微軟針對 Kerberos 和 Netlogon 安全漏洞推出第三階段 DC 加固

微軟針對 Kerberos 和 Netlogon 安全漏洞推出第三階段 DC 加固

昨天是本月的第二個星期二,正如預期的那樣,Microsoft 發布了 Windows 10(KB5027215 等)和 Windows 11(KB5027231)的補丁星期二更新。服務器還收到了補丁星期二更新,微軟推出了正在進行的域控制器 (DC) 強化的第三階段。早在 3 月份, Microsoft 就提醒用戶和管理員即將進行的更改。

強化旨在通過 Netlogon 和 Kerberos 協議中的特權屬性證書 (PAC) 簽名解決安全繞過和特權提升漏洞。在其 Windows 健康儀表板網站上,該公司宣布推出。它寫道

2022 年 11 月 8 日及之後的 Windows 版本包括解決影響 Windows Server 域控制器 (DC) 的安全漏洞的安全更新。這些保護遵循強化更改日曆並分階段發布。如前所述,管理員應注意以下更改,這些更改將在 2023 年 6 月 13 日及之後發布的 Windows 更新後生效:

Netlogon 協議更改

  • 2023 年 6 月 13 日:將在所有域控制器上啟用使用 RPC 密封的 Netlogon 協議強制執行,並將阻止來自不合規設備的易受攻擊的連接。在 2023 年 7 月之前,仍有可能取消此強制執行。
  • 2023 年 7 月 11 日:將開始全面執行 RPC 密封,並且無法取消。

Kerberos 協議更改

  • 6 月 13 日:2023 年:禁用 PAC 簽名添加的功能將不再可用,具有 2022 年 11 月安全更新或更高版本的域控制器將向 Kerberos PAC 緩衝區添加簽名。
  • 2023 年 7 月 11 日:簽名驗證將開始並且無法阻止。丟失或無效簽名的連接將繼續被允許(“審核模式”設置),但是,從 2023 年 10 月開始,他們將被拒絕身份驗證。

4 月底,微軟還發布了 Netlogon、Kerberos 和 Azure Active Directory (AD) 即將發生的變化的完整時間表,一直到 2024 年

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *