Microsoft przypomina o zbliżającym się pełnym egzekwowaniu protokołu Windows DC Kerberos Netlogon

Firma Microsoft opublikowała dzisiaj przypomnienie o nadchodzącej w przyszłym miesiącu fazie pełnego egzekwowania zabezpieczeń Windows Netlogon i Kerberos. Zmiany zostaną wprowadzone poprzez wtorkową łatkę z października 2023 r., która zostanie wydana 10 października. Pełny harmonogram jest dostępny w tym dedykowanym artykule .

Faza wdrażania zakończyła się w czerwcu , a miesiąc później, w lipcu, za pośrednictwem comiesięcznego wtorku z łatką, wypuszczono wstępną fazę egzekwowania:

Aktualizacje systemu Windows wydane 11 lipca 2023 r. lub później będą wykonywać następujące czynności:

• Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature.
• Przenosi aktualizację do trybu egzekwowania (domyślny) (KrbtgtFullPacSignature = 3), który może zostać zastąpiony przez administratora za pomocą jawnego ustawienia inspekcji.

Jeśli nie wiesz, to wzmocnienie ma na celu rozwiązanie problemu obejścia zabezpieczeń i podniesienia luk w zabezpieczeniach za pomocą podpisów certyfikatu atrybutu uprawnień (PAC) w protokołach Netlogon i Kerberos (śledzonych pod identyfikatorem „CVE-2022-37967”).

Na swojej stronie internetowej poświęconej zdrowiu gigant technologiczny pisze :

Przypomnienie: zmiany zwiększające bezpieczeństwo Netlogon i Kerberos obowiązują od 10 października 2023 r

Aktualizacje systemu Windows wydane 8 listopada 2022 r. i nowsze zawierają zmiany usuwające luki w zabezpieczeniach kontrolerów domeny systemu Windows Server (DC). Wśród naprawionych luk znajduje się scenariusz obejścia zabezpieczeń protokołu Kerberos i podniesienia uprawnień obejmujący zmianę podpisów certyfikatów atrybutów uprawnień (PAC). Zmiany mające na celu rozwiązanie tego problemu były wprowadzane w kilku etapach przez cały 2023 r. i osiągnęły końcowy etap egzekwowania w październiku.

Administratorzy powinni obserwować zmiany wpływające na wymagania protokołu Kerberos i wchodzące w życie wraz z aktualizacjami systemu Windows wydanymi 10 października 2023 r. i później.

10 października 2023 r. – Faza pełnego wdrożenia

Aktualizacje systemu Windows wydane w tym dniu i po tej dacie będą miały następujący skutek:

• Usuń możliwość wyłączenia dodawania podpisu PAC (wcześniej robiono to za pomocą podklucza rejestru KrbtgtFullPacSignature)
• Usuń obsługę trybu inspekcji (umożliwiło to uwierzytelnianie w przypadku braku lub nieprawidłowego podpisu PAC oraz utworzyło dzienniki audytu do przeglądu).
• Odmów uwierzytelnienia przychodzącym biletom usługowym bez nowych podpisów PAC.

Faza opisana powyżej jest końcową fazą środków zwiększających bezpieczeństwo.

Wszystkie konta komputerów przyłączone do domeny są dotknięte tymi lukami.

Więcej szczegółów na ten temat można znaleźć na tej stronie ( KB5020805 ) w oficjalnej witrynie firmy Microsoft.