Freigeben über

Windows-Updates fügen neue NTLM Pass-Through-Authentifizierungsschutz für CVE-2022-21857 hinzu

  • Artikel

Ursprüngliche KB-Nummer: 5010576

Nach der Installation der Windows-Updates vom 11. Januar 2022 oder höher, die Schutzmechanismen für CVE-2022-21857 enthalten, erzwingen DOmänencontroller (DCs) neue Sicherheitsprüfungen für NTLM Pass-Through-Authentifizierungsanforderungen, die von einer vertrauenswürdigen Domäne über eine Domänen- oder Gesamtstrukturvertrauensstellung gesendet oder von einem schreibgeschützten Domänencontroller (RODC) über eine Vertrauensstellung für sichere Kanäle gesendet werden. Die neuen Sicherheitsüberprüfungen erfordern, dass die Domäne oder der Client, die authentifiziert wird, für die verwendete Vertrauensstellung geeignet sind. Insbesondere werden Sicherheitsüberprüfungen, die für den verwendeten Vertrauenstyp geeignet sind, die NTLM-Pass-Through-Authentifizierungsanforderung ablehnen, wenn die folgenden Anforderungen nicht erfüllt sind:

  • Die Anforderungen über eine Domänenvertrauensstellung müssen denselben Domänennamen wie die vertrauenswürdige Domäne verwenden.
  • Die Anforderungen über eine Gesamtstrukturvertrauensstellung müssen einen Domänennamen verwenden, der Mitglied der vertrauenswürdigen Gesamtstruktur ist und keine Namenskonflikte aus anderen Gesamtstrukturen aufweist.
  • Die von einem RODC weitergeleiteten Anforderungen müssen einen Clientnamen verwenden, für den rodc zuvor zum Zwischenspeichern geheimer Schlüssel autorisiert wurde.

Zur Unterstützung der Überprüfungen der Domänen- und Gesamtstruktur wird der primäre Domänencontroller (PRIMARY Domain Controller, PDC) der Stammdomäne in jeder Gesamtstruktur aktualisiert, um regelmäßig LDAP-Abfragen (Lightweight Directory Access Protocol) ausstellen zu können. Die Abfragen werden alle acht Stunden für alle Domänennamen in jeder vertrauenswürdigen Gesamtstruktur ausgegeben, die als "Vertrauensüberprüfung" bezeichnet wird. Diese Domänennamen werden im msDS-TrustForestTrustInfo Attribut des entsprechenden vertrauenswürdigen Domänenobjekts (TDO) gespeichert.

Voraussetzungen

Wenn neue vertrauenswürdige Überprüfungsverhalten durch die Updates hinzugefügt werden, verursacht alles, was LDAP-Aktivitätsdatenverkehr, Authentifizierung und Autorisierung von der PDC einer vertrauenswürdigen Gesamtstruktur zur vertrauenswürdigen Gesamtstruktur blockiert, ein Problem:

  • Wenn Firewalls verwendet werden, müssen TCP- und UDP-Ports 389 zwischen dem vertrauenswürdigen PDC und vertrauenswürdigen Domänen-DCs sowie der Kommunikation zur Ausführung der Vertrauensstellung (Namensauflösung, RPC für NTLM und Port 88 für Kerberos) zulässig sein.
  • Der PDC der vertrauenswürdigen Gesamtstruktur benötigt außerdem den Zugriff auf diesen Computer über das Netzwerkbenutzerrecht , um sich bei den vertrauenswürdigen Domänen-DCs zu authentifizieren. Standardmäßig verfügen "authentifizierte Benutzer" über das Benutzerrecht, das die vertrauenswürdige Domänen-PDC enthält.
  • Die PDC in der vertrauenswürdigen Domäne muss über ausreichende Leseberechtigungen für den Container für vertrauenswürdige Gesamtstrukturpartitionen in der Konfigurations-NC und die untergeordneten Objekte verfügen. Standardmäßig verfügen "authentifizierte Benutzer" über den Zugriff, der für die aufrufende vertrauenswürdige Domäne PDC gilt.
  • Wenn die selektive Authentifizierung aktiviert ist, muss der PDC in der vertrauenswürdigen Gesamtstruktur die Berechtigung zum Authentifizieren der vertrauenswürdigen Gesamtstruktur-DC-Computerkonten erteilt werden, um die vertrauenswürdigen Gesamtstrukturen zu schützen.

