Windows 網域控制器安全設定的重要更改
2022年5月,微軟發布了Windows系統的關鍵安全性更新,修復了多個漏洞,這些漏洞編號為CVE-2022-34691、CVE-2022-26931和CVE-2022-26923。這些漏洞屬於特權提升(EoP)漏洞,專門針對Kerberos金鑰分發中心(KDC)中使用的基於憑證的身份驗證系統的服務流程。
這個問題尤其影響了 Windows 網域控制站 (DC),因為它們無法辨識電腦名稱末端的美元符號(「$」)。這項疏忽為網路犯罪分子提供了以各種惡意方式偽造證書的機會。為此,微軟在過去幾年中推出了一系列更新,以促進 IT 管理員更順暢地過渡,同時保持系統相容性。
即將發布的補丁星期二更新
自 9 月 9 日起,重大變更將在下一個補丁星期二更新中生效。值得注意的是,金鑰分發中心 (Key Distribution Center) 註冊表項將被視為不受支援。作為短期解決方法,微軟於 2022 年 5 月推出了StrongCertificateBindingEnforcement註冊表項。此註冊表項使 IT 管理員能夠繼續使用基於憑證的對應和驗證(儘管僅限於相容模式),並允許使用各種基於定義值的使用者真實性驗證方法和回退機制。
憑證回溯密鑰的影響
除了 StrongCertificateBindingEnforcement 鍵之外,另一個名為CertificateBackdatingCompensation的註冊表鍵也將於 9 月發生變化。此鍵同樣設計為支援相容模式,即使憑證對應較弱,只要憑證時間早於使用者建立時間,也允許使用者進行身分驗證。然而,在即將發布的更新之後,將禁止使用弱證書映射。鑑於先前的設定實際上禁用了一項至關重要的安全檢查,此更改背後的理由合乎邏輯。
從相容模式轉換
IT管理員務必注意,一旦在9月10日之後啟動「完全強制」模式,將無法恢復到相容模式。此變更強調了微軟致力於改善Windows網域控制站安全態勢的決心,確保組織不僅合規,還能抵禦潛在威脅。
有關這些變更的更多詳細信息,建議管理 Windows 網域控制器的 IT 專業人員查閱Microsoft 的綜合指南。
發佈留言