IT之家 8 月 29 日消息,微软宣布,从 9 月 9 日的“星期二更新”开始,将正式终止对 Windows 域控制器中两项注册表键的技术支持,此前为保持兼容性而提供的临时机制将被彻底移除。
据介绍,此次变更旨在解决 2022 年披露的 Kerberos 漏洞(CVE-2022-34691、CVE-2022-26931 和 CVE-2022-26923)。
2022 年 5 月,微软曾发布安全更新以修复上述三漏洞。这些提权漏洞针对 Kerberos 密钥分发中心(KDC)中基于证书的身份验证机制,当时系统无法正确处理机器名末尾的美元符号“$”,从而被攻击者利用伪造证书。
为避免影响企业环境,微软在 2022 年引入了临时注册表键 StrongCertificateBindingEnforcement,允许 IT 管理员继续在兼容模式下使用证书映射和认证,并通过不同取值设置验证用户的真实性及回退机制。等 9 月份更新后,该注册表键将不再受支持。
同时,另一项临时注册表键 CertificateBackdatingCompensation 也将受到影响。该键允许在证书时间早于用户创建时间的情况下,通过弱映射方式完成认证。微软表示,在新更新发布后,将不再允许使用弱证书映射,因为此机制实际绕过了安全检查。
此外,自 9 月 10 日起,如果管理员已将系统切换至 完全强制模式(Full Enforcement mode),将无法再回退至兼容模式。
微软提醒,以上信息仅为概览,IT 管理员若需在域控制器环境中做好准备,应查阅微软官方的详细技术指南。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
