m365jp.net

SHD / MC Checker

MC586070 | Reminder: Security hardening changes for Netlogon and Kerberos coming in June and July 2023

MC586070 | Reminder: Security hardening changes for Netlogon and Kerberos coming in June and July 2023
Classification planForChange
Last Updated 06/13/2023 16:56:40
Start Time 06/13/2023 16:56:31
End Time 06/13/2024 16:56:31
Message Content
The November 8, 2022 and later Windows updates are crucial in addressing two important security vulnerabilities, both impacting Windows Server domain controllers (DC):
  • Weaknesses in the Netlogon protocol when RPC signing is used instead of RPC sealing. Find more information in CVE-2022-38023.
  • Kerberos security bypass and elevation of privilege vulnerabilities involving alteration of Privilege Attribute Certificate (PAC) signatures. Find more information in CVE-2022-37967.
All domain-joined, machine accounts are affected by these vulnerabilities. Review the below KB entries to understand the options available for configuring these changing security requirements in your environment, as well as monitor for warnings and issues.
When will this happen:
As previously announced, the following changes are coming into effect with Windows updates released on and after June 13, 2023:
Netlogon protocol changes:
  • June 13, 2023: enforcement for Netlogon protocol using RPC sealing will be enabled on all domain controllers. Vulnerable connections from non-compliant devices will be blocked. It is still possible to remove this enforcement until July 2023.
  • July 11, 2023: full enforcement of RPC sealing will begin and cannot be removed.
 
Kerberos protocol changes:
  • June 13: 2023: the ability to disable PAC signature addition will no longer be available. Domain controllers with the November 2022 security update or later will have signatures added to the Kerberos PAC Buffer.
  • July 11, 2023: verification of signature will begin and cannot be prevented. Connections for missing or invalid signatures will continue to be allowed with an “Audit mode” setting. However, they will be denied authentication beginning October 2023.
How this will affect your organization:
The security features in the November 8, 2022 update have originally been released with limited enforcement, providing the ability to manually enable and disable security hardening requirements. This allows administrators time to make any necessary changes in their environments, until eventually all requirements can be met and full enforcement can be enabled. In the months since the November release, requirements have gradually increased. In some cases, they removed the ability to manually disable security hardening. Administrators are encouraged to take action and adopt the hardening changes as necessary.
What you need to do to prepare:
Update your Windows domain controllers with a Windows update released on or after November 8, 2022. It’s critical to review the KB entries in the Additional information section, below, to understand the options available for configuring these changing security requirements in your environment, as well as monitor for warnings and issues.
Additional information:
Machine Translation
2022 年 11 月 8 日以降の Windows 更新プログラムは、Windows Server ドメイン コントローラー (DC) に影響を与える 2 つの重要なセキュリティの脆弱性に対処する上で重要です。
  • RPC シーリングの代わりに RPC 署名を使用する場合の Netlogon プロトコルの脆弱性。詳細については、CVE-2022-38023 を参照してください。
  • Kerberos セキュリティ バイパスおよび特権属性証明書 (PAC) 署名の変更に関連する特権の昇格の脆弱性。詳細については、CVE-2022-37967 を参照してください。
ドメインに参加しているすべてのコンピューター アカウントがこれらの脆弱性の影響を受けます。以下の KB エントリを確認して、環境内でこれらの変化するセキュリティ要件を構成するために使用できるオプションを理解し、警告と問題を監視します。
これはいつ起こりますか:
以前に発表されたように、次の変更は、2023 年 6 月 13 日以降にリリースされた Windows 更新プログラムで有効になります。
ネットログオンプロトコルの変更:
  • 2023 年 6 月 13 日: RPC 封印を使用した Netlogon プロトコルの適用が、すべてのドメイン コントローラーで有効になります。非準拠デバイスからの脆弱な接続はブロックされます。この適用は 2023 年 7 月まで削除できます。
  • 2023 年 7 月 11 日: RPC シーリングの完全な適用が開始され、削除することはできません。
 
Kerberos プロトコルの変更:
  • 6 月 13 日: 2023: PAC 署名の追加を無効にする機能は利用できなくなります。2022 年 11 月以降のセキュリティ更新プログラムが適用されたドメイン コントローラーでは、Kerberos PAC バッファーに署名が追加されます。
  • 2023年7月11日:署名の検証が開始され、防止することはできません。欠落または無効な署名の接続は、「監査モード」設定で引き続き許可されます。ただし、2023 年 10 月以降は認証が拒否されます。
これが組織に与える影響:
2022 年 11 月 8 日の更新プログラムのセキュリティ機能は、もともと制限された適用でリリースされており、セキュリティ強化要件を手動で有効または無効にする機能を提供します。これにより、管理者は、最終的にすべての要件が満たされ、完全な適用が有効になるまで、環境に必要な変更を加えることができます。11 月のリリースから数か月で、要件は徐々に増加しています。場合によっては、セキュリティ強化を手動で無効にする機能が削除されました。管理者は、アクションを実行し、必要に応じて強化の変更を採用することをお勧めします。
準備するために必要なこと:
2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムで Windows ドメイン コントローラーを更新します。以下の「追加情報」セクションの KB エントリを確認して、環境内でこれらの変化するセキュリティ要件を構成するために使用できるオプションを理解し、警告と問題を監視することが重要です。
追加情報:
Post Views: 92

m365jp.net