m365jp.net

SHD / MC Checker

MC637453 | Reminder: Security hardening changes for Netlogon and Kerberos effective July 11, 2023

MC637453 | Reminder: Security hardening changes for Netlogon and Kerberos effective July 11, 2023
Classification stayInformed
Last Updated 07/11/2023 16:56:37
Start Time 07/11/2023 16:56:32
End Time 07/11/2024 16:56:32
Message Content
The November 8, 2022 and later Windows updates are crucial in addressing two important security vulnerabilities, both impacting Windows Server domain controllers (DC):
  • Weaknesses in the Netlogon protocol when RPC signing is used instead of RPC sealing. Find more information in CVE-2022-38023.
  • Kerberos security bypass and elevation of privilege vulnerabilities involving alteration of Privilege Attribute Certificate (PAC) signatures. Find more information in CVE-2022-37967.
All domain-joined, machine accounts are affected by these vulnerabilities. Review the below KB entries to understand the options available for configuring these changing security requirements in your environment, as well as monitor for warnings and issues.
When will this happen:
As previously announced, the following changes are coming into effect with Windows updates released on and after July 11, 2023:
Netlogon protocol changes:
  • July 11, 2023: enforcement for Netlogon protocol using RPC sealing will be enabled on all domain controllers. Vulnerable connections from non-compliant devices will be blocked. Enforcement of RPC sealing cannot be removed.
Kerberos protocol changes:
  • July 11, 2023: Domain controllers will have signatures added to the Kerberos PAC Buffer. The ability to disable PAC signature addition will no longer be available and verification of signature cannot be prevented. Connections for missing or invalid signatures will continue to be allowed with an “Audit mode” setting. However, they will be denied authentication beginning October 2023.
How this will affect your organization:
The security features in the November 8, 2022 update were originally released with limited enforcement, providing the ability to manually enable and disable security hardening requirements. The purpose of this limited enforcement has been to allow administrators time to make any necessary changes in their environments. In the months since the November release, requirements have gradually increased – in some cases removing the ability to manually disable security hardening. Administrators are encouraged to take action and adopt the hardening changes.
What you need to do to prepare:
Update your Windows domain controllers with a Windows update released on or after November 8, 2022. It’s critical to review the KB entries in the Additional information section, below, to understand the options available for configuring these changing security requirements in your environment, as well as monitor for warnings and issues.
Additional information:
Machine Translation
2022 年 11 月 8 日以降の Windows 更新プログラムは、Windows Server ドメイン コントローラー (DC) に影響を与える 2 つの重要なセキュリティの脆弱性に対処する上で重要です。
  • RPC シーリングの代わりに RPC 署名を使用する場合の Netlogon プロトコルの脆弱性。詳細については、CVE-2022-38023 を参照してください。
  • Kerberos セキュリティ バイパスおよび特権属性証明書 (PAC) 署名の変更に関連する特権の昇格の脆弱性。詳細については、CVE-2022-37967 を参照してください。
ドメインに参加しているすべてのコンピューター アカウントがこれらの脆弱性の影響を受けます。以下の KB エントリを確認して、環境内でこれらの変化するセキュリティ要件を構成するために使用できるオプションを理解し、警告と問題を監視します。
これはいつ起こりますか:
以前に発表されたように、次の変更は、2023 年 7 月 11 日以降にリリースされた Windows 更新プログラムで有効になります。
ネットログオンプロトコルの変更:
  • 2023 年 7 月 11 日: RPC シーリングを使用した Netlogon プロトコルの適用がすべてのドメイン コントローラーで有効になります。非準拠デバイスからの脆弱な接続はブロックされます。RPC シーリングの適用は削除できません。
Kerberos プロトコルの変更:
  • 2023 年 7 月 11 日: ドメイン コントローラーの署名が Kerberos PAC バッファーに追加されます。PAC 署名の追加を無効にする機能は使用できなくなり、署名の検証を防ぐことはできません。欠落または無効な署名の接続は、「監査モード」設定で引き続き許可されます。ただし、2023 年 10 月以降は認証が拒否されます。
これが組織に与える影響:
2022 年 11 月 8 日の更新プログラムのセキュリティ機能は、当初、適用が制限されてリリースされ、セキュリティ強化要件を手動で有効または無効にする機能を提供しました。この限定的な適用の目的は、管理者が環境に必要な変更を加える時間を確保することでした。11 月のリリースから数か月で、要件は徐々に増加し、場合によってはセキュリティ強化を手動で無効にする機能が削除されました。管理者は、アクションを実行し、強化の変更を採用することをお勧めします。
準備するために必要なこと:
2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムで Windows ドメイン コントローラーを更新します。以下の「追加情報」セクションの KB エントリを確認して、環境内でこれらの変化するセキュリティ要件を構成するために使用できるオプションを理解し、警告と問題を監視することが重要です。
追加情報:
Post Views: 85

m365jp.net