我有一台 Windows Server 2012 R2,想应用补丁来修复 ZeroLogon 问题 (CVE-2020-1472)。所以我KB4571703从Windows 更新目录,然后按照以下步骤进行安装:
1.expand _f:* “C:\Temp\kb4571703.msu” C:\Temp\kb4571703
2.cd C:\Temp\kb4571703
3.dism /online /add-package /packagepath:Windows8.1-KB4571703-x64.cab
4.restart-computer
我从控制面板检查已安装的更新,我可以看到KB4571703它已安装。
然后,我通过运行提供的脚本来仔细检查塞库拉公司和picuslabs,但无论我怎么尝试,脚本总是返回消息“成功!DC 可能完全受到 Zerologon 攻击的破坏。”,这意味着漏洞仍然存在!
这确实让我很困惑,所以我启用了 NetLogon 日志来深入了解详细信息,以下是日志的一些部分:
16:29:10 [CRITICAL] [644] NetrServerAuthenticate:Corey-AD-1 帐户 Corey-AD-1$ 上的密码 0 错误
16:29:10 [CRITICAL] [644] NetrServerAuthenticate:Corey-AD-1 帐户 Corey-AD-1$ 上的密码 0 错误
16:29:10 [CRITICAL] [644] NetrServerAuthenticate:Corey-AD-1 帐户 Corey-AD-1$ 上的密码 0 错误
16:29:10 [CRITICAL] [644] NetrServerAuthenticate:Corey-AD-1 帐户 Corey-AD-1$ 上的密码 0 错误
16:29:10 [MISC] [644] 事件日志:5805 (1) “Corey-AD-1” 0xc0000022 2f8270f1 5bc8d5e7 34c3e164 6665df64 .p./...[d..4d.ef
16:29:10 [CRITICAL] [644] NlTransportLookup:\\Corey-AD-1:无法 NetSessionEnum 2312
16:29:10 [SESSION] [644] NetrServerAuthenticate 返回成功:帐户 Corey-AD-1$ 上的 Corey-AD-1(已协商:212fffff)
如您所见,服务最后返回 Success,这意味着攻击成功了。但为什么呢?我已经KB4571703在 Windows Server 2012 R2 上打了补丁,是什么原因导致这种情况发生的?
更新 19/11/2020
应用Event Viewer > Windows Logs > System补丁后,我找不到任何事件 ID 为 5827、5828、5829、5830 和 5831 的日志。KB4571703KB4577066
我在“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“安全选项”中也找不到设置“域控制器:允许易受攻击的 Netlogon 安全通道连接”。