Η Microsoft παρουσιάζει τη σκλήρυνση DC τρίτης φάσης για το ελάττωμα ασφαλείας Kerberos και Netlogon
Χθες ήταν η δεύτερη Τρίτη του μήνα και όπως ήταν αναμενόμενο, η
Microsoft
κυκλοφόρησε ενημερώσεις
Patch
Tuesday στα
Windows
10 (KB5027215, μεταξύ άλλων) και στα
Windows 11
(KB5027231). Οι διακομιστές έλαβαν επίσης ενημερώσεις του Patch Tuesday και η Microsoft παρουσίασε την τρίτη φάση της συνεχιζόμενης σκλήρυνσης του ελεγκτή τομέα (DC). Η Microsoft υπενθύμισε στους χρήστες και τους διαχειριστές αυτήν την επερχόμενη αλλαγή τον Μάρτιο.
Η σκλήρυνση προορίζεται να αντιμετωπίσει μια παράκαμψη ασφαλείας και την ανύψωση ευπαθειών προνομίων με υπογραφές του πιστοποιητικού χαρακτηριστικού προνομίου (PAC) στα πρωτόκολλα Netlogon και Kerberos. Στον ιστότοπο του πίνακα ελέγχου υγείας των Windows, η εταιρεία ανακοίνωσε την κυκλοφορία. Το
γράφει
:
Οι εκδόσεις των Windows στις 8 Νοεμβρίου 2022 και μεταγενέστερες εκδόσεις περιλαμβάνουν ενημερώσεις ασφαλείας που αντιμετωπίζουν ευπάθειες ασφαλείας που επηρεάζουν τους ελεγκτές τομέα του Windows Server (DC). Αυτές οι προστασίες ακολουθούν ένα ημερολόγιο αλλαγών σκλήρυνσης και απελευθερώνονται σε φάσεις. Όπως ανακοινώθηκε προηγουμένως, οι διαχειριστές θα πρέπει να τηρούν τις ακόλουθες αλλαγές που τίθενται σε ισχύ μετά τις ενημερώσεις των Windows που κυκλοφορούν στις 13 Ιουνίου 2023 και μετά:
Αλλαγές πρωτοκόλλου Netlogon
:
13 Ιουνίου 2023
: η επιβολή για το πρωτόκολλο Netlogon με χρήση σφράγισης RPC θα ενεργοποιηθεί σε όλους τους ελεγκτές τομέα και οι ευάλωτες συνδέσεις από μη συμμορφούμενες συσκευές θα αποκλειστούν. Είναι ακόμα δυνατή η κατάργηση αυτής της επιβολής, έως τον Ιούλιο του 2023.
11 Ιουλίου 2023
: Η πλήρης επιβολή της σφράγισης RPC θα ξεκινήσει και δεν μπορεί να αφαιρεθεί.
Αλλαγές πρωτοκόλλου Kerberos
:
13 Ιουνίου 2023
: η δυνατότητα απενεργοποίησης της προσθήκης υπογραφής PAC δεν θα είναι πλέον διαθέσιμη και οι ελεγκτές τομέα με την ενημέρωση ασφαλείας του Νοεμβρίου 2022 ή μεταγενέστερη θα έχουν υπογραφές που προστίθενται στο Kerberos PAC Buffer.
11 Ιουλίου 2023
: η επαλήθευση της υπογραφής θα ξεκινήσει και δεν μπορεί να αποτραπεί. Οι συνδέσεις για υπογραφές που λείπουν ή δεν είναι έγκυρες θα συνεχίσουν να επιτρέπονται (ρύθμιση “Λειτουργία ελέγχου”), ωστόσο, από τον Οκτώβριο του 2023 θα απαγορεύεται ο έλεγχος ταυτότητας.
Προς τα τέλη Απριλίου, η Microsoft δημοσίευσε επίσης ένα πλήρες χρονοδιάγραμμα των επερχόμενων αλλαγών για το Netlogon, το Kerberos και το Azure Active Directory (AD) μέχρι το 2024.
