- En Kerberos-sikkerhedsfejl udløste et øjeblikkeligt svar fra Microsoft.
- Virksomheden initialiserede en trinvis implementering af Server DC Hardening.
- Vi får den tredje sikkerhedsopdatering på Patch tirsdag den 11. april 2022.
Microsoft har i dag udsendt endnu en påmindelse om hærdning af domænecontroller (DC) på grund af en Kerberos-sikkerhedsfejl.
Som vi er sikre på, du husker, udgav Microsoft tilbage i november, den anden tirsdag i måneden, sin Patch Tuesday-opdatering.
Den til servere, som var KB5019081, rettet en Windows Kerberos-udvidelse af rettigheder sårbarhed.
Denne fejl tillod faktisk trusselsaktører at ændre Privilege Attribute Certificate (PAC) signaturer, sporet under ID CVE-2022-37967.
Dengang anbefalede Microsoft at implementere opdateringen til alle Windows-enheder inklusive domænecontrollere.
Kerberos-sikkerhedsfejl udløser Windows Server DC-hærdning
For at hjælpe med implementeringen udgav den Redmond-baserede teknologigigant en vejledning, der delte nogle af de vigtigste aspekter.
Windows-opdateringerne den 8. november 2022 adresserer sikkerhedsomgåelse og udvidelse af privilegier med Privilege Attribute Certificate (PAC)-signaturer.
Faktisk adresserer denne sikkerhedsopdatering Kerberos-sårbarheder, hvor en hacker digitalt kunne ændre PAC-signaturer, hvilket øger deres privilegier.
For yderligere at hjælpe med at sikre dit miljø, skal du installere denne Windows-opdatering på alle enheder, inklusive Windows-domænecontrollere.
Vær opmærksom på, at Microsoft faktisk udgav denne opdatering på en trinvis måde, ligesom det først nævnte det ville.
Den første indsættelse var i november, den anden var lidt over en måned senere. Nu, hurtig frem til i dag, har Microsoft offentliggjort denne påmindelse, da den tredje implementeringsfase næsten er her, da de vil blive frigivet i næste måneds Patch Tuesday den 11. april 2022.
I dag er teknologigiganten mindet om os, at hver fase hæver standardminimum for sikkerhedshærdningerne for CVE-2022-37967 og dit miljø skal være kompatibelt, før du installerer opdateringer for hver fase på din domænecontroller.
Hvis du deaktiverer PAC-signaturtilsætning ved at indstille KrbtgtFullPacSignatur undernøgle til en værdi på 0, vil du ikke længere være i stand til at bruge denne løsning efter installation af opdateringer udgivet den 11. april 2023.
Både apps og miljø skal i det mindste være kompatible med KrbtgtFullPacSignatur undernøgle til en værdi på 1 for at installere disse opdateringer på dine domænecontrollere.
Hvis du ikke bruger nogen løsning til problemer relateret til CVE-2022-37967 sikkerhedshærdning, skal du muligvis stadig løse problemer i dit miljø i de kommende faser.
Når det er sagt, så husk, at vi også delte tilgængelig information om DCOM hærdning til forskellige Windows OS-versioner, inklusive servere.
Du er velkommen til at dele enhver information, du har, eller stille ethvert spørgsmål, du vil stille os, i den dedikerede kommentarsektion, der er placeret nedenfor.
![Sådan deaktiveres låseskærm på Windows Server [UDKLARET]](/f/30ad871d5ac8911403bc0f27700fa1b5.jpg?width=300&height=460)
