Modifiche importanti alle impostazioni di sicurezza del controller di dominio Windows
A maggio 2022, Microsoft ha rilasciato aggiornamenti di sicurezza critici per Windows, risolvendo diverse vulnerabilità identificate come CVE-2022-34691, CVE-2022-26931 e CVE-2022-26923. Queste vulnerabilità riguardano falle di elevazione dei privilegi (EoP) che prendono di mira specificamente i processi di manutenzione dei sistemi di autenticazione basati su certificati utilizzati nel Kerberos Key Distribution Center (KDC).
Il problema ha interessato in particolare i controller di dominio (DC) di Windows, che non riconoscevano il simbolo del dollaro (“$”) alla fine dei nomi delle macchine. Questa svista ha creato un’opportunità per i criminali informatici di falsificare i certificati in vari modi dannosi. In risposta, Microsoft ha introdotto una serie di aggiornamenti negli ultimi anni per facilitare una transizione più fluida per gli amministratori IT, mantenendo al contempo la compatibilità del sistema.
Prossimi aggiornamenti del Patch Tuesday
A partire dal 9 settembre, modifiche significative entreranno in vigore con i prossimi aggiornamenti del Patch Tuesday. In particolare, la chiave di registro Key Distribution Center non sarà più supportata. Come soluzione temporanea introdotta a maggio 2022, Microsoft ha fornito la chiave di registro StrongCertificateBindingEnforcement. Questa chiave ha consentito agli amministratori IT di continuare a utilizzare mapping e autenticazione basati su certificati, sebbene solo in modalità Compatibilità, consentendo vari metodi di convalida dell’autenticità dell’utente e meccanismi di fallback basati su valori definiti.
Impatto della chiave di retrodatazione del certificato
Oltre alla chiave StrongCertificateBindingEnforcement, anche un’altra chiave di registro, nota come CertificateBackdatingCompensation, subirà modifiche a settembre. Questa chiave, che mirava analogamente a supportare la modalità Compatibilità, consentiva l’autenticazione degli utenti anche con mappature di certificati più deboli, purché la data del certificato fosse precedente alla data di creazione dell’utente. Tuttavia, a seguito dei prossimi aggiornamenti, l’uso di mappature di certificati deboli sarà vietato. La motivazione alla base di questa modifica è logica, dato che le impostazioni precedenti disabilitavano di fatto un controllo di sicurezza fondamentale.
Transizione dalla modalità compatibilità
È fondamentale che gli amministratori IT tengano presente che, una volta attivata la modalità Full Enforcement dopo il 10 settembre, non sarà più possibile tornare alla modalità Compatibilità. Questa modifica sottolinea l’impegno di Microsoft nel migliorare la sicurezza dei controller di dominio Windows, garantendo che le organizzazioni non siano solo conformi, ma anche protette da potenziali minacce.
Per informazioni più dettagliate su queste modifiche, si consiglia ai professionisti IT che gestiscono i controller di dominio Windows di consultare la guida completa di Microsoft.
Lascia un commento