Ważne zmiany w ustawieniach zabezpieczeń kontrolera domeny systemu Windows
W maju 2022 roku firma Microsoft wprowadziła krytyczne aktualizacje zabezpieczeń systemu Windows, usuwając kilka luk w zabezpieczeniach zidentyfikowanych jako CVE-2022-34691, CVE-2022-26931 i CVE-2022-26923. Luki te dotyczą luk w zabezpieczeniach związanych z podniesieniem uprawnień (EoP), które w szczególności atakują procesy serwisowe systemów uwierzytelniania opartych na certyfikatach, wykorzystywanych w Centrum Dystrybucji Kluczy Kerberos (KDC).
Problem dotyczył w szczególności kontrolerów domeny systemu Windows (DC), które nie rozpoznawały znaku dolara („$”) na końcu nazw komputerów. To niedopatrzenie stworzyło cyberprzestępcom okazję do podszywania się pod certyfikaty na różne złośliwe sposoby. W odpowiedzi na to, w ciągu ostatnich kilku lat firma Microsoft wprowadziła szereg aktualizacji, aby ułatwić administratorom IT płynne przejście na nowy system, zachowując jednocześnie kompatybilność systemu.
Nadchodzące aktualizacje w ramach wtorku poprawek
Od 9 września, wraz z kolejnymi aktualizacjami Patch Tuesday, zaczną obowiązywać istotne zmiany. Klucz rejestru Centrum Dystrybucji Kluczy (KD) zostanie uznany za nieobsługiwany. Jako tymczasowe obejście wprowadzone w maju 2022 roku, firma Microsoft udostępniła klucz rejestru StrongCertificateBindingEnforcement. Klucz ten umożliwił administratorom IT dalsze korzystanie z mapowań i uwierzytelniania opartych na certyfikatach, aczkolwiek tylko w trybie zgodności, umożliwiając różne metody weryfikacji autentyczności użytkowników i mechanizmy awaryjne oparte na zdefiniowanych wartościach.
Wpływ klucza wstecznego certyfikatu
Oprócz klucza StrongCertificateBindingEnforcement, we wrześniu zmieni się również inny klucz rejestru, znany jako CertificateBackdatingCompensation. Ten klucz, który również miał na celu obsługę trybu zgodności, umożliwiał uwierzytelnianie użytkowników nawet przy słabszych mapowaniach certyfikatów, o ile data certyfikatu była wcześniejsza niż data utworzenia użytkownika. Jednak po nadchodzących aktualizacjach używanie słabych mapowań certyfikatów będzie zabronione. Uzasadnienie tej zmiany jest logiczne, biorąc pod uwagę, że poprzednie ustawienia skutecznie wyłączały istotną kontrolę bezpieczeństwa.
Przejście z trybu zgodności
Administratorzy IT powinni pamiętać, że po aktywacji trybu pełnego egzekwowania po 10 września powrót do trybu zgodności nie będzie możliwy. Ta zmiana podkreśla zaangażowanie firmy Microsoft w poprawę bezpieczeństwa kontrolerów domeny Windows, zapewniając organizacjom nie tylko zgodność z przepisami, ale także ochronę przed potencjalnymi zagrożeniami.
Aby uzyskać bardziej szczegółowe informacje na temat tych zmian, specjaliści IT zarządzający kontrolerami domeny systemu Windows powinni zapoznać się z kompleksowymi wskazówkami firmy Microsoft.
Powiązane artykuły:
Klasyczna funkcja systemu Windows Vista może powrócić do systemu Windows 11
19:30
Microsoft usuwa blokadę aktualizacji, umożliwiając większej liczbie użytkowników pobieranie systemu Windows 11 24 godziny na dobę
8:44
Microsoft potwierdza, że aktualizacje systemu Windows 11 KB5065426 i KB5064081 zakłócają odtwarzanie wideo DRM/HDCP
6:04
Dodaj komentarz