„Domain Controller Enforcement mode“ wird ab dem 9 Februar aktiviert

- Read this article in English. -
von

This article also available in English at LinkedIn Pulse: „Domain Controller Enforcement mode“​ will be activated as of 9 February 2021.

Mit dem Sicherheitsupdates vom 11 August 2020 hat Microsoft eine Sicherheitslücke (CVE-2020-1472) adressiert. Geschlossen wurde dies noch nicht automatisch, da es zu Kompatibilitätsproblemen kommen kann. Wie die Schließung der Lücke vorher schon durchgeführt werden kann, ist in dem KB-Artikel 455722 erklärt.

"Domain Controller Enforcement mode" wird ab dem 9 Februar aktiviert - e1a9d1d712ee4b1b82584de558d4b355 - 1

Da die Lücke die RPC bzw. Secure RPC Verbindung betrifft, sollte vorher schon einmal prüfen, ob es zu Problemen kommen wird, und durch welches System. Seit dem Augustupdate werden im Event-Log entsprechende Einträge protokolliert, wenn ein Blockierung im Enforcement Mode stattfinden würde. Das Update kommt quasi mit einem Auditmode wie es ihn auch bei AppLocker oder Windows Defender Exploitation Guard (Ehemals EMET) gibt.

Die passenden Event Ids sind 5827-5831 im System Eventlog.

Weitere Informationen. Inklusive der Gruppenrichtlinien Einstellungen finden Sie ebenfalls in dem KB Artikel.

Microsoft stellt auch ein Musterscript bereit um die Exportierten Eventlogdateien auf die Fehler zu analysieren.

Hinweise zu Programm- und PowerShell Code

Der hier enthaltene Code dient als Beispiel. Ich übernehme keine Garantie, Gewährleistung oder Support für den Code oder Bestandteile. Verwendung des Codes erfolgt auf eigene Gefahr.
Ich empfehle immer sich die Skripte vor der Verwendung genau anzuschauen, was sie wirklich tun.

<#
.SYNOPSIS
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog
	
.DESCRIPTION
Checks all Domain Controller for Event ID 5827-5829 in the System Eventlog. This are the Event for connections witch will be blocked starting 9 Feb. 2021 due CVE-2020-1472.

.EXAMPLE 
C:\PS> get-CVE20201472Events.ps1

.NOTES
Author     : Fabian Niesen (www.fabian-niesen.de)
Filename   : get-GPOBackup.ps1
Requires   : PowerShell Version 3.0
Version    : 1.0
History    : 1.0   FN  17.01.2021  initial version
             

.LINK
https://www.infrastrukturhelden.de/
#>

Param()

$ErrorActionPreference = "Stop"

try { Import-Module activedirectory } catch { Write-Warning "ActiveDirectory Module ist missing. Please install first"; break }
$DCs =  Get-ADDomainController -Filter  { OperatingSystemVersion -like "*" }
Write-Output "Found $($DCs.count) Domain Controllers in Active Directory"
Write-Progress -activity "Query Eventlogs" -Status "starting" -PercentComplete "0" -Id 1
[int]$i = "0"
ForEach ($DC in $DCs)
{
$i++
Write-Progress -activity "Query Eventlogs" -Status "$($DC.HostName)" -PercentComplete ((($i / $DCs.count)*100)-5) -Id 1
Write-Output $DC.HostName
Get-EventLog -ComputerName $DC.HostName -LogName "System" | Where-Object { $_.EventID  -eq 5829 -or $_.EventID  -eq 5827 -or $_.EventID  -eq 5828 } | select -First 10
}

Das Script ist auf GitHub zum Download verfügbar.