Wenn eine vertrauenswürdige Gesamtstruktur nicht zulässt, dass die vertrauenswürdige Gesamtstruktur Vertrauensinformationen abfragt, besteht möglicherweise das Risiko von NTLM-Relayangriffen.

For example, forest A trusts forest B, and forest C trusts forest B. Wenn gesamtstruktur A die Authentifizierung oder LDAP-Aktivität aus der Stammdomäne in Gesamtstruktur B verweigert, besteht die Gefahr eines NTLM-Relayangriffs von einer schädlichen oder kompromittierten Gesamtstruktur C.

Neue Ereignisse

Die folgenden Ereignisse werden als Teile der Schutzmaßnahmen für CVE-2022-21857 hinzugefügt und im Systemereignisprotokoll protokolliert.

Standardmäßig drosselt der Netlogon-Dienst Ereignisse für die Warnungen und Fehlerbedingungen, was bedeutet, dass keine Warnungen pro Anforderung oder Fehlerereignisse protokolliert werden. Stattdessen werden Zusammenfassungsereignisse (Netlogon-Ereignis-ID 5832 und Netlogon-Ereignis-ID 5833) einmal pro Tag für NTLM-Pass-Through-Authentifizierungen protokolliert, die entweder durch die in diesem Update eingeführten neuen Sicherheitsprüfungen blockiert wurden oder aufgrund des Vorhandenseins eines vom Administrator konfigurierten Ausnahmekennzeichnungs blockiert wurden.

Wenn entweder netlogon-Ereignis-ID 5832 oder Netlogon-Ereignis-ID 5833 protokolliert wird und Sie weitere Informationen benötigen, deaktivieren Sie die Ereigniseinschränkung, indem Sie den ThrottleNTLMPassThroughAuthEvents wert REG_DWORD im folgenden Registrierungspfad auf Null festlegen:

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Notiz

Diese Einstellung wird sofort ohne System- oder Dienstneustart wirksam, und sie befindet sich nicht unter der Kontrolle eines Gruppenrichtlinienobjekts (Group Policy Object, GPO).

