Windows updates released today, October 10, 2023, and later, conclude the rollout of security enforcement to protect Windows Server domain controllers (DC) against a Kerberos security bypass vulnerability. This vulnerability also involves an elevation of privilege scenario and alteration of Privilege Attribute Certificate (PAC) signatures. All domain-joined, machine accounts are affected by these vulnerabilities.

These changes have been gradually enforced through a series of phases, beginning with Windows updates released November 8, 2022. For details on configuring these security requirements in your environment see KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.

When will this happen:

As previously announced, Windows updates released on and after October 10, 2023 will have the following effect:

The security features in Windows updates released November 8, 2022 and later, provided the ability to manually enable and disable security hardening requirements. This limited enforcement was intended to allow administrators time to make any necessary changes in their environments, until full enforcement can be enabled once all requirements are met. In the months since that November 2022 release, security requirements have gradually increased. Windows updates released October 10, 2023 or later will contain the final phase of the rollout for these security hardening measured, which no longer provides options to disable security hardening.

Organizations which have not adopted the hardening changes as necessary might be at risk of business disruption after installing Windows update released October 10, 2023 or later. Administrators are encouraged to take action as soon as possible.

Update your Windows domain controllers with a Windows update released on or after November 8, 2022. It’s critical to review the KB entries in the Additional information section, below, to understand the options available for configuring these security requirements in your environment.

本日、2023 年 10 月 10 日以降にリリースされた Windows 更新プログラムは、Kerberos セキュリティ バイパスの脆弱性から Windows Server ドメイン コントローラー (DC) を保護するためのセキュリティ強制のロールアウトを完了します。この脆弱性には、特権の昇格シナリオおよび特権属性証明書 (PAC) 署名の変更も含まれます。ドメインに参加しているすべてのマシン アカウントが、これらの脆弱性の影響を受けます。

これらの変更は、2022 年 11 月 8 日にリリースされた Windows 更新プログラムから始まる一連のフェーズを通じて徐々に適用されています。環境でこれらのセキュリティ要件を構成する方法の詳細については、「 KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。

これはいつ起こりますか:

以前にお知らせしたように、2023 年 10 月 10 日以降にリリースされた Windows 更新プログラムには、次の影響があります。

2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムのセキュリティ機能では、セキュリティ強化要件を手動で有効または無効にする機能が提供されました。この制限付き適用は、すべての要件が満たされた後に完全な適用が有効になるまで、管理者が環境に必要な変更を加える時間を確保することを目的としていました。2022 年 11 月のリリースから数か月で、セキュリティ要件は徐々に増加しています。2023 年 10 月 10 日以降にリリースされた Windows 更新プログラムには、これらのセキュリティ強化測定のロールアウトの最終フェーズが含まれ、セキュリティ強化を無効にするオプションは提供されなくなります。

必要に応じて強化の変更を採用していない組織は、2023 年 10 月 10 日以降にリリースされた Windows Update をインストールした後にビジネスが中断されるリスクがあります。管理者は、できるだけ早く行動を起こすことをお勧めします。

2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムで Windows ドメイン コントローラーを更新します。以下の「追加情報」セクションの KB エントリを確認して、環境でこれらのセキュリティ要件を構成するために使用できるオプションを理解することが重要です。