- ליקוי אבטחה של Kerberos גרם לתגובה מיידית של מיקרוסופט.
- החברה אתחלה פריסה מדורגת עבור Server DC Hardening.
- אנחנו מקבלים את עדכון האבטחה השלישי תיקון יום שלישי ב-11 באפריל, 2022.
מיקרוסופט פרסמה היום תזכורת נוספת בנוגע להקשחת בקר תחום (DC) עקב ליקוי אבטחה של Kerberos.
כפי שאנו בטוחים שאתה זוכר, בנובמבר, ביום שלישי השני של החודש, מיקרוסופט פרסמה את עדכון ה- Patch Tuesday שלה.
זה לשרתים, שהיה KB5019081, טיפל בפגיעות של העלאת הרשאות של Windows Kerberos.
פגם זה איפשר למעשה לשחקני איום לשנות חתימות של תעודת תכונה פריווילגית (PAC), במעקב אחר זיהוי CVE-2022-37967.
אז, מיקרוסופט המליצה לפרוס את העדכון לכל מכשירי Windows כולל בקרי תחום.
ליקוי האבטחה של Kerberos גורם להתקשות של Windows Server DC
כדי לעזור בפריסה, ענקית הטכנולוגיה מרדמונד פרסמה הנחיות, וחלקה כמה מההיבטים החשובים ביותר.
עדכוני Windows מ-8 בנובמבר 2022 מטפלים בעקיפות אבטחה והעלאת נקודות תורפה עם חתימות של אישור תכונת הרשאות (PAC).
למעשה, עדכון אבטחה זה מטפל בפגיעויות Kerberos שבהן תוקף יכול לשנות דיגיטלית חתימות PAC, ולהעלות את ההרשאות שלו.
על מנת לסייע עוד יותר באבטחת הסביבה שלך, התקן את עדכון Windows זה בכל המכשירים, כולל בקרי תחום של Windows.
אנא זכור שמיקרוסופט למעשה פרסמה את העדכון הזה בצורה מדורגת, בדיוק כפי שהיא ציינה לראשונה.
הפריסה הראשונה הייתה בנובמבר, השנייה הייתה קצת יותר מחודש לאחר מכן. כעת, מהר קדימה להיום, מיקרוסופט פרסמה את התזכורת הזו מכיוון ששלב הפריסה השלישי כמעט כאן מכיוון שהם ישוחררו בתיקון יום שלישי של החודש הבא ב-11 באפריל, 2022.
היום, ענקית הטכנולוגיה הזכיר לנו שכל שלב מעלה את המינימום המוגדר כברירת מחדל עבור שינויים בהקשחת האבטחה CVE-2022-37967 והסביבה שלך חייבת להיות תואמת לפני התקנת עדכונים עבור כל שלב בבקר הדומיין שלך.
אם אתה משבית את הוספת חתימת PAC על ידי הגדרת ה KrbtgtFullPacSignature מפתח משנה לערך 0, לא תוכל עוד להשתמש בפתרון זה לאחר התקנת עדכונים שפורסמו ב-11 באפריל, 2023.
הן האפליקציות והן הסביבה יצטרכו לפחות להיות תואמים KrbtgtFullPacSignature מפתח משנה לערך של 1 כדי להתקין עדכונים אלה בבקרי הדומיין שלך.
אם אינך משתמש בכל דרך לעקיפת הבעיה עבור בעיות הקשורות CVE-2022-37967 הקשחת אבטחה, ייתכן שעדיין תצטרך לטפל בבעיות בסביבה שלך בשלבים הבאים.
עם זאת, אנא זכרו ששיתפנו גם מידע זמין על התקשות DCOM עבור גרסאות שונות של מערכת ההפעלה Windows, כולל שרתים.
אל תהסס לשתף כל מידע שיש לך, או לשאול כל שאלה שתרצה לשאול אותנו, בקטע ההערות הייעודי הממוקם למטה.