Netlogon-Ereignis-ID Ereignismeldungstext Hinweise
5832 Der Netlogon-Dienst hat während des letzten Ereignisdrosselungsfensters eine oder mehrere unsichere NTLM-Authentifizierungsanforderungen aus vertrauenswürdigen Domänen und/oder Gesamtstrukturen zugelassen. Diese unsicheren Anforderungen würden normalerweise blockiert, konnten aber aufgrund der aktuellen Vertrauenskonfiguration fortgesetzt werden.
Warnung: Das Zulassen unsicherer Pass-Through-Authentifizierungsanforderungen macht Ihre Active Directory-Gesamtstruktur für Angriffe verfügbar.
Weitere Informationen zu diesem Problem finden Sie unter https://go.microsoft.com/fwlink/?linkid=276811.
Anzahl der unsicheren Anforderungen, die aufgrund einer administrativen Außerkraftsetzung zulässig sind: <Anzahl Anzahl>		 Dieses Warnungsereignis protokolliert die Anzahl der unsicheren Pass-Through-Authentifizierungen, die aufgrund des Vorhandenseins einer vom Administrator konfigurierten Ausnahmekennzeichnung zulässig waren.
5833 Der Netlogon-Dienst blockierte eine oder mehrere unsichere NTLM-Authentifizierungsanforderungen von vertrauenswürdigen Clients, Domänen und/oder Gesamtstrukturen während des letzten Ereignisdrosselungsfensters. Weitere Informationen zu diesem Problem, einschließlich der Aktivierung ausführlicherer Protokollierung, finden Sie unter https://go.microsoft.com/fwlink/?linkid=276811.
Anzahl der blockierten unsicheren Anforderungen: <Anzahl Anzahl>		 Dieses Warnungsereignis protokolliert die Anzahl der unsicheren Pass-Through-Authentifizierungen, die blockiert wurden.
5834 Der Netlogon-Dienst hat eine unsichere NTLM-Authentifizierungsanforderung von einem vertrauenswürdigen Client, einer Domäne oder einer Gesamtstruktur zugelassen. Diese unsichere Anforderung würde normalerweise blockiert, konnte aber aufgrund der aktuellen Vertrauenskonfiguration fortgesetzt werden.
Warnung: Das Zulassen unsicherer Pass-Through-Authentifizierungsanforderungen macht Ihre Active Directory-Gesamtstruktur für Angriffe verfügbar. Weitere Informationen zu diesem Problem finden Sie unter https://go.microsoft.com/fwlink/?linkid=276811.
Kontoname: <Kontoname>
Vertrauensname: <Vertrauensname>
Vertrauenstyp: <Vertrauenstyp>
Client-IP-Adresse: <Client-IP-Adresse>
Blockgrund: <Blockgrund>
Name des Ressourcenservers Netbios: <Netbios-Ressourcenservername>
DNS-Name des Ressourcenservers: <Dns-Name des Ressourcenservers>
Name der Ressourcendomäne Netbios: <Name der Ressourcendomäne Netbios>
DNS-Name der Ressourcendomäne: <Ressourcendomänen-DNS-Name>		 Dieses Warnungsereignis wird nur protokolliert, wenn die Netlogon-Ereignisdrosselung deaktiviert wurde. Es protokolliert eine bestimmte Pass-Through-Authentifizierungsanforderung, die aufgrund eines vom Administrator konfigurierten Ausnahmekennzeichnung zulässig war.
5835 Der Netlogon-Dienst blockierte eine unsichere NTLM-Authentifizierungsanforderung von einem vertrauenswürdigen Client, einer Domäne oder einer Gesamtstruktur. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=276811.
Kontoname: <Kontoname>
Vertrauensname: <Vertrauensname>
Vertrauenstyp: <Vertrauenstyp>
Client-IP-Adresse: <Client-IP-Adresse>
Blockgrund: <Blockgrund>
Name des Ressourcenservers Netbios: <Netbios-Ressourcenservername>
DNS-Name des Ressourcenservers: <Dns-Name des Ressourcenservers>
Name der Ressourcendomäne Netbios: <Name der Ressourcendomäne Netbios>
DNS-Name der Ressourcendomäne: <Ressourcendomänen-DNS-Name>		 Dieses Warnungsereignis wird nur protokolliert, wenn die Netlogon-Ereignisdrosselung deaktiviert wurde. Es protokolliert eine bestimmte Pass-Through-Authentifizierungsanforderung, die blockiert wurde.

Notiz

Diese Ereignisse werden nicht gedrosselt.

