„Domain Controller Enforcement mode“ wird ab dem 9 Februar aktiviert


This article also available in English at LinkedIn Pulse: „Domain Controller Enforcement mode“​ will be activated as of 9 February 2021.


Mit dem Sicherheitsupdates vom 11 August 2020 hat Microsoft eine Sicherheitslücke (CVE-2020-1472) adressiert. Geschlossen wurde dies noch nicht automatisch, da es zu Kompatibilitätsproblemen kommen kann. Wie die Schließung der Lücke vorher schon durchgeführt werden kann, ist in dem KB-Artikel 455722 erklärt.

"Domain Controller Enforcement mode" wird ab dem 9 Februar aktiviert - e1a9d1d712ee4b1b82584de558d4b355 - 1

Da die Lücke die RPC bzw. Secure RPC Verbindung betrifft, sollte vorher schon einmal prüfen, ob es zu Problemen kommen wird, und durch welches System. Seit dem Augustupdate werden im Event-Log entsprechende Einträge protokolliert, wenn ein Blockierung im Enforcement Mode stattfinden würde. Das Update kommt quasi mit einem Auditmode wie es ihn auch bei AppLocker oder Windows Defender Exploitation Guard (Ehemals EMET) gibt.

Die passenden Event Ids sind 5827-5831 im System Eventlog.

Weitere Informationen. Inklusive der Gruppenrichtlinien Einstellungen finden Sie ebenfalls in dem KB Artikel.

Microsoft stellt auch ein Musterscript bereit um die Exportierten Eventlogdateien auf die Fehler zu analysieren.

Alternativ ist hier ein Script von mir um die entsprechenden Event-IDs auf allen Active Directory Domain Controllern in der Domäne zu prüfen, natürlich entsprechende Berechtigung und das AD PowerShell Modul vorausgesetzt.


Hinweise zu Programm- und PowerShell Code

Der hier enthaltene Code dient als Beispiel. Ich übernehme keine Garantie, Gewährleistung oder Support für den Code oder Bestandteile. Verwendung des Codes erfolgt auf eigene Gefahr.
Ich empfehle immer sich die Skripte vor der Verwendung genau anzuschauen, was sie wirklich tun.


<#
.SYNOPSIS
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog
	
.DESCRIPTION
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog. This are the Event for connections witch will be blocked starting 9 Feb. 2021 due CVE-2020-1472.

.EXAMPLE 
C:\PS> get-CVE20201472Events.ps1

.NOTES
Author     : Fabian Niesen (www.fabian-niesen.de)
Filename   : get-GPOBackup.ps1
Requires   : PowerShell Version 3.0
Version    : 1.0
History    : 1.0   FN  17.01.2021  initial version
             

.LINK
https://www.infrastrukturhelden.de/
#>

Param()

$ErrorActionPreference = "Stop"

try { Import-Module activedirectory } catch { Write-Warning "ActiveDirectory Module ist missing. Please install first"; break }
$DCs =  Get-ADDomainController -Filter  { OperatingSystemVersion -like "*" }
Write-Output "Found $($DCs.count) Domain Controllers in Active Directory"
Write-Progress -activity "Query Eventlogs" -Status "starting" -PercentComplete "0" -Id 1
[int]$i = "0"
ForEach ($DC in $DCs)
{
$i++
Write-Progress -activity "Query Eventlogs" -Status "$($DC.HostName)" -PercentComplete ((($i / $DCs.count)*100)-5) -Id 1
Write-Output $DC.HostName
Get-EventLog -ComputerName $DC.HostName -LogName "System" | Where-Object { $_.EventID  -eq 5829 -or $_.EventID  -eq 5827 -or $_.EventID  -eq 5828 } | select -First 10
}
Icon

get-CVE20201472Events.ps1 1KB 21 downloads

Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog. This…

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*