Windows 域控制器安全设置的重要更改
2022年5月,微软发布了Windows系统的关键安全更新,修复了多个漏洞,这些漏洞编号为CVE-2022-34691、CVE-2022-26931和CVE-2022-26923。这些漏洞属于特权提升(EoP)漏洞,专门针对Kerberos密钥分发中心(KDC)中使用的基于证书的身份验证系统的服务流程。
该问题尤其影响了 Windows 域控制器 (DC),因为它们无法识别计算机名称末尾的美元符号(“$”)。这一疏忽为网络犯罪分子提供了以各种恶意方式伪造证书的机会。为此,微软在过去几年中推出了一系列更新,以促进 IT 管理员更顺畅地过渡,同时保持系统兼容性。
即将发布的补丁星期二更新
自 9 月 9 日起,重大更改将在下一个补丁星期二更新中生效。值得注意的是,密钥分发中心 (Key Distribution Center) 注册表项将被视为不受支持。作为一项短期解决方法,微软于 2022 年 5 月推出了StrongCertificateBindingEnforcement注册表项。此注册表项使 IT 管理员能够继续使用基于证书的映射和身份验证(尽管仅限于兼容模式),并允许使用各种基于定义值的用户真实性验证方法和回退机制。
证书回溯密钥的影响
除了 StrongCertificateBindingEnforcement 键之外,另一个名为CertificateBackdatingCompensation的注册表键也将于 9 月发生变化。该键同样旨在支持兼容模式,即使证书映射较弱,只要证书时间早于用户创建时间,也允许用户进行身份验证。然而,在即将发布的更新之后,将禁止使用弱证书映射。鉴于之前的设置实际上禁用了一项至关重要的安全检查,此更改背后的理由合乎逻辑。
从兼容模式转换
IT管理员务必注意,一旦在9月10日之后激活“完全强制”模式,将无法恢复到兼容模式。此更改强调了微软致力于改善Windows域控制器安全态势的决心,确保组织不仅合规,还能抵御潜在威胁。
有关这些变化的更多详细信息,建议管理 Windows 域控制器的 IT 专业人员查阅Microsoft 的综合指南。
发表回复