LSA-Ereignis-ID Ereignismeldungstext Hinweise
6148 Der PDC hat einen automatischen Vertrauensscanvorgang für alle Vertrauensstellungen ohne Fehler abgeschlossen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Informationsereignis wird voraussichtlich alle acht Stunden regelmäßig angezeigt.
6149 Der PDC hat einen automatischen Vertrauensscanvorgang für alle Vertrauensstellungen abgeschlossen und mindestens einen Fehler festgestellt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Warnereignis sollte untersucht werden, insbesondere, wenn es alle acht Stunden angezeigt wird.
6150 Der PDC hat einen vom Administrator angeforderten Vertrauensscanvorgang für die Vertrauensstellung "<Trust Name>" ohne Fehler abgeschlossen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Informationsereignis wird verwendet, um nachzuverfolgen, wann Administratoren den PDC-Vertrauensscanner mithilfe des netdom trust <Local Forest> /Domain:* /InvokeTrustScanner Cmdlets manuell aufrufen.
6151 Die PDC konnte die angegebene Vertrauensstellung "<Trust Name>" nicht finden, die überprüft werden soll. Die Vertrauensstellung ist entweder nicht vorhanden oder weder eine eingehende noch eine bidirektionale Vertrauensstellung. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Warnungsereignis verfolgt, wenn Administratoren den PDC-Vertrauensscanner manuell mithilfe eines ungültigen Gesamtstrukturnamens aufrufen.
6152 Der PDC hat einen vom Administrator angeforderten Vertrauensscanvorgang für die Vertrauensstellung "<Vertrauensname>" abgeschlossen und einen Fehler festgestellt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Warnungsereignis verfolgt, wenn Administratoren den PDC-Vertrauensscanner (für alle Vertrauensstellungen) manuell aufrufen, indem das netdom trust <Local Forest> /Domain:* /InvokeTrustScanner Cmdlet ausgeführt wird und der Vorgang fehlschlägt.
6153 Beim Versuch, die benannte Vertrauensstellung zu überprüfen, ist beim PDC ein Fehler aufgetreten. Trust: Trust Name>Error: <<Fehlermeldung>Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2162089. Dieses Warnungsereignis ist eine Ergänzung zum vorherigen Ereignis und enthält einen Fehlercode. Es wird während geplanter Vertrauensüberprüfungen protokolliert, die alle acht Stunden auftreten.

Wenn ein Fehlercode in einigen der fehlerbezogenen Ereignisse enthalten ist, müssen Sie die Ablaufverfolgung für weitere Untersuchungen aktivieren.

Verbesserungen bei der Netlogon-Protokollierung und der LSA-Protokollierung

Die Netlogon-Protokollierung (%windir%\debug\netlogon.log) und die LSA-Protokollierung (lsp.log) werden aktualisiert, um die Verbesserungen der Updates zu unterstützen.

Aktivieren und Deaktivieren der Netlogon-Protokollierung (netlogon.log)

  • Führen Sie den folgenden Befehl aus, um die Netlogon-Protokollierung zu aktivieren:

    nltest /dbflag:2080ffff

  • Führen Sie den folgenden Befehl aus, um die Netlogon-Protokollierung nach den Untersuchungen zu deaktivieren:

    nltest /dbflag:0

Aktivieren und Deaktivieren der LSA-Protokollierung (lsp.log) mithilfe von PowerShell

  • Führen Sie die folgenden Cmdlets aus, um die LSA-Protokollierung zu aktivieren:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

  • Führen Sie die folgenden Cmdlets aus, um die LSA-Protokollierung zu deaktivieren:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

Aktivieren und Deaktivieren der LSA-Protokollierung (lsp.log) mithilfe von reg.exe (für ältere Betriebssysteme ohne PowerShell)

  • Führen Sie die folgenden Reg-Befehle aus, um die LSA-Protokollierung zu aktivieren:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /f

  • Führen Sie die folgenden Reg-Befehle aus, um die LSA-Protokollierung zu deaktivieren:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f

Verbesserungen an nltest.exe- und netdom.exe-Tools

Die tools nltest.exe und netdom.exe werden aktualisiert, um die Verbesserungen in diesem Update zu unterstützen.

Nltest.exe Verbesserungen

Das tool nltest.exe kann alle Datensätze in einem msDS-TrustForestTrustInfo Attribut eines vertrauenswürdigen Domänenobjekts mithilfe des folgenden Befehls abfragen und anzeigen:

nltest.exe /lsaqueryfti:<Trusting Forest Name>

Hier ist ein Beispiel mit der Ausgabe:

C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com 
TLN: contoso.com 
Dom: contoso.com 
Scan: contoso.com Sid:(null) Flags:0x0 
The command completed successfully

Notiz

Der Begriff "Scan" in der Ausgabe bezieht sich auf einen neuen "Scanner"-Datensatztyp, der während der PDC-Vertrauensscannervorgänge beibehalten wird.

Netdom.exe Verbesserungen

Das tool netdom.exe kann die neuen PDC-Vertrauensscannervorgänge initiieren und ein Sicherheitsüberprüfungsausnahmekennzeichnung für eine bestimmte vertrauenswürdige Domäne oder eine bestimmte untergeordnete Domäne in einer vertrauenswürdigen Gesamtstruktur festlegen.

  • Initiieren Sie die PDC-Vertrauensscannervorgänge.

    • Führen Sie für alle vertrauenswürdigen Gesamtstrukturen die folgenden Befehle aus:

      netdom trust <Local Forest> /Domain:* /InvokeTrustScanner

    • Führen Sie für eine bestimmte vertrauenswürdige Gesamtstruktur die folgenden Befehle aus:

      netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner

      Notiz

      Dieser Befehl muss lokal auf der PDC der lokalen Gesamtstruktur ausgeführt werden.

    Dieser Befehl kann den Vorgang nur initiieren. Um das Ergebnis zu ermitteln, suchen Sie im Systemereignisprotokoll nach den neuen LSA-Ereignissen, und aktivieren Sie die LSA-Ablaufverfolgung bei Bedarf.

Untersuchen fehlgeschlagener NTLM-Pass-Through-Authentifizierungen

Notiz

Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass Ihre Konfiguration die Anforderungen erfüllt, wie im Abschnitt "Voraussetzungen " beschrieben.

Im Folgenden finden Sie die grundlegenden Schritte:

  1. Aktivieren Sie die Netlogon- und LSA-Protokollierung auf allen beteiligten DCs.

  2. Reproduzieren Sie das Problem.

  3. Deaktivieren Sie die Netlogon- und LSA-Protokollierung.

  4. Suchen Sie in der netlogon.log datei nach den folgenden Begriffen, und überprüfen Sie alle Protokolleinträge, die die Fehler beschreiben:

    • "LsaIFilterInboundNamespace"
    • "NlpValidateNTLMTargetInfo"
    • "NlpVerifyTargetServerRODCCachability"
    • "ResourceDomainNameCollidesWithLocalForest"

  5. Suchen Sie in der lsp.log datei nach dem Begriff "LsaDbpFilterInboundNamespace", und überprüfen Sie alle Protokolleinträge, die die Fehler beschreiben.

Notiz

Verwenden Sie für eine fehlgeschlagene Authentifizierung über eine Gesamtstrukturvertrauensstellung die neue Option nltest.exe, um alle neuen Datensätze abzubilden, die vom PDC-Vertrauensscanner beibehalten wurden.

Untersuchen fehlgeschlagener PDC-Vertrauensscannervorgänge

Notiz

Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass Ihre Konfiguration die Anforderungen erfüllt, wie im Abschnitt "Voraussetzungen " beschrieben.

Im Folgenden finden Sie die grundlegenden Schritte:

  1. Aktivieren Sie die LSA-Protokollierung im PDC.

    Bei bestimmten vertrauenswürdigen Scannervorgängen kann diese Ablaufverfolgung auf das TRACE_LEVEL_LSP_FOREST_SCANNER Flag beschränkt sein.

  2. Reproduzieren Sie das Problem mithilfe der neuen netdom.exe /InvokeTrustScanner Funktionalität.

  3. Deaktivieren Sie die LSA-Protokollierung.

  4. Durchsuchen Sie die lsp.log Datei nach dem Begriff "fail" oder "failed", und überprüfen Sie die Protokolleinträge.

Der Vertrauensscanner kann aus den folgenden Gründen fehlschlagen:

  • Berechtigungen fehlen für den Partitionscontainer.

  • Die erforderlichen Firewallports zwischen DCs und zwischen Mitgliedern und DCs sind nicht geöffnet. Hier sind die Firewallports:

    • UDP+TCP/389
    • TCP/88
    • UDP+TCP/53

Problemminderungen

Wenn Authentifizierungen aufgrund von Domänennamenkonflikten, Fehlkonfigurationen oder unvorhergesehenen Umständen fehlschlagen, benennen Sie die kollidierenden Domänen um, um Kollisionen zur Minderung des Problems zu verhindern.

Wenn die Authentifizierung über eine sichere RODC-Kanalvertrauensstellung fehlschlägt, wenden Sie sich an den Microsoft-Support für dieses Problem, da keine Entschärfungsmethoden vorhanden sind.

