Microsoft は、近日中に Windows DC Kerberos Netlogon の完全な施行が予定されていることを思い出させます

Microsoft は本日、来月に予定される Windows Netlogon と Kerberos の強化の完全施行フェーズについてのリマインダーを公開しました。変更は、10 月 10 日にリリースされる 2023 年 10 月のパッチ火曜日を通じて展開されます。完全なタイムラインは、この専用記事でご覧いただけます。

導入フェーズは6 月に終了し、1 か月後の 7 月に毎月のパッチ火曜日を通じて、最初の施行フェーズがリリースされました。

2023 年 7 月 11 日以降にリリースされる Windows 更新プログラムでは、次のことが行われます。

• KrbtgtFullPacSignature サブキーに値 1 を設定する機能を削除します。
• 更新を強制モード (デフォルト) (KrbtgtFullPacSignature = 3) に移行します。これは、管理者が明示的な監査設定を使用して上書きできます。

ご存じない方のために付け加えておきますが、この強化は、Netlogon および Kerberos プロトコルの特権属性証明書 (PAC) 署名によるセキュリティ バイパスと特権昇格の脆弱性に対処することを目的としています (ID「CVE-2022-37967」で追跡されています)。

テクノロジー大手は自社の健康ダッシュボード Web サイトで次のように書いています。

リマインダー: Netlogon と Kerberos のセキュリティ強化の変更は 2023 年 10 月 10 日より発効します

2022 年 11 月 8 日以降にリリースされる Windows 更新プログラムには、Windows Server ドメイン コントローラー (DC) に影響を与えるセキュリティの脆弱性に対処する変更が含まれています。対処された脆弱性の中には、特権属性証明書 (PAC) 署名の変更を伴う Kerberos セキュリティ バイパスと特権昇格のシナリオが含まれます。この問題に対処するための変更は、2023 年を通じて一連の段階を経てリリースされ、10 月に施行の最終段階に達します。

管理者は、Kerberos プロトコル要件に影響を与える変更に注意する必要があります。この変更は、2023 年 10 月 10 日以降にリリースされる Windows 更新プログラムで有効になります。

2023 年 10 月 10 日– 完全施行段階

この日以降にリリースされた Windows 更新プログラムには次の影響があります。

• PAC 署名の追加を無効にする機能を削除します (以前はレジストリ サブキー KrbtgtFullPacSignature によって行われていました)。
• 監査モードのサポートを削除します (これにより、PAC 署名が欠落しているか無効であるかどうかの認証が有効になり、レビュー用の監査ログが作​​成されました)。
• 新しい PAC 署名のない受信サービス チケットに対する認証を拒否します。

上記のフェーズは、これらのセキュリティ強化対策の最終フェーズです。

ドメインに参加しているすべてのマシン アカウントがこれらの脆弱性の影響を受けます。

このトピックの詳細については、Microsoft の公式 Web サイトのこのページ ( KB5020805 ) を参照してください。