- Chyba zabezpečenia Kerberos vyvolala okamžitú reakciu spoločnosti Microsoft.
- Spoločnosť inicializovala postupné nasadenie pre Server DC Hardening.
- Dostávame tretiu bezpečnostnú aktualizáciu Opravný utorok 11. apríla 2022.
Spoločnosť Microsoft dnes vydala ďalšiu pripomienku týkajúcu sa posilnenia radiča domény (DC) kvôli bezpečnostnej chybe Kerberos.
Ako si určite pamätáte, v novembri, druhý utorok v mesiaci, spoločnosť Microsoft vydala aktualizáciu Patch Tuesday.
Ten pre servery, ktorý bol KB5019081, riešili zvýšenú zraniteľnosť privilégií systému Windows Kerberos.
Táto chyba v skutočnosti umožnila aktérom hrozby zmeniť podpisy certifikátu privilégií (PAC) sledované pod ID CVE-2022-37967.
Spoločnosť Microsoft vtedy odporúčala nasadiť aktualizáciu na všetky zariadenia so systémom Windows vrátane radičov domény.
Chyba zabezpečenia Kerberos spúšťa spevnenie Windows Server DC
Na pomoc s nasadením publikoval technický gigant so sídlom v Redmonde pokyny, v ktorých zdieľal niektoré z najdôležitejších aspektov.
Aktualizácie systému Windows z 8. novembra 2022 riešia obídenie zabezpečenia a zvýšenie zraniteľnosti privilégií pomocou podpisov certifikátu privilégií (PAC).
V skutočnosti táto aktualizácia zabezpečenia rieši chyby zabezpečenia Kerberos, pri ktorých by útočník mohol digitálne zmeniť podpisy PAC a zvýšiť tak svoje privilégiá.
Ak chcete ďalej zabezpečiť svoje prostredie, nainštalujte túto aktualizáciu systému Windows na všetky zariadenia vrátane radičov domény Windows.
Majte na pamäti, že spoločnosť Microsoft skutočne vydala túto aktualizáciu postupne, presne tak, ako to prvýkrát uviedla.
Prvé nasadenie bolo v novembri, druhé o niečo viac ako mesiac neskôr. Teraz, rýchlo vpred k dnešnému dňu, spoločnosť Microsoft zverejnila túto pripomienku, pretože tretia fáza nasadenia je takmer tu, pretože budú vydané v utorok 11. apríla 2022 na budúci mesiac.
Dnes technologický gigant pripomenul že každá fáza zvyšuje predvolené minimum pre zmeny zabezpečenia CVE-2022-37967 a vaše prostredie musí byť kompatibilné pred inštaláciou aktualizácií pre každú fázu do vášho radiča domény.
Ak zakážete pridávanie podpisov PAC nastavením KrbtgtFullPacSignature podkľúč na hodnotu 0, po nainštalovaní aktualizácií vydaných 11. apríla 2023 už toto riešenie nebudete môcť používať.
Aplikácie aj prostredie budú musieť byť aspoň v súlade KrbtgtFullPacSignature podkľúč na hodnotu 1 na inštaláciu týchto aktualizácií na vaše radiče domény.
Ak nepoužívate žiadne riešenie pre problémy súvisiace s CVE-2022-37967 spevnenie zabezpečenia, možno budete musieť vyriešiť problémy vo vašom prostredí v nasledujúcich fázach.
Vzhľadom na to, prosím, nezabudnite, že sme tiež zdieľali dostupné informácie o Vytvrdzovanie DCOM pre rôzne verzie operačného systému Windows vrátane serverov.
Neváhajte a podeľte sa o akékoľvek informácie, ktoré máte, alebo sa nás opýtajte na akúkoľvek otázku, ktorú nám chcete položiť, vo vyhradenej sekcii komentárov, ktorá sa nachádza nižšie.
