Microsoft führt DC-Härtung der dritten Phase für Sicherheitslücken bei Kerberos und Netlogon ein

Gestern war der zweite Dienstag des Monats und wie erwartet hat Microsoft Patch-Tuesday-Updates für Windows 10 ( unter anderem KB5027215 ) und Windows 11 ( KB5027231 ) veröffentlicht. Die Server erhielten außerdem Patch-Tuesday-Updates und Microsoft führte die dritte Phase der fortlaufenden Härtung des Domänencontrollers (DC) ein. Microsoft erinnerte Benutzer und Administratoren bereits im März an diese bevorstehende Änderung .

Die Härtung soll eine Sicherheitsumgehung und Schwachstellen bei der Erhöhung von Berechtigungen mit Privilege Attribute Certificate (PAC)-Signaturen in den Protokollen Netlogon und Kerberos beheben. Auf seiner Windows-Health-Dashboard-Seite hat das Unternehmen die Einführung angekündigt. Es schreibt :

Die Windows-Versionen vom 8. November 2022 und später enthalten Sicherheitsupdates, die Sicherheitslücken beheben, die Windows Server-Domänencontroller (DC) betreffen. Diese Schutzmaßnahmen folgen einem strengeren Änderungskalender und werden in Phasen freigegeben. Wie bereits angekündigt, sollten Administratoren die folgenden Änderungen beachten, die nach der Veröffentlichung von Windows-Updates ab dem 13. Juni 2023 in Kraft treten:

Änderungen am Netlogon-Protokoll :

• 13. Juni 2023 : Die Durchsetzung des Netlogon-Protokolls mithilfe der RPC-Versiegelung wird auf allen Domänencontrollern aktiviert und anfällige Verbindungen von nicht konformen Geräten werden blockiert. Es ist noch bis Juli 2023 möglich, diese Durchsetzung aufzuheben.
• 11. Juli 2023 : Die vollständige Durchsetzung der RPC-Versiegelung beginnt und kann nicht entfernt werden.

Änderungen am Kerberos-Protokoll :

• 13. Juni 2023 : Die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, wird nicht mehr verfügbar sein und Domänencontrollern mit dem Sicherheitsupdate vom November 2022 oder höher werden Signaturen zum Kerberos-PAC-Puffer hinzugefügt.
• 11. Juli 2023 : Die Überprüfung der Unterschrift beginnt und kann nicht verhindert werden. Verbindungen wegen fehlender oder ungültiger Signaturen bleiben weiterhin erlaubt (Einstellung „Audit-Modus“), allerdings wird ihnen ab Oktober 2023 die Authentifizierung verweigert.

Gegen Ende April veröffentlichte Microsoft außerdem eine vollständige Zeitleiste der bevorstehenden Änderungen für Netlogon, Kerberos und Azure Active Directory (AD) bis 2024 .