微軟提醒Windows DC Kerberos Netlogon即將全面實施

Microsoft 今天發布了有關下個月即將到來的 Windows Netlogon 和 Kerberos 強化的全面實施階段的提醒。這些更改將通過 2023 年 10 月補丁星期二進行部署，該補丁將於 10 月 10 日發布。完整的時間表可以在這篇專門的文章中找到。

部署階段於 6 月結束，一個月後的 7 月，通過每月的補丁星期二，發布了初始執行階段：

2023 年 7 月 11 日或之後發布的 Windows 更新將執行以下操作：

• 刪除了將 KrbtgtFullPacSignature 子項設置為 1 的功能。
• 將更新移至強制模式（默認）(KrbtgtFullPacSignature = 3)，管理員可以使用顯式審核設置覆蓋該模式。

如果您不知道，此強化旨在解決 Netlogon 和 Kerberos 協議中的特權屬性證書 (PAC) 簽名的安全繞過和特權提升漏洞（在 ID“CVE-2022-37967”下跟踪）。

這家科技巨頭在其健康儀表板網站上寫道：

提醒：Netlogon 和 Kerberos 的安全強化更改將於 2023 年 10 月 10 日生效

2022 年 11 月 8 日及更高版本發布的 Windows 更新包括解決影響 Windows Server 域控制器 (DC) 的安全漏洞的更改。已解決的漏洞包括 Kerberos 安全繞過和涉及特權屬性證書 (PAC) 簽名更改的特權提升場景。解決此問題的變更已在 2023 年經歷一系列階段後發布，並將於 10 月進入執行的最後階段。

管理員應注意影響 Kerberos 協議要求的更改，這些更改將隨 2023 年 10 月 10 日及之後發布的 Windows 更新生效。

2023 年 10 月 10 日– 全面執行階段

在此日期及之後發布的 Windows 更新將產生以下影響：

• 刪除禁用 PAC 簽名添加的功能（之前通過註冊表子項 KrbtgtFullPacSignature 完成）
• 刪除對審核模式的支持（無論 PAC 簽名丟失還是無效，這都會啟用身份驗證，並創建審核日誌以供審查）。
• 在沒有新 PAC 簽名的情況下拒絕對傳入服務票證進行身份驗證。

上述階段是這些安全強化措施的最後階段。

所有加入域的計算機帳戶都會受到這些漏洞的影響。

您可以在 Microsoft 官方網站上的此頁面 ( KB5020805 )上找到有關該主題的更多詳細信息。