Wenn der PDC-Vertrauensscanner fehlschlägt, hängt die Gegenmaßnahme von einem bestimmten Kontext ab. Beispielsweise erhalten DCs in einer vertrauenswürdigen Gesamtstruktur keine LDAP-Abfrageberechtigungen für den Konfigurationsbenennungskontext (CONFIGURATION Naming Context, NC) der vertrauenswürdigen Gesamtstruktur. Die Entschärfung besteht darin, die Berechtigungen zu erteilen.

Häufig gestellte Fragen (FAQs)

  • F1: Ist die Häufigkeit des PDC-Vertrauensscanners konfigurierbar?

    A1: Nein.

  • F2: Wird der PDC-Vertrauensscanner beim Erstellen einer neuen Gesamtstrukturvertrauensstellung automatisch aufgerufen?

    A2: Nein. Administratoren können sie bei Bedarf manuell aufrufen, andernfalls wird die neue Gesamtstruktur im nächsten regulären Intervall gescannt.

  • F3: Können die neuen Scannereinträge von Domänenadministratoren geändert werden?

    A3: Ja, aber es wird nicht empfohlen oder unterstützt. Wenn Scannerdatensätze unerwartet erstellt, geändert oder gelöscht werden, werden die Änderungen beim nächsten Ausführen des PDC-Vertrauensscanners wiederhergestellt.

  • F4: Ich bin sicher, dass NTLM nicht in meiner Umgebung verwendet wird. Wie kann ich dieses Verhalten deaktivieren?

    A4: Im Allgemeinen können die neuen Verhaltensweisen nicht deaktiviert werden. Die RODC-spezifischen Sicherheitsüberprüfungen können nicht deaktiviert werden. Sie können ein Sicherheitsüberprüfungsausnahmekennzeichnung für einen Domänenvertrauensfall oder einen Gesamtstrukturvertrauensfall festlegen.

  • F5: Muss ich vor der Installation dieses Updates Konfigurationsänderungen vornehmen?

    A5: Vielleicht. Stellen Sie sicher, dass Ihre Konfiguration die Anforderungen erfüllt, wie im Abschnitt "Voraussetzungen" beschrieben.

  • F6: Muss ich meine DCs in einer bestimmten Reihenfolge patchen, damit dieses Update wirksam wird?

    A6: Alle Variationen der Patchreihenfolge werden unterstützt. Der neue PDC Trust Scanner-Vorgang wird erst wirksam, nachdem der PDC gepatcht wurde. Alle gepatchten DCs beginnen sofort mit der Erzwingung der RODC-Einschränkungen. Patched non-PDCs erzwingen keine NTLM-Pass-Through-Einschränkungen, bis die PDC gepatcht wurde, und beginnt mit dem Erstellen neuer Scannereinträge in den MsDS-TrustForestTrustInfo-Attributen. Nicht gepatchte DCs (non-PDC) ignorieren die neuen Scannereinträge, sobald vorhanden.

  • F7: Wann wird meine Gesamtstruktur sicher sein?

    A7: Ihre Gesamtstruktur ist sicher, sobald alle DCs in allen Domänen dieses Update installiert haben. Vertrauende Gesamtstrukturen sind sicher, sobald der PDC-Vertrauensscanner mindestens einen erfolgreichen Vorgang abgeschlossen hat und die Replikation erfolgreich war.

  • F8: Ich kontrolliere meine vertrauenswürdigen Domänen oder Gesamtstrukturen nicht. Wie kann ich sicherstellen, dass meine Gesamtstruktur sicher ist?

    A8: Siehe vorherige Frage. Die Sicherheit Ihrer Gesamtstruktur hängt nicht vom Patchstatus von vertrauenswürdigen Domänen oder Gesamtstrukturen ab. Wir empfehlen allen Kunden, ihre DCs zu patchen. Ändern Sie außerdem die im Abschnitt "Voraussetzungen" beschriebene Konfiguration.

References

Weitere Informationen zu den spezifischen technischen Details finden Sie unter: