- Уязвимость в системе безопасности Kerberos вызвала немедленную реакцию Microsoft.
- Компания инициировала поэтапное развертывание защиты серверного контроллера домена.
- Мы получаем третье обновление безопасности Обновление во вторник, 11 апреля 2022 г.
Сегодня Microsoft выпустила еще одно напоминание об усилении защиты контроллера домена (DC) из-за уязвимости в безопасности Kerberos.
Как мы уверены, вы помните, еще в ноябре, во второй вторник месяца, Microsoft выпустила обновление Patch Tuesday.
Тот для серверов, который был КБ5019081, устранена уязвимость Windows, связанная с повышением привилегий Kerberos.
Эта уязвимость фактически позволяла злоумышленникам изменять подписи Privilege Attribute Certificate (PAC), отслеживаемые по идентификатору. CVE-2022-37967.
Тогда Microsoft рекомендовала установить обновление на все устройства Windows, включая контроллеры домена.
Уязвимость безопасности Kerberos вызывает усиление защиты Windows Server DC
Чтобы помочь с развертыванием, технический гигант из Редмонда опубликовал руководство, в котором рассказал о некоторых наиболее важных аспектах.
Обновления Windows от 8 ноября 2022 г. устраняют уязвимости обхода системы безопасности и повышения привилегий с помощью подписей Privilege Attribute Certificate (PAC).
Фактически, это обновление для системы безопасности устраняет уязвимости Kerberos, когда злоумышленник может изменить подписи PAC в цифровом виде, повысив свои привилегии.
Чтобы дополнительно защитить свою среду, установите это обновление Windows на все устройства, включая контроллеры домена Windows.
Пожалуйста, имейте в виду, что Microsoft на самом деле выпускала это обновление поэтапно, как и упоминалось изначально.
Первое развертывание было в ноябре, второе чуть более чем через месяц. Теперь, перенесемся в сегодняшний день, Microsoft опубликовала это напоминание, поскольку третий этап развертывания почти наступил, поскольку они будут выпущены во вторник исправлений в следующем месяце 11 апреля 2022 года.
Сегодня технологический гигант напомнил Нам известно, что на каждой фазе повышается минимальный уровень по умолчанию для изменений в усилении безопасности для CVE-2022-37967 и ваша среда должна соответствовать требованиям, прежде чем устанавливать обновления для каждой фазы на контроллере домена.
Если вы отключаете добавление подписи PAC, установив KrbtgtFullPacSignature subkey со значением 0, вы больше не сможете использовать этот обходной путь после установки обновлений, выпущенных 11 апреля 2023 г.
И приложения, и среда должны быть, по крайней мере, совместимы с KrbtgtFullPacSignature подраздел со значением 1, чтобы установить эти обновления на ваших контроллерах домена.
Если вы не используете какое-либо обходное решение для проблем, связанных с CVE-2022-37967 Усиление безопасности, вам может потребоваться решить проблемы в вашей среде на следующих этапах.
При этом помните, что мы также поделились доступной информацией о Защита DCOM для различных версий ОС Windows, в том числе серверных.
Не стесняйтесь делиться любой имеющейся у вас информацией или задавать любые вопросы, которые вы хотите нам задать, в специальном разделе комментариев, расположенном ниже.
