- O defecțiune de securitate Kerberos a declanșat un răspuns imediat din partea Microsoft.
- Compania a inițializat o implementare în etape pentru Server DC Hardening.
- Primim a treia actualizare de securitate Patch marți pe 11 aprilie 2022.
Microsoft a lansat un alt memento astăzi, cu privire la întărirea controlerului de domeniu (DC) din cauza unei erori de securitate Kerberos.
După cum suntem siguri că vă amintiți, în noiembrie, în a doua zi de marți a lunii, Microsoft a lansat actualizarea Patch Tuesday.
Cel pentru servere, care a fost KB5019081, a abordat o vulnerabilitate a privilegiilor Windows Kerberos.
Acest defect a permis actorilor amenințărilor să modifice semnăturile certificatului de atribut de privilegiu (PAC), urmărite sub ID CVE-2022-37967.
Pe atunci, Microsoft recomanda implementarea actualizării pe toate dispozitivele Windows, inclusiv controlerele de domeniu.
Defectul de securitate Kerberos declanșează întărirea Windows Server DC
Pentru a ajuta la implementare, gigantul tehnologic din Redmond a publicat ghiduri, împărtășind unele dintre cele mai importante aspecte.
Actualizările Windows din 8 noiembrie 2022 abordează ocolirea securității și ridicarea vulnerabilităților de privilegii cu semnături Certificat de atribut de privilegiu (PAC).
De fapt, această actualizare de securitate abordează vulnerabilitățile Kerberos în care un atacator ar putea modifica digital semnăturile PAC, ridicându-le privilegiile.
Pentru a vă asigura și mai mult mediul, instalați această actualizare Windows pe toate dispozitivele, inclusiv pe controlerele de domeniu Windows.
Vă rugăm să rețineți că Microsoft a lansat de fapt această actualizare într-o manieră treptată, așa cum a menționat prima dată.
Prima desfășurare a fost în noiembrie, a doua a avut loc cu puțin peste o lună mai târziu. Acum, înainte rapid până astăzi, Microsoft a publicat acest memento, deoarece a treia fază de implementare este aproape aici, deoarece acestea vor fi lansate în Patch-ul de marți de luna viitoare, pe 11 aprilie 2022.
Astăzi, gigantul tehnologiei reamintit noi că fiecare fază ridică minimul implicit pentru modificările de întărire a securității pentru CVE-2022-37967 iar mediul dumneavoastră trebuie să fie compatibil înainte de a instala actualizări pentru fiecare fază pe controlerul dumneavoastră de domeniu.
Dacă dezactivați adăugarea semnăturii PAC prin setarea KrbtgtFullPacSignature subcheie la o valoare de 0, nu veți mai putea folosi această soluție după instalarea actualizărilor lansate pe 11 aprilie 2023.
Atât aplicațiile, cât și mediul vor trebui să fie cel puțin conforme KrbtgtFullPacSignature subcheie la o valoare de 1 pentru a instala aceste actualizări pe controlerele dvs. de domeniu.
Dacă nu utilizați nicio soluție pentru probleme legate de CVE-2022-37967 consolidarea securității, s-ar putea să fie nevoie să abordați problemele din mediul dumneavoastră pentru etapele următoare.
Acestea fiind spuse, vă rugăm să rețineți că am distribuit și informațiile disponibile despre Întărire DCOM pentru diferite versiuni ale sistemului de operare Windows, inclusiv servere.
Simțiți-vă liber să împărtășiți orice informație pe care o aveți sau să puneți orice întrebare pe care doriți să ne-o adresați, în secțiunea dedicată de comentarii aflată mai jos.
