- Eine Kerberos-Sicherheitslücke löste eine sofortige Reaktion von Microsoft aus.
- Das Unternehmen initiierte eine schrittweise Bereitstellung für Server DC Hardening.
- Wir bekommen das dritte Sicherheitsupdate auf Patchday am 11. April 2022.
Microsoft hat heute eine weitere Erinnerung bezüglich der Härtung von Domänencontrollern (DC) aufgrund einer Kerberos-Sicherheitslücke herausgegeben.
Wie Sie sich sicher erinnern, veröffentlichte Microsoft im November, am zweiten Dienstag des Monats, sein Patch Tuesday-Update.
Der für Server, der war KB5019081, behebt eine Windows-Kerberos-Sicherheitsanfälligkeit bezüglich Rechteerweiterungen.
Dieser Fehler ermöglichte es Angreifern tatsächlich, Signaturen von Privilege Attribute Certificate (PAC) zu ändern, die unter der ID verfolgt wurden CVE-2022-37967.
Damals empfahl Microsoft, das Update auf allen Windows-Geräten einschließlich Domänencontrollern bereitzustellen.
Kerberos-Sicherheitslücke löst Windows Server DC Hardening aus
Um bei der Bereitstellung zu helfen, veröffentlichte der in Redmond ansässige Technologieriese Leitlinien, die einige der wichtigsten Aspekte teilen.
Die Windows-Updates vom 8. November 2022 befassen sich mit Sicherheitsumgehungen und Sicherheitslücken mit Privilege Attribute Certificate (PAC)-Signaturen.
Tatsächlich behebt dieses Sicherheitsupdate Kerberos-Schwachstellen, bei denen ein Angreifer PAC-Signaturen digital ändern und so seine Berechtigungen erhöhen könnte.
Um Ihre Umgebung weiter zu schützen, installieren Sie dieses Windows-Update auf allen Geräten, einschließlich Windows-Domänencontrollern.
Bitte beachten Sie, dass Microsoft dieses Update tatsächlich schrittweise veröffentlicht hat, so wie es zuerst erwähnt wurde.
Der erste Einsatz war im November, der zweite etwas mehr als einen Monat später. Nun, schnell vorspulen bis heute, Microsoft hat diese Erinnerung veröffentlicht, da die dritte Bereitstellungsphase fast da ist, da sie am Patchday des nächsten Monats, am 11. April 2022, veröffentlicht wird.
Heute der Tech-Gigant erinnert uns, dass jede Phase das Standardminimum für die Änderungen der Sicherheitshärtung erhöht CVE-2022-37967 und Ihre Umgebung muss konform sein, bevor Sie Updates für jede Phase auf Ihrem Domänencontroller installieren.
Wenn Sie das Hinzufügen von PAC-Signaturen deaktivieren, indem Sie die KrbtgtFullPacSignature Unterschlüssel auf den Wert 0 setzen, können Sie diese Problemumgehung nach der Installation der am 11. April 2023 veröffentlichten Updates nicht mehr verwenden.
Sowohl die Apps als auch die Umgebung müssen mindestens konform sein KrbtgtFullPacSignature Unterschlüssel auf den Wert 1, um diese Updates auf Ihren Domänencontrollern zu installieren.
Wenn Sie keine Problemumgehung für Probleme im Zusammenhang mit verwenden CVE-2022-37967 Sicherheitshärtung müssen Sie in den kommenden Phasen möglicherweise noch Probleme in Ihrer Umgebung beheben.
Denken Sie jedoch bitte daran, dass wir auch verfügbare Informationen über die geteilt haben DCOM-Härtung für verschiedene Windows-Betriebssystemversionen, einschließlich Server.
Fühlen Sie sich frei, alle Informationen, die Sie haben, zu teilen oder Fragen zu stellen, die Sie uns stellen möchten, in dem speziellen Kommentarbereich unten.
