- ข้อบกพร่องด้านความปลอดภัย Kerberos ทำให้เกิดการตอบสนองทันทีจาก Microsoft
- บริษัทได้เริ่มต้นการปรับใช้เป็นระยะสำหรับ Server DC Hardening
- เรากำลังได้รับการอัพเดทความปลอดภัยครั้งที่สาม แพทช์วันอังคารที่ 11 เมษายน 2022
![การแข็งตัวของกระแสตรง](/f/ac3dea17e0c45120012993293be579d4.jpg)
Microsoft ได้ออกคำเตือนอีกครั้งในวันนี้ เกี่ยวกับการแข็งตัวของตัวควบคุมโดเมน (DC) เนื่องจากข้อบกพร่องด้านความปลอดภัยของ Kerberos
อย่างที่เรามั่นใจว่าคุณจำได้ เมื่อย้อนกลับไปในเดือนพฤศจิกายน ในวันอังคารที่สองของเดือน Microsoft ได้เปิดตัวการอัปเดต Patch Tuesday
หนึ่งสำหรับเซิร์ฟเวอร์ซึ่งก็คือ KB5019081แก้ไขการยกระดับ Windows Kerberos ของช่องโหว่สิทธิ์
ข้อบกพร่องนี้อนุญาตให้ผู้คุกคามแก้ไขลายเซ็น Privilege Attribute Certificate (PAC) ซึ่งติดตามภายใต้ ID CVE-2022-37967.
ในตอนนั้น Microsoft แนะนำให้ปรับใช้การอัปเดตกับอุปกรณ์ Windows ทั้งหมดรวมถึงตัวควบคุมโดเมน
ข้อบกพร่องด้านความปลอดภัย Kerberos ทำให้ Windows Server DC แข็งตัว
เพื่อช่วยในการปรับใช้ ยักษ์ใหญ่ด้านเทคโนโลยีใน Redmond ได้เผยแพร่คำแนะนำโดยแบ่งปันแง่มุมที่สำคัญที่สุดบางประการ
ในวันที่ 8 พฤศจิกายน 2022 Windows จะอัปเดตการเลี่ยงผ่านความปลอดภัยและการยกระดับช่องโหว่ของสิทธิ์ด้วยลายเซ็น Privilege Attribute Certificate (PAC)
อันที่จริงแล้ว การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ของ Kerberos ซึ่งผู้โจมตีสามารถแก้ไขลายเซ็น PAC แบบดิจิทัลได้ และเพิ่มสิทธิ์ของพวกเขา
เพื่อช่วยรักษาความปลอดภัยสภาพแวดล้อมของคุณเพิ่มเติม ให้ติดตั้งการอัปเดต Windows นี้บนอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน Windows
โปรดทราบว่า Microsoft ได้เผยแพร่การปรับปรุงนี้จริง ๆ เป็นระยะ ๆ เช่นเดียวกับที่กล่าวไว้ในตอนแรก
การติดตั้งใช้งานครั้งแรกคือในเดือนพฤศจิกายน ส่วนครั้งที่สองใช้เวลาเพียงหนึ่งเดือนต่อมา ตอนนี้ ก้าวไปข้างหน้าอย่างเร็วจนถึงวันนี้ Microsoft ได้เผยแพร่การแจ้งเตือนนี้เนื่องจากระยะการปรับใช้ที่สามใกล้จะมาถึงแล้ว เนื่องจากจะมีการเผยแพร่ใน Patch Tuesday ของเดือนหน้าในวันที่ 11 เมษายน 2022
![](/f/343e401544d7c5ba986549f4384ebb8d.png)
วันนี้ยักษ์ใหญ่ด้านเทคโนโลยี เตือน เราว่าแต่ละเฟสจะเพิ่มค่าเริ่มต้นขั้นต่ำสำหรับการเปลี่ยนแปลงการเสริมความปลอดภัย CVE-2022-37967 และสภาพแวดล้อมของคุณต้องเป็นไปตามข้อกำหนดก่อนที่จะติดตั้งการอัปเดตสำหรับแต่ละเฟสลงในตัวควบคุมโดเมนของคุณ
หากคุณปิดใช้งานการเพิ่มลายเซ็น PAC โดยการตั้งค่า KrbtgtFullPacSignature คีย์ย่อยเป็นค่า 0 คุณจะไม่สามารถใช้วิธีแก้ปัญหานี้ได้อีกต่อไปหลังจากติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 11 เมษายน 2023
อย่างน้อยทั้งแอปและสภาพแวดล้อมจะต้องเป็นไปตามข้อกำหนด KrbtgtFullPacSignature คีย์ย่อยเป็นค่า 1 เพื่อติดตั้งการอัปเดตเหล่านี้บนตัวควบคุมโดเมนของคุณ
หากคุณไม่ได้ใช้วิธีแก้ปัญหาสำหรับปัญหาที่เกี่ยวข้องกับ CVE-2022-37967 การเสริมความปลอดภัย คุณอาจต้องแก้ไขปัญหาในสภาพแวดล้อมของคุณสำหรับระยะต่อๆ ไป
จากที่กล่าวมา โปรดจำไว้ว่าเราได้แบ่งปันข้อมูลที่มีอยู่เกี่ยวกับ การชุบแข็ง DCOM สำหรับ Windows OS เวอร์ชันต่างๆ รวมถึงเซิร์ฟเวอร์
อย่าลังเลที่จะแบ่งปันข้อมูลใด ๆ ที่คุณมีหรือถามคำถามใด ๆ ที่คุณต้องการถามเราในส่วนความคิดเห็นเฉพาะที่อยู่ด้านล่าง