Microsoft wprowadza zabezpieczenie trzeciej fazy DC dla luki w zabezpieczeniach Kerberos i Netlogon
Wczoraj był drugi wtorek miesiąca i zgodnie z oczekiwaniami Microsoft udostępnił aktualizacje Patch Tuesday dla Windows 10 ( między innymi KB5027215 ) i Windows 11 ( KB5027231 ). Serwery otrzymały również aktualizacje Patch Tuesday, a Microsoft wprowadził trzecią fazę trwającego utwardzania kontrolera domeny (DC). Microsoft przypomniał użytkownikom i administratorom o tej nadchodzącej zmianie w marcu .
Wzmocnienie ma na celu wyeliminowanie luk w zabezpieczeniach związanych z obejściem zabezpieczeń i podniesieniem uprawnień za pomocą podpisów Privilege Attribute Certificate (PAC) w protokołach Netlogon i Kerberos. Na stronie pulpitu nawigacyjnego systemu Windows firma ogłosiła wdrożenie. pisze : _
Wersje systemu Windows z 8 listopada 2022 r. i nowsze zawierają aktualizacje zabezpieczeń, które usuwają luki w zabezpieczeniach mające wpływ na kontrolery domeny systemu Windows Server (DC). Zabezpieczenia te są zgodne z kalendarzem zaostrzających się zmian i są uwalniane etapami. Zgodnie z wcześniejszymi zapowiedziami administratorzy powinni zapoznać się z następującymi zmianami, które wejdą w życie po aktualizacjach systemu Windows wydanych 13 czerwca 2023 r. i później:
Zmiany w protokole Netlogon :
- 13 czerwca 2023 r .: egzekwowanie protokołu Netlogon za pomocą pieczętowania RPC zostanie włączone na wszystkich kontrolerach domeny, a podatne na ataki połączenia z niezgodnych urządzeń zostaną zablokowane. Do lipca 2023 r. nadal można usunąć to wymuszenie.
- 11 lipca 2023 r .: rozpocznie się pełne egzekwowanie plombowania RPC, którego nie można usunąć.
Zmiany w protokole Kerberos :
- 13 czerwca 2023 r .: możliwość wyłączenia dodawania sygnatur PAC nie będzie już dostępna, a kontrolery domeny z aktualizacją zabezpieczeń z listopada 2022 r. lub nowszą będą miały dodane sygnatury do bufora PAC protokołu Kerberos.
- 11 lipca 2023 r. : rozpocznie się weryfikacja podpisu i nie można jej zapobiec. Połączenia w przypadku brakujących lub nieprawidłowych podpisów będą nadal dozwolone (ustawienie „Tryb audytu”), jednak od października 2023 r. nastąpi odmowa uwierzytelnienia.
Pod koniec kwietnia Microsoft opublikował również pełny harmonogram nadchodzących zmian dla Netlogon, Kerberos i Azure Active Directory (AD) aż do 2024 roku .
Dodaj komentarz