Напоминание: Изменения по усилению безопасности для Netlogon и Kerberos вступают в силу 10 октября 2023 года

Обновления Windows, выпущенные 8 ноября 2022 года и позже, включают изменения, исправляющие уязвимости безопасности, затрагивающие контроллеры домена (DC) Windows Server. Среди исправленных уязвимостей — сценарий обхода безопасности Kerberos и повышения привилегий, включающий изменение подписей Privilege Attribute Certificate (PAC). Изменения, направленные на исправление этой проблемы, были выпущены в несколько этапов в течение 2023 года и вступят в завершающую стадию внедрения в октябре.

Администраторам следует следить за изменениями, которые влияют на требования протокола Kerberos и вступают в силу с обновлениями Windows, выпущенными 10 октября 2023 года и после этой даты.

10 октября 2023 года - Этап полного внедрения

Обновления Windows, выпущенные до и после этой даты, будут иметь следующий эффект:

• Удаление возможности отключения добавления подписи PAC (ранее это делалось через подраздел реестра KrbtgtFullPacSignature);
• Удаление поддержки режима Audit (это включало аутентификацию независимо от того, отсутствовали ли подписи PAC или были недействительными, и создавало журналы аудита для просмотра);
• Запрет аутентификаци для входящих билетов службы без новых подписей PAC;

Описанный выше этап является заключительным этапом этих мер по усилению безопасности.

Этим уязвимостям подвержены все учетные записи компьютеров, присоединенных к домену. Чтобы понять, какие варианты настройки этих требований безопасности доступны в вашей среде, см. статью KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.