Microsoft는 곧 있을 Windows DC Kerberos Netlogon 전체 시행에 대해 상기시킵니다.

Microsoft는 다음 달에 예정된 Windows Netlogon 및 Kerberos 강화의 전체 적용 단계에 대한 알림을 오늘 ​​게시했습니다. 변경 사항은 10월 10일에 출시되는 2023년 10월 패치 화요일을 통해 배포될 예정입니다. 전체 타임라인은 이 전용 기사 에서 확인할 수 있습니다 .

배포 단계는 6월에 끝났고 한 달 뒤인 7월에 월간 패치 화요일을 통해 초기 시행 단계가 출시되었습니다.

2023년 7월 11일 이후에 릴리스된 Windows 업데이트는 다음을 수행합니다.

• KrbtgtFullPacSignature 하위 키에 대해 값 1을 설정하는 기능을 제거합니다.
• 명시적인 감사 설정을 사용하여 관리자가 재정의할 수 있는 적용 모드(기본값)(KrbtgtFullPacSignature = 3)로 업데이트를 이동합니다.

귀하가 알지 못하는 경우를 대비해 이 강화는 Netlogon 및 Kerberos 프로토콜(ID “CVE-2022-37967″로 추적됨)의 PAC(권한 속성 인증서) 서명을 통한 보안 우회 및 권한 상승 취약성을 해결하기 위한 것입니다.

이 거대 기술 기업은 건강 대시보드 웹사이트에 다음과 같이 썼습니다 .

알림: 2023년 10월 10일부터 Netlogon 및 Kerberos에 대한 보안 강화 변경 사항이 적용됩니다.

Windows 업데이트 릴리스 2022년 11월 8일 이상에는 Windows Server DC(도메인 컨트롤러)에 영향을 미치는 보안 취약성을 해결하는 변경 사항이 포함되어 있습니다. 해결된 취약점 중에는 PAC(Privilege Attribute Certificate) 서명 변경과 관련된 Kerberos 보안 우회 및 권한 상승 시나리오가 있습니다. 이 문제를 해결하기 위한 변경 사항은 2023년 전반에 걸쳐 일련의 단계를 거쳐 출시되었으며 10월에 최종 시행 단계에 도달했습니다.

관리자는 Kerberos 프로토콜 요구 사항에 영향을 미치고 2023년 10월 10일 이후에 릴리스된 Windows 업데이트에 적용되는 변경 사항을 관찰해야 합니다.

2023년 10월 10일 – 전체 시행 단계

이 날짜 이후에 출시된 Windows 업데이트는 다음과 같은 영향을 미칩니다.

• PAC 서명 추가를 비활성화하는 기능 제거(이전에는 레지스트리 하위 키 KrbtgtFullPacSignature를 통해 수행됨)
• 감사 모드에 대한 지원을 제거합니다(이를 통해 PAC 서명이 누락되었거나 유효하지 않은지 여부에 대한 인증이 활성화되고 검토용 감사 로그가 생성됨).
• 새로운 PAC 서명 없이 들어오는 서비스 티켓에 대한 인증을 거부합니다.

위에 설명된 단계는 이러한 보안 강화 조치의 마지막 단계입니다.

모든 도메인에 가입된 컴퓨터 계정은 이러한 취약점의 영향을 받습니다.

Microsoft 공식 웹사이트의 이 페이지( KB5020805 ) 에서 해당 주제에 대한 자세한 내용을 확인할 수 있습니다 .