m365jp.net

SHD / MC Checker

MC904929 | Change to the Enforced by Default phase timeline for Kerberos signature validation risks

MC904929 | Change to the Enforced by Default phase timeline for Kerberos signature validation risks
Classification stayInformed
Last Updated 10/04/2024 20:56:31
Start Time 10/04/2024 20:56:27
End Time 10/04/2025 20:56:27
Message Content
Windows updates dated April 9, 2024, or later add new behaviors that start the process of addressing a security risk in the Kerberos PAC Validation Protocol. These improvements are deployed in three phases (see below). The timeline of the second phase, Enforced by Default, has changed. This phase will occur in January 2025. For full guidance, see KB5037754.
When will this happen: 
  • April 9, 2024: The initial deployment phase started with the release of the April 2024 security update. This update added new secure behavior that prevents the elevation of privilege risks.
  • January 2025: The Enforced by Default phase starts. In this phase, Windows domain controllers (DC) and clients will move to Enforced mode. This mode will enforce the new secure behavior by default. Note that during this phase, you can override the Enforced by Default settings and revert to Compatibility mode.
  • April 2025: Enforcement phase begins. In this phase, there is no option to revert from the new secure behavior.
How this will affect your organization: 
To mitigate the risks described in CVE-2024-26248 and CVE-2024-29056, you must update your entire Windows environment. This must include DCs and clients. Environments that are not up to date will not recognize this new request structure after the Enforcement phase begins. Because of this, security checks will fail.
What you need to do to prepare: 
  1. UPDATE: Install the April 9, 2024, or later update on all Windows DCs and Windows clients.
  2. MONITOR: Keep track of audit events that are visible in Compatibility mode. These events will identify devices that are not up to date.
  3. ENABLE: Turn on Enforcement mode fully in your environment. When you do, it mitigates the risks described in CVE-2024-26248 and CVE-2024-29056.
Additional information: 
Machine Translation
2024 年 4 月 9 日以降の Windows 更新プログラムでは、 Kerberos PAC 検証プロトコルのセキュリティ リスクに対処するプロセスを開始する新しい動作が追加されています。これらの機能強化は、3つのフェーズで展開されます(以下を参照)。第 2 フェーズのタイムラインである [既定で強制] が変更されました。このフェーズは 2025 年 1 月に行われます。完全なガイダンスについては、 KB5037754を参照してください。
これはいつ行われますか: 
  • 2024 年 4 月 9 日: 初期デプロイ フェーズは、2024 年 4 月のセキュリティ更新プログラムのリリースから開始されました。この更新プログラムでは、特権リスクの昇格を防ぐ新しい安全な動作が追加されました。
  • 2025 年 1 月: 「デフォルトで強制」 フェーズが開始されます。このフェーズでは、Windows ドメイン コントローラー (DC) とクライアントは 強制 モードに移行します。このモードでは、デフォルトで新しいセキュア動作が強制されます。このフェーズでは、既定の 設定による強制をオーバーライド して、互換 モードに戻す ことができることに注意してください。
  • 2025 年 4 月: 施行 フェーズが開始されます。このフェーズでは、新しい安全な動作から元に戻すオプションはありません。
これが組織に与える影響: 
CVE-2024-26248 と CVE-2024-29056 に記載されている リスクを軽減するには、Windows 環境全体を更新する必要があります。これには、DC とクライアントが含まれている必要があります。最新でない環境は、強制フェーズの開始後にこの新しい要求構造を認識しません。このため、セキュリティチェックは失敗します。
準備するために必要なこと: 
  1. 更新: 2024 年 4 月 9 日以降の更新プログラムを、すべての Windows DC と Windows クライアントにインストールします。
  2. MONITOR: 互換 モードで表示される 監査イベントを追跡します。これらのイベントは、最新でないデバイスを識別します。
  3. 有効にする: 環境で 強制 モード を完全にオンにします。これを行うと、CVE-2024-26248 および CVE-2024-29056 で説明されている リスクが軽減されます。
追加情報: 
Post Views: 418

m365jp.net