connections witch will be blocked starting 9 Feb. 2021 due CVE-2020-1472.

.EXAMPLE 
C:\PS> get-CVE20201472Events.ps1

.NOTES
Author     : Fabian Niesen (www.fabian-niesen.de)
Filename   : get-GPOBackup.ps1
Requires   : PowerShell Version 3.0
Version    : 1.0
History    : 1.0   FN  17.01.2021  initial version
             

.LINK
https://www.infrastrukturhelden.de/
#>

Param()

$ErrorActionPreference = "Stop"

try { Import-Module activedirectory } catch { Write-Warning "ActiveDirectory Module ist missing. Please install first"; break }
$DCs =  Get-ADDomainController -Filter  { OperatingSystemVersion -like "*" }
Write-Output "Found $($DCs.count) Domain Controllers in Active Directory"
Write-Progress -activity "Query Eventlogs" -Status "starting" -PercentComplete "0" -Id 1
[int]$i = "0"
ForEach ($DC in $DCs)
{
$i++
Write-Progress -activity "Query Eventlogs" -Status "$($DC.HostName)" -PercentComplete ((($i / $DCs.count)*100)-5) -Id 1
Write-Output $DC.HostName
Get-EventLog -ComputerName $DC.HostName -LogName "System" | Where-Object { $_.EventID  -eq 5829 -or $_.EventID  -eq 5827 -or $_.EventID  -eq 5828 } | select -First 10
}

Das Script ist auf GitHub zum Download verfügbar.

Veröffentlicht:

Kategorien:

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.