Microsoft, Kerberos 및 Netlogon 보안 결함에 대한 3단계 DC 강화 출시

어제는 그 달의 두 번째 화요일이었고 예상대로 Microsoft는 Windows 10( 특히 KB5027215 ) 및 Windows 11( KB5027231 ) 에 대한 패치 화요일 업데이트를 발표했습니다 . 서버는 또한 패치 화요일 업데이트를 받았으며 Microsoft는 진행 중인 DC(도메인 컨트롤러) 강화의 세 번째 단계를 출시했습니다. 마이크로소프트는 사용자와 관리자에게 3월에 예정된 변경 사항을 상기시켰습니다 .

강화는 Netlogon 및 Kerberos 프로토콜의 PAC(Privilege Attribute Certificate) 서명을 사용하여 보안 우회 및 권한 상승 취약성을 해결하기 위한 것입니다. Windows 상태 대시보드 사이트에서 이 회사는 롤아웃을 발표했습니다. 다음과 같이 씁니다 .

2022년 11월 8일 이후 Windows 릴리스에는 Windows Server DC(도메인 컨트롤러)에 영향을 미치는 보안 취약성을 해결하는 보안 업데이트가 포함되어 있습니다. 이러한 보호 기능은 강화 변경 일정을 따르고 단계적으로 릴리스됩니다. 이전에 발표한 바와 같이 관리자는 2023년 6월 13일 이후에 릴리스된 Windows 업데이트 이후에 적용되는 다음 변경 사항을 준수해야 합니다.

Netlogon 프로토콜 변경 사항 :

• 2023년 6월 13일 : RPC 봉인을 사용하는 Netlogon 프로토콜에 대한 시행이 모든 도메인 컨트롤러에서 활성화되고 비준수 장치의 취약한 연결이 차단됩니다. 2023년 7월까지는 이 집행을 제거할 수 있습니다.
• 2023년 7월 11일 : RPC 봉인의 완전한 시행이 시작되며 제거할 수 없습니다.

Kerberos 프로토콜 변경 사항 :

• 2023년 6월 13일 : PAC 서명 추가를 비활성화하는 기능을 더 이상 사용할 수 없으며 2022년 11월 보안 업데이트가 있는 도메인 컨트롤러에는 Kerberos PAC 버퍼에 서명이 추가됩니다.
• 2023년 7월 11일 : 서명 확인이 시작되며 막을 수 없습니다. 누락되거나 잘못된 서명에 대한 연결은 계속 허용되지만(“감사 모드” 설정) 2023년 10월부터 인증이 거부됩니다.

4월 말에 Microsoft는 Netlogon, Kerberos 및 Azure AD(Active Directory)에 대해 2024년까지 예정된 변경 사항에 대한 전체 타임라인도 게시했습니다 .