Компания Microsoft начинает второй этап закрытия протокола Kerberos PAC Validation Protocol для Windows 10, 11 и Server. После последних задержек в графике этого укрепления безопасности, похоже, что изменения будут завершены в апреле 2025 года.
Принудительная фаза
Об этом сообщает онлайн-журнал Neowin, ссылаясь на дорожную карту, опубликованную самой Microsoft. В нем говорится, что обновление KB5037754 начинает «фазу принудительного использования по умолчанию». Это обновление для контроллеров домена (DC). Под укреплением понимается процесс обеспечения безопасности операционной системы путем уменьшения ее поверхности атаки и смягчения потенциальных уязвимостей.
Эти меры направлены на защиту от уязвимостей CVE-2024-26248 и CVE-2024-29056 Kerberos PAC (Privilege Attribute Certificate) и уязвимости Black Lotus Secure Boot. Усиление безопасности DC укрепляет серверы, на которых работает Azure Active Directory (AD), чтобы снизить риск несанкционированного доступа и утечки данных, и будет внедряться поэтапно.
Ранее Microsoft назначала первый этап развертывания на апрель 2024 года с выпуском обновлений 9 апреля 2024 года. Этот первый этап также назывался режимом совместимости. Затем осенью 2024 года дорожная карта была изменена, так что только сейчас дело сдвинулось с мертвой точки.
График следующий:
Январь 2025 года - этап внедрения по умолчанию
Февраль 2025 года - аутентификация на основе сертификатов
Апрель 2025 года - фаза принудительного применения
На предыдущем этапе, который начался в октябре 2024 года, защита Secure Boot Bypass применялась как часть фазы обязательного применения.
После вступления в фазу принудительного применения по умолчанию для Kerberos PAC администраторы все еще могут отменить эти правила, которые закончатся в апреле. Более подробную информацию можно найти в статье поддержки KB5036534 на официальном сайте Microsoft. Не обновленный контроллер домена не распознает новую структуру требований.
Это приведет к сбою проверки безопасности. В режиме совместимости используется старая структура требований, а в фазе принудительной установки по умолчанию она больше не используется.
Теперь добавлена третья фаза, которая начнется в феврале и в которой аутентификация на основе сертификата будет обязательной, согласно Microsoft: «Режим полного применения. Если сертификат не может быть однозначно определен, в аутентификации будет отказано», - поясняется в статье поддержки.
Kerberos - это широко используемый протокол сетевой аутентификации, который разрабатывается с 1980-х годов.
Изначально он был разработан в Массачусетском технологическом институте (MIT). Название «Kerberos» происходит из греческой мифологии и обозначает трехголового адского пса, охраняющего вход в подземный мир - это намек на три стороны, участвующие в аутентификации Kerberos: Клиент, Сервер и Центр распределения ключей (KDC).
Поделитесь своими мыслями и опытом в комментариях - ваши соображения могут помочь администраторам!