3
Auswirkungen von KrbTgtFullPAC Signature (CVE-2022-37967)
Hallo zusammen,
Microsoft hat ja mit den November 2022 Updates Änderungen am Kerberos vorgenommen, wodurch das PAC Feld eines Kerberostickets zukünftig signiert wird. Laut Microsoft sollte im Ereignislog protokolliert werden, wenn sich Clients mit nicht signierten Tickets melden (sofern der entsprechende RegKey gesetzt ist). Nun ist es bei uns so, dass die DCs gepatched sind und der Regkey seit Wochen gesetzt ist aber trotzdem wird nichts protokolliert.
Das ist für mich insofern überraschend, als das wir noch ein paar EOL Windowssysteme (Maschinensteuerung) und Netzwerkgeräte mit Domänenanbindung (z.B. NAS) haben.
Außerdem wundert mich, dass weder die Hersteller von NAS und co noch die großen IT-Nachrichtenportale irgendwas dazu schreiben, obwohl ab Oktober alle Tickets ohne gültige Signatur abgelehnt werden.
Daher würde mich mal interessieren, wie Ihr in der Firma damit umgeht, bzw. was ich bei dem ganzen Thema übersehe?
Hier noch der Link zu Microsoft: https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerber ...
Danke schon mal für eure Antworten
Microsoft hat ja mit den November 2022 Updates Änderungen am Kerberos vorgenommen, wodurch das PAC Feld eines Kerberostickets zukünftig signiert wird. Laut Microsoft sollte im Ereignislog protokolliert werden, wenn sich Clients mit nicht signierten Tickets melden (sofern der entsprechende RegKey gesetzt ist). Nun ist es bei uns so, dass die DCs gepatched sind und der Regkey seit Wochen gesetzt ist aber trotzdem wird nichts protokolliert.
Das ist für mich insofern überraschend, als das wir noch ein paar EOL Windowssysteme (Maschinensteuerung) und Netzwerkgeräte mit Domänenanbindung (z.B. NAS) haben.
Außerdem wundert mich, dass weder die Hersteller von NAS und co noch die großen IT-Nachrichtenportale irgendwas dazu schreiben, obwohl ab Oktober alle Tickets ohne gültige Signatur abgelehnt werden.
Daher würde mich mal interessieren, wie Ihr in der Firma damit umgeht, bzw. was ich bei dem ganzen Thema übersehe?
Hier noch der Link zu Microsoft: https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerber ...
Danke schon mal für eure Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6020359062
Url: https://administrator.de/contentid/6020359062
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
3 Kommentare
Neuester Kommentar
Ich habe jetzt nicht alle Daten im Kopf, aber im Frühjahr und Sommer fährt Microsoft die Schotten diesbezüglich hoch. Und nicht nur Kerberos sondern auch Netlogon werden davon betroffen sein.
Unser W11 Image ab Oktober 22 sind dafür vorbereitet und angepasst.
W10 ist für neue Rollouts, die noch knapp die Hälfte ausmachen, vorbereitet und wird dann per Policy angepasst.
Ein Gießkannenversuch mit Horizon durchgeführt, war nicht gut gelaufen.
Wir hatten hunderte VMs in den OUs gemacht und mit den KeyUsern durchprobiert und es war bestenfalls mäßig.
Ich sehe uns auch im Sommer 24 nicht Safe bei dem Thema.
Unser W11 Image ab Oktober 22 sind dafür vorbereitet und angepasst.
W10 ist für neue Rollouts, die noch knapp die Hälfte ausmachen, vorbereitet und wird dann per Policy angepasst.
Ein Gießkannenversuch mit Horizon durchgeführt, war nicht gut gelaufen.
Wir hatten hunderte VMs in den OUs gemacht und mit den KeyUsern durchprobiert und es war bestenfalls mäßig.
Ich sehe uns auch im Sommer 24 nicht Safe bei dem Thema.
Kollege Carius war wie immer fleißig: https://www.msxfaq.de/windows/sicherheit/windows_security_changes_2023.h ...
Den Link hab ich mir mal durchgelesen, aber da steht ja vom Prinzip auch nur, dass inkompatible Systeme in den Logs aufschlagen müssten. Das ist bei uns aber nicht der Fall und ein XP/7 bekommt ja keine Updates mehr, die ihm die Signierung beibringen könnten. Daher vermute ich, dass wir da was übersehen.
Was waren denn eure Ergebnisse, bzw wo gab es Probleme?
Was waren denn eure Ergebnisse, bzw wo gab es Probleme?
