Microsoft、Kerberos と Netlogon のセキュリティ欠陥に対する第 3 段階の DC 強化を展開

昨日は月の第 2 火曜日で、予想通り、Microsoft は Windows 10 ( KB5027215 など) と Windows 11 ( KB5027231 ) の Patch Tuesday アップデートをリリースしました。サーバーはパッチ チューズデイのアップデートも受け取り、Microsoft は進行中のドメイン コントローラー (DC) 強化の第 3 フェーズを開始しました。Microsoft は 3 月にユーザーと管理者にこの今後の変更について注意を喚起しました。

この強化は、Netlogon および Kerberos プロトコルの特権属性証明書 (PAC) 署名によるセキュリティ バイパスと特権昇格の脆弱性に対処することを目的としています。同社はWindowsヘルスダッシュボードサイトでこの展開を発表した。こう書いてあります:

2022 年 11 月 8 日以降の Windows リリースには、Windows Server ドメイン コントローラー (DC) に影響を与えるセキュリティの脆弱性に対処するセキュリティ更新プログラムが含まれています。これらの保護は強化変更カレンダーに従い、段階的にリリースされます。以前に発表されたように、管理者は、2023 年 6 月 13 日以降にリリースされた Windows 更新プログラムに続いて有効になる次の変更に注意する必要があります。

Netlogon プロトコルの変更:

• 2023 年 6 月 13 日: RPC シーリングを使用した Netlogon プロトコルの強制がすべてのドメイン コントローラーで有効になり、非準拠デバイスからの脆弱な接続がブロックされます。2023 年 7 月までは、この施行を解除することが可能です。
• 2023 年 7 月 11 日: RPC シーリングの完全な施行が開始され、削除できなくなります。

Kerberos プロトコルの変更:

• 2023 年 6 月 13 日: PAC 署名の追加を無効にする機能は利用できなくなり、2022 年 11 月以降のセキュリティ更新プログラムが適用されたドメイン コントローラーでは、Kerberos PAC バッファーに署名が追加されます。
• 2023 年 7 月 11 日: 署名の検証が開始され、これを防ぐことはできません。不足している署名または無効な署名による接続は引き続き許可されますが (「監査モード」設定)、2023 年 10 月以降、認証は拒否されます。

4 月末に向けて、Microsoft は、Netlogon、Kerberos、および Azure Active Directory (AD) の2024 年までの今後の変更の完全なタイムラインも公開しました。