Windows updates released November 8, 2022 and later include changes that address security vulnerabilities affecting Windows Server domain controllers (DC). Among the addressed vulnerabilities is a Kerberos security bypass and elevation of privilege scenario involving alteration of Privilege Attribute Certificate (PAC) signatures. Changes to address this issue have been released following a series of phases throughout 2023, and are reaching the final stage of enforcement in October.

All domain-joined, machine accounts are affected by these vulnerabilities. For details on configuring these security requirements in your environment see KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.

When will this happen:

As previously announced, Windows updates released on and after this October 10, 2023 will have the following effect:

The security features in the November 8, 2022 update were originally released with limited enforcement, providing the ability to manually enable and disable security hardening requirements. This was intended to allow administrators time to make any necessary changes in their environments, until eventually all requirements can be met and full enforcement can be enabled. In the months since that November 2022 release, requirements have gradually increased. The October 10, 2023 release is the final phase of these security hardening measures, and removes the ability to manually disable security hardening.

Organizations which have not taken action to adopt the hardening changes as necessary will be at risk of business disruption after this October update. Administrators are encouraged to take action and adopt the necessary changes as soon as possible.

Update your Windows domain controllers with a Windows update released on or after November 8, 2022. It’s critical to review the KB entries in the Additional information section, below, to understand the options available for configuring these security requirements in your environment.

2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムには、Windows Server ドメイン コントローラー (DC) に影響を与えるセキュリティの脆弱性に対処する変更が含まれています。解決された脆弱性の中には、特権属性証明書 (PAC) 署名の変更を含む Kerberos セキュリティ バイパスおよび特権の昇格のシナリオがあります。この問題に対処するための変更は、2023年を通じて一連のフェーズを経てリリースされ、10月に施行の最終段階に達しています。

ドメインに参加しているすべてのマシン アカウントが、これらの脆弱性の影響を受けます。環境でこれらのセキュリティ要件を構成する方法の詳細については、「 KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。

これはいつ起こりますか:

以前に発表されたように、この2023年10月10日以降にリリースされたWindows更新プログラムには、次の影響があります。

2022 年 11 月 8 日の更新プログラムのセキュリティ機能は、当初は限定的な適用でリリースされ、セキュリティ強化要件を手動で有効または無効にする機能を提供しました。これは、最終的にすべての要件が満たされ、完全な適用が有効になるまで、管理者が環境に必要な変更を加える時間を確保することを目的としていました。2022 年 11 月のリリースから数か月で、要件は徐々に増加しています。2023 年 10 月 10 日のリリースは、これらのセキュリティ強化対策の最終フェーズであり、セキュリティ強化を手動で無効にする機能を削除します。

必要に応じて強化の変更を採用するためのアクションを実行していない組織は、この 10 月の更新後にビジネスが中断されるリスクがあります。管理者は、できるだけ早くアクションを実行し、必要な変更を採用することをお勧めします。

2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムで Windows ドメイン コントローラーを更新します。以下の「追加情報」セクションの KB エントリを確認して、環境でこれらのセキュリティ要件を構成するために使用できるオプションを理解することが重要です。