- Varnostna napaka Kerberos je sprožila takojšen odziv Microsofta.
- Podjetje je začelo postopno uvajanje za Server DC Hardening.
- Dobivamo tretjo varnostno posodobitev Popravek v torek, 11. aprila 2022.
Microsoft je danes izdal še en opomnik glede utrjevanja krmilnika domene (DC) zaradi varnostne napake Kerberos.
Kot smo prepričani, da se spomnite, je Microsoft v novembru, drugi torek v mesecu, izdal posodobitev Patch Tuesday.
Tisti za strežnike, ki je bil KB5019081, je obravnaval ranljivost Windows Kerberos zaradi povečanja privilegijev.
Ta napaka je dejansko omogočila akterjem groženj, da spremenijo podpise potrdila o atributih pravic (PAC), ki se spremljajo pod ID-jem CVE-2022-37967.
Takrat je Microsoft priporočil uvedbo posodobitve v vse naprave Windows, vključno s krmilniki domene.
Varnostna napaka Kerberos sproži utrjevanje Windows Server DC
Za pomoč pri uvajanju je tehnološki velikan s sedežem v Redmondu objavil smernice, ki delijo nekatere najpomembnejše vidike.
Posodobitve sistema Windows z dne 8. novembra 2022 obravnavajo ranljivosti varnostnega obvoda in dviga privilegijev s podpisi potrdila o atributih privilegijev (PAC).
Pravzaprav ta varnostna posodobitev odpravlja ranljivosti Kerberos, kjer bi lahko napadalec digitalno spremenil podpise PAC in tako povečal svoje privilegije.
Če želite dodatno zaščititi svoje okolje, namestite to posodobitev sistema Windows v vse naprave, vključno s krmilniki domene Windows.
Upoštevajte, da je Microsoft dejansko izdal to posodobitev postopno, tako kot je prvič omenil, da bo.
Prva uvedba je bila novembra, druga pa dober mesec kasneje. Če preskočimo naprej na danes, je Microsoft objavil ta opomnik, saj je tretja faza uvajanja skoraj tu, saj bodo izdani v torek s popravki naslednji mesec, 11. aprila 2022.
Danes tehnološki velikan opomniti nas, da vsaka faza dvigne privzeti minimum za spremembe ojačevanja varnosti CVE-2022-37967 in vaše okolje mora biti skladno pred namestitvijo posodobitev za vsako fazo na vaš krmilnik domene.
Če onemogočate dodajanje podpisa PAC z nastavitvijo KrbtgtFullPacSignature podključ na vrednost 0, po namestitvi posodobitev, izdanih 11. aprila 2023, ne boste mogli več uporabljati te rešitve.
Tako aplikacije kot okolje bodo morale biti vsaj skladne z KrbtgtFullPacSignature podključ na vrednost 1, da namestite te posodobitve na vaše krmilnike domene.
Če ne uporabljate nobene rešitve za težave, povezane z CVE-2022-37967 krepitev varnosti, boste morda še vedno morali obravnavati težave v svojem okolju v prihodnjih fazah.
Ob tem ne pozabite, da smo delili tudi razpoložljive informacije o Utrjevanje DCOM za različne različice OS Windows, vključno s strežniki.
Delite vse informacije, ki jih imate, ali postavite kakršno koli vprašanje, ki nam ga želite zastaviti, v namenskem razdelku za komentarje spodaj.
