Managing deployment of RBCD-Protected User (CVE-2020-16996)

Mitglied: Dani

Dani (Level 5) - Jetzt verbinden

2021/02/08, aktualisiert 14:12 Uhr, 1214 Aufrufe, 1 Danke

Summary
If you use Protected Users and Resource-Based Constrained Delegation (RBCD), a security vulnerability may exist on Active Directory domain controllers. To learn more about the security vulnerability, see CVE-2020-16996.

Take Action
To protect your environment and prevent outages, you must do the following:
  • Update all devices that host the Active Directory domain controller role by installing the December 8, 2020 Windows update or a later Windows update. Be aware that installing the Windows update does not fully mitigate the security vulnerability. You must perform Step 2.
  • Enable Enforcement mode on all Active Directory domain controllers. Starting with the March 9, 2021 update, Enforcement mode can be enabled on all Windows domain controllers.

Timing of updates
These Windows updates will be released in two phases:
  • The initial deployment phase for Windows updates released on or after December 8, 2020.
  • The enforcement phase for Windows updates released on or after March 9, 2021.

December 8, 2020: Initial Deployment Phase
The initial deployment phase starts with the Windows update released on December 8, 2020 and continues with a later Windows update for the Enforcement phase. These and later Windows updates make changes to Kerberos.

This release:
  • Addresses CVE-2020-16996 (disabled by default).
  • Adds support for the NonForwardableDelegation registry value to enable protection on Active Directory domain controller servers. By default, the value does not exist.

Mitigation consists of the installation of the Windows updates on all devices that host the Active Directory domain controller role and read-only domain controllers (RODCs), and then enabling Enforcement mode.

March 9, 2021: Enforcement Phase
The March 9, 2021 release transitions into the enforcement phase. Enforcement phase enforces the changes to address CVE-2020-16996. Active Directory domain controllers will now be in Enforcement mode unless the enforcement mode registry key is set to 1 (Disabled). If the Enforcement mode registry key is set, the setting will be honored. Going to Enforcement mode requires that all Active Directory domain controllers have the December 8, 2020 update or a later update installed.

Read more


Gruß,
Dani
Heiß diskutierte Inhalte
Microsoft
Erwerb von M365 Lizenzen, Partner Autorisierung für Azure AD - Globaler Administrator wirklich nötig?
Nidavellir1 day agoQuestionMicrosoft5 Comments

Hi zusammen, bitte entschuldigt den etwas sperrigen Titel, aber ein knapperer wollte mir nicht einfallen. :D Wir wollen bei einem Systemhaus M365 Lizenzen (Business ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
solved AndiPee17 hours agoQuestionLAN, WAN, Wireless19 Comments

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Off Topic
BKA und der Bundestrojaner
brammer1 day agoTickerOff Topic4 Comments

Hallo, habe kurz überlegt ob das unter Off Topic allgemein oder Off Topic LOL gehört brammer

Memory Cards
Welchen USB Stick für Bootstick?
solved dlnkrg1 day agoQuestionMemory Cards6 Comments

Hallo, Ich bin auf der Suche nach USB - Sticks, auf denen ich Linux Ubuntu installieren kann und praktisch als Festplatte für das Betriebssystem ...

Windows Network
Sporadisch kein Netz auf mehreren Win10-Maschinen
Solarflare1 day agoQuestionWindows Network6 Comments

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...

Windows 7
Userpfad Problem nach Aenderung des Computernamens
Berner1 day agoQuestionWindows 712 Comments

In einem Netzwerk von 9 PCs sind 9 Ersatz-PCs eingebunden, bei denen im Bedarfsfall vor dem Einsatz nur der Computername und die IP-Adresse angepasst ...

VB for Applications
Auf SQL Datenbank schreiben welche Sich im Firmennetzwerk befindet
RSST-SOR1 day agoQuestionVB for Applications12 Comments

Hallo Ich habe ein funktionierendes VBA Makro im EXCEL welches mit: conn.Open "driver={SQL Server};" & _ "server=RSST-OFFICEIII\RSSTSQLSERVER;database=RSSTZeiterfassung;" Daten in die Tabelle schreibt Nun würde ...

MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
solved Daniel265 hours agoQuestionMikroTik RouterOS23 Comments

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...