Η Microsoft υπενθυμίζει την πλήρη επιβολή του Windows DC Kerberos Netlogon που έρχεται
Η
Microsoft
δημοσίευσε
σήμερα
μια υπενθύμιση σχετικά με την επερχόμενη φάση πλήρους εφαρμογής της σκλήρυνσης των
Windows
Netlogon και Kerberos τον επόμενο μήνα. Οι αλλαγές θα αναπτυχθούν μέσω της ενημέρωσης κώδικα Τρίτης Οκτωβρίου
2023
, η οποία θα κυκλοφορήσει στις 10 Οκτωβρίου. Το πλήρες χρονοδιάγραμμα είναι διαθέσιμο σε αυτό το ειδικό άρθρο.
Η φάση ανάπτυξης ολοκληρώθηκε τον Ιούνιο και ένα μήνα αργότερα, τον Ιούλιο, μέσω του μηνιαίου
Patch
Tuesday, κυκλοφόρησε η αρχική Φάση Επιβολής:
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023 θα κάνουν τα εξής:
- Καταργεί τη δυνατότητα ορισμού τιμής 1 για το δευτερεύον κλειδί KrbtgtFullPacSignature.
- Μετακινεί την ενημέρωση σε λειτουργία επιβολής (Προεπιλογή) (KrbtgtFullPacSignature = 3), η οποία μπορεί να παρακαμφθεί από έναν Διαχειριστή με μια ρητή ρύθμιση ελέγχου.
Σε περίπτωση που δεν γνωρίζετε, αυτή η σκλήρυνση προορίζεται να αντιμετωπίσει μια παράκαμψη ασφαλείας και την ανύψωση ευπαθειών προνομίων με υπογραφές Πιστοποιητικού Χαρακτηριστικού Προνομίου (PAC) στα πρωτόκολλα Netlogon και Kerberos (που παρακολουθείται με το αναγνωριστικό “CVE-2022-37967”).
Στον ιστότοπο του πίνακα ελέγχου υγείας, ο τεχνολογικός γίγαντας
γράφει
:
Υπενθύμιση: Αλλαγές σκλήρυνσης ασφαλείας για το Netlogon και το Kerberos σε ισχύ από τις 10 Οκτωβρίου 2023
Οι ενημερώσεις των Windows κυκλοφορούν στις 8 Νοεμβρίου 2022 και αργότερα περιλαμβάνουν αλλαγές που αντιμετωπίζουν ευπάθειες ασφαλείας που επηρεάζουν τους ελεγκτές τομέα του Windows Server (DC). Μεταξύ των τρωτών σημείων που αντιμετωπίζονται είναι μια παράκαμψη ασφαλείας Kerberos και το σενάριο ανύψωσης προνομίων που περιλαμβάνει αλλαγή των υπογραφών του Πιστοποιητικού Χαρακτηριστικού Προνομίου (PAC). Οι αλλαγές για την αντιμετώπιση αυτού του ζητήματος έχουν κυκλοφορήσει μετά από μια σειρά φάσεων κατά τη διάρκεια του 2023 και φτάνουν στο τελικό στάδιο επιβολής τον Οκτώβριο.
Οι διαχειριστές θα πρέπει να τηρούν τις αλλαγές που επηρεάζουν τις απαιτήσεις του πρωτοκόλλου Kerberos και τίθενται σε ισχύ με τις ενημερώσεις των Windows που κυκλοφορούν στις 10 Οκτωβρίου 2023 και μετά.
10 Οκτωβρίου 2023
– Πλήρης φάση επιβολήςΟι ενημερώσεις των Windows που κυκλοφορούν την ημερομηνία και μετά από αυτήν την ημερομηνία θα έχουν το ακόλουθο αποτέλεσμα:
- Καταργήστε τη δυνατότητα απενεργοποίησης της προσθήκης υπογραφής PAC (που προηγουμένως γινόταν μέσω του δευτερεύοντος κλειδιού μητρώου KrbtgtFullPacSignature)
- Καταργήστε την υποστήριξη για τη λειτουργία ελέγχου (αυτό επέτρεψε τον έλεγχο ταυτότητας αν οι υπογραφές PAC έλειπαν ή δεν ήταν έγκυρες και δημιούργησε αρχεία καταγραφής ελέγχου για έλεγχο).
- Αρνηθείτε τον έλεγχο ταυτότητας σε εισερχόμενα εισιτήρια υπηρεσίας χωρίς τις νέες υπογραφές PAC.
Η φάση που περιγράφεται παραπάνω είναι η τελική φάση αυτών των μέτρων σκλήρυνσης ασφαλείας.
Όλοι οι λογαριασμοί μηχανημάτων που είναι συνδεδεμένοι στον τομέα επηρεάζονται από αυτά τα τρωτά σημεία.
Μπορείτε να βρείτε περισσότερες λεπτομέρειες σχετικά με το θέμα σε αυτή τη σελίδα (
KB5020805
) στον επίσημο ιστότοπο της Microsoft.
