微軟針對 Kerberos 安全漏洞更新第三階段 Windows DC 強化路線圖

早在 11 月，即該月的第二個星期二，微軟發布了補丁星期二更新。服務器 ( KB5019081 ) 解決了 Windows Kerberos 特權提升漏洞，該漏洞允許威脅參與者更改特權屬性證書 (PAC) 簽名（在 ID“ CVE-2022-37967 ”下進行跟踪）。Microsoft 建議將更新部署到所有 Windows 設備，包括域控制器。

為了幫助部署，Microsoft 發布了指南。該公司將此事的實質總結如下：

2022 年 11 月 8 日的 Windows 更新通過特權屬性證書 (PAC) 簽名解決安全繞過和特權提升漏洞。此安全更新解決了 Kerberos 漏洞，攻擊者可以在這些漏洞中以數字方式更改 PAC 簽名，從而提高他們的特權。

為幫助保護您的環境，請將此 Windows 更新安裝到所有設備，包括 Windows 域控制器。

上月底，公司發布了關於第三階段部署的提示。雖然它本應在本月的補丁星期二發布，但微軟現在已將其推遲幾個月至 6 月。Windows 健康儀表板消息中心的更新說：

週二的 6 月補丁將對 Kerberos 協議進行以下強化更改：

2023 年 6 月 13 日或之後發布的 Windows 更新將執行以下操作：

• 通過將KrbtgtFullPacSignature子項設置為值 0，刪除禁用 PAC 簽名添加的功能  。

您可以在此處 ( KB5020805 )找到有關支持文章的更多詳細信息。