微軟提醒Windows DC Kerberos Netlogon即將全面實施

微軟提醒Windows DC Kerberos Netlogon即將全面實施

Microsoft 今天發布了有關下個月即將到來的 Windows Netlogon 和 Kerberos 強化的全面實施階段的提醒。這些更改將通過 2023 年 10 月補丁星期二進行部署,該補丁將於 10 月 10 日發布。完整的時間表可以在這篇專門的文章中找到。

部署階段於 6 月結束,一個月後的 7 月,通過每月的補丁星期二,發布了初始執行階段:

2023 年 7 月 11 日或之後發布的 Windows 更新將執行以下操作:

  • 刪除了將 KrbtgtFullPacSignature 子項設置為 1 的功能。
  • 將更新移至強制模式(默認)(KrbtgtFullPacSignature = 3),管理員可以使用顯式審核設置覆蓋該模式。

如果您不知道,此強化旨在解決 Netlogon 和 Kerberos 協議中的特權屬性證書 (PAC) 簽名的安全繞過和特權提升漏洞(在 ID“CVE-2022-37967”下跟踪)。

這家科技巨頭在其健康儀表板網站上寫道

提醒:Netlogon 和 Kerberos 的安全強化更改將於 2023 年 10 月 10 日生效

2022 年 11 月 8 日及更高版本發布的 Windows 更新包括解決影響 Windows Server 域控制器 (DC) 的安全漏洞的更改。已解決的漏洞包括 Kerberos 安全繞過和涉及特權屬性證書 (PAC) 簽名更改的特權提升場景。解決此問題的變更已在 2023 年經歷一系列階段後發布,並將於 10 月進入執行的最後階段。

管理員應注意影響 Kerberos 協議要求的更改,這些更改將隨 2023 年 10 月 10 日及之後發布的 Windows 更新生效。

2023 年 10 月 10 日– 全面執行階段

在此日期及之後發布的 Windows 更新將產生以下影響:

  • 刪除禁用 PAC 簽名添加的功能(之前通過註冊表子項 KrbtgtFullPacSignature 完成)
  • 刪除對審核模式的支持(無論 PAC 簽名丟失還是無效,這都會啟用身份驗證,並創建審核日誌以供審查)。
  • 在沒有新 PAC 簽名的情況下拒絕對傳入服務票證進行身份驗證。

上述階段是這些安全強化措施的最後階段。

所有加入域的計算機帳戶都會受到這些漏洞的影響。

您可以在 Microsoft 官方網站上的此頁面 ( KB5020805 )上找到有關該主題的更多詳細信息。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *