所有尚未收到 2022 年 11 月 8 日安全更新的 Windows 版本中都存在 Netlogon RPC 权限提升漏洞。来自 Microsoft:
| 2022 年 11 月 8 日及更高版本的 Windows 更新了使用 RPC 签名而不是 RPC 封条时 Netlogon 协议中的劣势。更多信息可在 CVE-2022-38023 中找到。
Netlogon 远程协议远程过程调用 (RPC) 接口主要用于维护设备与其域之间的关系,以及域控制器 (DC) 和域之间的关系。
此更新默认情况下会保护 Windows 设备免受 CVE-2022-38023 的保护。对于第三方客户端和第三方域控制器,默认情况下,更新处于兼容性模式,并允许来自此类客户端的易受攻击连接。 [...]
重要信息 从 2023 年 6 月开始,将在所有 Windows 域控制器上启用强制实施模式,并阻止来自非合规设备的易受攻击连接。此时,您将无法禁用更新,但可能会移回兼容性模式设置。兼容性模式将于 2023 年 7 月删除[.] [1] |
对于已收到 2023 年 4 月 11 日安全更新的任何 Windows 域,Microsoft 将向域控制器的事件日志发布消息,指示系统以不安全的方式连接到域。运行至少版本 5.0.6 但低于连接到域的版本 5.1.0 的 Dell Unity 系统会在事件日志中生成错误 5838:
| 事件日志 |
系统 |
| 事件类型 |
Error(错误) |
| 事件源 |
NETLOGON |
| 事件 ID |
5838 |
| 事件文本 |
Netlogon 服务遇到使用 RPC 签名而不是 RPC 封条的客户端。 |
此消息旨在提醒管理员系统最终会被未来的安全更新阻止。
2023 年 6 月 13 日,Microsoft 将发送另一个安全更新,在所有加入域的第三方系统上启用强制实施模式,并阻止来自不支持 RPC 封条的所有设备的连接。虽然管理员无法删除限制,但他们可以将这些第三方系统移回兼容性模式。
后续的安全更新将于 2023 年 7 月 11 日删除将域置于兼容性模式的功能。
修复:
自 Unity Operating Environment (OE) 版本 5.1.0 及更高版本起,戴尔完全支持 Microsoft 要求的 RPC 封条。版本 5.1.0 于 2021 年 6 月 21 日发布。升级到 Unity OE 版本 5.1.0 或更高版本以解决此问题。
解决 方案:
- 在 2023 年 6 月启用强制实施模式时,管理员可以将其第三方连接移回兼容性模式,以支持尚未升级到 5.1.0 或更高版本的 Unity 系统。
- 当在 2023 年 7 月删除兼容性模式时,将没有进一步的解决方法可用。管理员必须遵循上述修复,以重新建立与 Dell Unity 系统的通信。