微軟針對 Kerberos 安全漏洞更新第三階段 Windows DC 強化路線圖

微軟針對 Kerberos 安全漏洞更新第三階段 Windows DC 強化路線圖

早在 11 月,即該月的第二個星期二,微軟發布了補丁星期二更新。服務器 ( KB5019081 ) 解決了 Windows Kerberos 特權提升漏洞,該漏洞允許威脅參與者更改特權屬性證書 (PAC) 簽名(在 ID“ CVE-2022-37967 ”下進行跟踪)。Microsoft 建議將更新部署到所有 Windows 設備,包括域控制器。

為了幫助部署,Microsoft 發布了指南。該公司將此事的實質總結如下:

2022 年 11 月 8 日的 Windows 更新通過特權屬性證書 (PAC) 簽名解決安全繞過和特權提升漏洞。此安全更新解決了 Kerberos 漏洞,攻擊者可以在這些漏洞中以數字方式更改 PAC 簽名,從而提高他們的特權。

為幫助保護您的環境,請將此 Windows 更新安裝到所有設備,包括 Windows 域控制器。

上月底,公司發布了關於第三階段部署的提示。雖然它本應在本月的補丁星期二發布,但微軟現在已將其推遲幾個月至 6 月。Windows 健康儀表板消息中心的更新

IT 環境中的域控制器為解決 CVE-2022-37967 所需的安全強化更改將進入第三部署階段,如 2023 年 6 月 13 日 KB5020805 中所述:如何管理與 CVE-2022-37967 相關的 Kerberos 協議更改。之前的公告已將此更改列為發生在四月,但是該日期已更改。

週二的 6 月補丁將對 Kerberos 協議進行以下強化更改:

2023 年 6 月 13 日或之後發布的 Windows 更新將執行以下操作:

  • 通過將KrbtgtFullPacSignature子項設置為值 0,刪除禁用 PAC 簽名添加的功能  。

您可以在此處 ( KB5020805 )找到有關支持文章的更多詳細信息。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *