微軟針對 Kerberos 和 Netlogon 安全漏洞推出第三階段 DC 加固

昨天是本月的第二個星期二，正如預期的那樣，Microsoft 發布了 Windows 10（KB5027215 等）和 Windows 11（KB5027231）的補丁星期二更新。服務器還收到了補丁星期二更新，微軟推出了正在進行的域控制器 (DC) 強化的第三階段。早在 3 月份， Microsoft 就提醒用戶和管理員即將進行的更改。

強化旨在通過 Netlogon 和 Kerberos 協議中的特權屬性證書 (PAC) 簽名解決安全繞過和特權提升漏洞。在其 Windows 健康儀表板網站上，該公司宣布推出。它寫道：

2022 年 11 月 8 日及之後的 Windows 版本包括解決影響 Windows Server 域控制器 (DC) 的安全漏洞的安全更新。這些保護遵循強化更改日曆並分階段發布。如前所述，管理員應注意以下更改，這些更改將在 2023 年 6 月 13 日及之後發布的 Windows 更新後生效：

Netlogon 協議更改：

• 2023 年 6 月 13 日：將在所有域控制器上啟用使用 RPC 密封的 Netlogon 協議強制執行，並將阻止來自不合規設備的易受攻擊的連接。在 2023 年 7 月之前，仍有可能取消此強制執行。
• 2023 年 7 月 11 日：將開始全面執行 RPC 密封，並且無法取消。

Kerberos 協議更改：

• 6 月 13 日：2023 年：禁用 PAC 簽名添加的功能將不再可用，具有 2022 年 11 月安全更新或更高版本的域控制器將向 Kerberos PAC 緩衝區添加簽名。
• 2023 年 7 月 11 日：簽名驗證將開始並且無法阻止。丟失或無效簽名的連接將繼續被允許（“審核模式”設置），但是，從 2023 年 10 月開始，他們將被拒絕身份驗證。

4 月底，微軟還發布了 Netlogon、Kerberos 和 Azure Active Directory (AD) 即將發生的變化的完整時間表，一直到 2024 年。