X

Domänencontroller:
Änderung Netlogon- und Kerberos-Protokoll startet

Microsoft hat nach diversen Sicherheits-Problemen von Domänencontrollern in Windows Server beschlossen, eine sogenannte Härtung für Netlogon und Kerberos in mehreren Schritten durchzuführen. Zum Patch-Day Juli trat nun die nächste Härtungsstufe in Kraft.
12.07.2023  19:44 Uhr
Das bedeutet, dass festgelegte Sicherheitsmaßnahmen nicht mehr umgangen werden können und Administratoren die Vorgaben des Konzerns für Windows Server-Domänencontroller einhalten müssen. Zuvor hatte Microsoft bereits Windows Server-Updates und erste Änderungen im Umgang mit den Protokollen angekündigt, dann aber die Zeitpläne mehrfach verändert. Jetzt wurden weitere Änderungen am Netlogon- und Kerberos-Protokoll aktiviert.

Erzwingungsmodus

Microsoft schützt Windows-Geräte standardmäßig vor den Schwachstellen im Netlogon-Protokoll, wenn ein eRPC-Signatur anstelle der RPC-Versiegelung verwendet wird. Dann lässt Windows keine anfälligen Verbindungen mehr zu (Erzwingermodus). Seit Juni 2023 wird der neue Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten. Ähnlich ist es bei der Kerberos-Protokolländerung. Dafür müssen alle Domänencontroller zuerst aktualisiert werden, bevor das Update in den Erzwungenen Modus gewechselt wird.

Microsoft teilt zu der neuen Härtung jetzt im Windows Release Health Dashboard mit:

Zur Erinnerung: Änderungen der Sicherheitshärtung für Netlogon und Kerberos ab 11. Juli 2023

Die Windows-Versionen vom 8. November 2022 und später enthalten Sicherheitsupdates, die Sicherheitslücken beheben, die Windows Server-Domänencontroller (DC) betreffen. Diese Schutzmaßnahmen folgen einem Zeitplan für Härtungsänderungen und werden in Phasen veröffentlicht. Wie bereits angekündigt, sollten Administratoren die folgenden Änderungen beachten, die mit den Windows-Updates in Kraft treten, die am und nach dem 13. Juni 2023 veröffentlicht werden:

Änderungen am Netlogon-Protokoll:

  • 11. Juli 2023: Die Durchsetzung des Netlogon-Protokolls mit RPC-Versiegelung wird auf allen Domänencontrollern aktiviert. Anfällige Verbindungen von nicht konformen Geräten werden blockiert. Die Erzwingung der RPC-Versiegelung kann nicht aufgehoben werden.

Änderungen am Kerberos-Protokoll:

  • 11. Juli 2023: Auf Domänencontrollern werden dem Kerberos-PAC-Puffer Signaturen hinzugefügt. Die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, wird nicht mehr zur Verfügung stehen, und die Überprüfung von Signaturen kann nicht verhindert werden. Verbindungen mit fehlenden oder ungültigen Signaturen werden weiterhin mit der Einstellung "Prüfmodus" zugelassen. Ab Oktober 2023 wird ihnen jedoch die Authentifizierung verweigert.

Alle domänenverbundenen Rechnerkonten sind von diesen Sicherheitslücken betroffen. Lesen Sie die folgenden KB-Einträge, um sich über die verfügbaren Optionen für die Konfiguration dieser geänderten Sicherheitsanforderungen in Ihrer Umgebung zu informieren und um auf Warnungen und Probleme zu achten.


Zusammenfassung
  • Microsoft führt Härtung für Netlogon und Kerberos in mehreren Schritten durch.
  • Administratoren müssen Vorgaben des Konzerns für Windows Server-Domänencontroller einhalten.
  • Windows Server-Updates und Änderungen im Umgang mit Protokollen wurden aktiviert.
  • Erzwingungsmodus blockiert anfällige Verbindungen von nicht konformen Geräten.
  • KB5021130 & KB5020805 informieren über verfügbare Optionen & Warnungen.

☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture