Microsoft erinnert an die bevorstehende vollständige Durchsetzung von Windows DC Kerberos Netlogon

Microsoft hat heute eine Erinnerung an die bevorstehende vollständige Durchsetzungsphase der Windows Netlogon- und Kerberos-Härtung im nächsten Monat veröffentlicht. Die Änderungen werden über den Patch-Dienstag im Oktober 2023 bereitgestellt, der am 10. Oktober veröffentlicht wird. Die vollständige Zeitleiste finden Sie in diesem speziellen Artikel .

Die Bereitstellungsphase endete bereits im Juni und einen Monat später im Juli wurde über den monatlichen Patch-Dienstag die erste Durchsetzungsphase veröffentlicht:

Die am oder nach dem 11. Juli 2023 veröffentlichten Windows-Updates bewirken Folgendes:

• Entfernt die Möglichkeit, den Wert 1 für den KrbtgtFullPacSignature-Unterschlüssel festzulegen.
• Verschiebt das Update in den Erzwingungsmodus (Standard) (KrbtgtFullPacSignature = 3), der von einem Administrator mit einer expliziten Überwachungseinstellung überschrieben werden kann.

Falls Sie es nicht wissen: Mit dieser Härtung soll eine Sicherheitsumgehung und eine Erhöhung von Privilegienschwachstellen mit Privilege Attribute Certificate (PAC)-Signaturen in den Netlogon- und Kerberos-Protokollen (verfolgt unter der ID „CVE-2022-37967“) behoben werden.

Auf seiner Gesundheits-Dashboard-Website schreibt der Technologieriese :

Erinnerung: Änderungen an der Sicherheitshärtung für Netlogon und Kerberos treten am 10. Oktober 2023 in Kraft

Die Windows-Updates vom 8. November 2022 und später enthalten Änderungen, die Sicherheitslücken beheben, die Windows Server-Domänencontroller (DC) betreffen. Zu den behobenen Schwachstellen gehört eine Kerberos-Sicherheitsumgehung und ein Szenario zur Rechteerweiterung, bei dem PAC-Signaturen (Privilege Attribute Certificate) geändert werden. Änderungen zur Behebung dieses Problems wurden nach einer Reihe von Phasen im Laufe des Jahres 2023 veröffentlicht und erreichen im Oktober die letzte Phase der Durchsetzung.

Administratoren sollten Änderungen beachten, die sich auf die Kerberos-Protokollanforderungen auswirken und mit den Windows-Updates in Kraft treten, die am und nach dem 10. Oktober 2023 veröffentlicht werden.

10. Oktober 2023 – Vollständige Durchsetzungsphase

Ab diesem Datum veröffentlichte Windows-Updates haben folgende Auswirkungen:

• Entfernen Sie die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren (zuvor erfolgte dies über den Registrierungsunterschlüssel KrbtgtFullPacSignature).
• Entfernen Sie die Unterstützung für den Überwachungsmodus (dies ermöglichte die Authentifizierung, ob PAC-Signaturen fehlten oder ungültig waren, und erstellte Überwachungsprotokolle zur Überprüfung).
• Verweigern Sie die Authentifizierung eingehender Servicetickets ohne die neuen PAC-Signaturen.

Die oben beschriebene Phase ist die letzte Phase dieser Sicherheitsverstärkungsmaßnahmen.

Alle in die Domäne eingebundenen Maschinenkonten sind von diesen Sicherheitslücken betroffen.

Weitere Details zum Thema finden Sie möglicherweise auf dieser Seite ( KB5020805 ) auf der offiziellen Website von Microsoft.