Security hardening changes needed on domain controllers in IT environments to address CVE-2022-37967 will enter a new phase of security requirement, as outlined in KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967 on June 13, 2023. Previous announcements had listed this change as taking place in April, however, that date has changed.

Each phase raises the default minimum for the security hardening changes for CVE-2022-37967, and environments must be compliant before installing updates for each phase onto your domain controller.

Starting June 13, 2023, updates addressing CVE-2022-37967 will enter a new phase of security requirements. There will also be two more phases later in the year: July 11, 2023 begins initial enforcement phase, and October 10, 2023 begins full enforcement phase.

At this time, it’s still possible to bypass security hardening requirements using the guidance provided in KB5020805. However, beginning with the June 13, 2023 updates, the ability to bypass hardening measures will be reduced. To help protect your environment and prevent outages, we recommend that you carry out the following steps:

To enable all parts of the security hardening in your environment, it is recommended to move to enforcement mode as soon as possible. Your environment must be compliant with the hardening changes before installing updates for each phase onto your domain controller.

Starting July 2023, e nforcement mode will be enabled on all Windows domain controllers and will block vulnerable connections from non-compliant devices. At that time, you will not be able to disable the update, but may move back to the Audit mode setting. Audit mode will be removed in October 2023, as outlined in the Timing of updates to address Kerberos vulnerability CVE-2022-37967 section.

With each additional deployment phase, environments will be required to accept new security measures. Take note of the changes taking place in each phase and prepare for changes:

If you are not using any workaround for issues related to CVE-2022-37967 security hardening, you might still need to address issues in your environment for the coming phases; July 11, 2023 – Initial enforcement phase, and October 10, 2023 – Full enforcement phases. Study the resources in the Additional information section, below, for complete guidance.

CVE-2022-37967に対処するためにIT環境のドメインコントローラーに必要なセキュリティ強化の変更は、KB5020805:2023年6月13日のCVE-2022-37967に関連するKerberosプロトコルの変更を管理する方法で説明されているように、セキュリティ要件の新しいフェーズに入ります。以前の発表では、この変更は4月に行われると記載されていましたが、その日付は変更されました。

各フェーズでは、 CVE-2022-37967 のセキュリティ強化の変更の既定の最小値が引き上げられ、各フェーズの更新プログラムをドメイン コントローラーにインストールする前に、環境が準拠している必要があります。

2023 年 6 月 13 日以降、 CVE-2022-37967 に対処する更新プログラムは、セキュリティ要件の新しいフェーズに入ります。また、2023年7月11日が最初の施行フェーズを開始し、2023年10月10日に完全な施行フェーズを開始するという、今年の後半にさらに2つのフェーズがあります。

現時点では、 KB5020805 で提供されているガイダンスを使用して、セキュリティ強化要件を回避できます。ただし、2023 年 6 月 13 日の更新以降、強化対策を回避する機能は低下します。環境を保護し、停止を防ぐために、次の手順を実行することをお勧めします。

環境内のすべてのセキュリティ強化を有効にするには、できるだけ早く強制モードに移行することをお勧めします。環境は、各フェーズの更新プログラムをドメイン コントローラーにインストールする前に、セキュリティ強化の変更に準拠している必要があります。

2023 年 7 月以降、強化モードはすべての Windows ドメイン コントローラーで有効になり、非準拠デバイスからの脆弱な 接続をブロックします。 その時点では、更新を無効にすることはできませんが、[監査モード] 設定に戻ることができます。 監査モードは、「Kerberos の脆弱性 CVE-2022-37967 に対処するための更新のタイミング」セクションで説明されている ように、2023 年 10 月に削除されます。 

追加の展開フェーズごとに、環境は新しいセキュリティ対策を受け入れる必要があります。各フェーズで発生する変更に注意し、変更の準備をします。

CVE-2022-37967 のセキュリティ強化に関連する問題の回避策を使用していない場合でも、次のフェーズで環境内の問題に対処する必要がある場合があります。2023 年 7 月 11 日 – 初期適用フェーズ、および 2023 年 10 月 10 日 – 完全な施行フェーズ。完全なガイダンスについては、以下の「追加情報」セクションのリソースを調べてください。