Microsoft развертывает третью фазу усиления защиты DC от уязвимостей безопасности Kerberos и Netlogon

Релизы Windows от 8 ноября 2022 года и позже содержат обновления безопасности, исправляющие уязвимости, влияющие на контроллеры домена (DC) Windows Server. Эти средства защиты следуют календарю ужесточающих изменений и выпускаются поэтапно. и вводятся поэтапно. Как было объявлено ранее, администраторам следует обратить внимание на следующие изменения, которые вступают в силу после обновлений Windows, выпущенных 13 июня 2023 года и позже:

Изменения протокола Netlogon:

• 13 июня 2023 года: принудительное применение протокола Netlogon с использованием RPC-запечатывания будет включено на всех контроллерах домена, а уязвимые соединения с несовместимых устройств будут заблокированы. До июля 2023 года это принудительное действие еще можно удалить;
• 11 июля 2023 года: начнется полное принудительное применение RPC-запечатывания, которое нельзя будет удалить;

Изменения протокола Kerberos:

• 13 июня 2023 года: возможность отключения добавления подписи PAC больше не будет доступна, а контроллеры домена с обновлением безопасности за ноябрь 2022 года или позже будут иметь подписи, добавленные в буфер PAC Kerberos;
• 11 июля 2023 года: верификация начнется, и ее невозможно предотвратить. Соединения для отсутствующих или недействительных подписей будут по-прежнему разрешены (настройка «Режим аудита»), однако с октября 2023 года им будет отказано в верификации;

Чтобы ознакомиться с рекомендациями по защите вашей среды и предотвращению сбоев, см. статьи: KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023 и KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.

Узнать другие подробности можно здесь.