[Update 11.10.2023]: Mit dem gestrigen Patchday hat Microsoft die letzte Phase im Zusammenhang mit der CVE-2022-38023 und CVE-2022-37967 durchgezogen. Der Registry-Schlüssel KrbtgtFullPacSignature wurde durch das jeweilige Update jetzt entfernt.
[Update 12.09.23]: Microsoft hat gestern darauf hingewiesen, dass am 10. Oktober 2023 und danach die letzte Phase der Durchsetzung im Zusammenhang mit der CVE-2022-38023 und CVE-2022-37967 durchgeführt wird. Administratoren sollten die Änderungen beachten, die sich auf die Anforderungen des Kerberos-Protokolls auswirken.
- Windows-Updates, die an und nach diesem Datum veröffentlicht werden, haben die folgenden Auswirkungen:
- Die Möglichkeit, die Hinzufügung von PAC-Signaturen zu deaktivieren, wird abgeschafft (zuvor war dies über den Registrierungsunterschlüssel KrbtgtFullPacSignature möglich).
- Die Unterstützung für den Audit-Modus wird entfernt (dieser ermöglichte die Authentifizierung unabhängig davon, ob PAC-Signaturen fehlten oder ungültig waren, und erstellte Audit-Protokolle zur Überprüfung).
- Verweigerung der Authentifizierung für eingehende Diensttickets ohne die neuen PAC-Signaturen.
- Die oben beschriebene Phase ist die abschließende Phase dieser Sicherheitsabhärtungsmaßnahmen.
[Update 12. Juli 2023]: Die Durchsetzung des Netlogon-Protokolls im Zusammenhang mit der CVE-2022-38023 und CVE-2022-37967 wurde jetzt durchgesetzt. „Anfällige Verbindungen von nicht konformen Geräten werden blockiert. Die Erzwingung der RPC-Sealing-Funktion kann nicht aufgehoben werden.“
Ebenso beim Kerberos-Protokoll (CVE-2022-37967) wurden seit gestern (11.07.2023) Änderungen durchgeführt.
„Bei Domänencontrollern werden dem Kerberos-PAC-Puffer Signaturen hinzugefügt. Die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, wird nicht mehr zur Verfügung stehen, und die Überprüfung von Signaturen kann nicht verhindert werden. Verbindungen mit fehlenden oder ungültigen Signaturen werden weiterhin mit einer „Audit-Modus“-Einstellung zulässig sein. Ab Oktober 2023 wird ihnen jedoch die Authentifizierung verweigert.“
[Update 14. April 2023]: Kurzer Hinweis: Microsoft hat die Zeitpläne für die Windows Server Versionen angepasst. Beim Netlogon- und Kerberos-Protokoll wurde die Phase „Standardmäßige Erzwingung“ des Registrierungsschlüssels wurde vom 11. April 2023 auf den 13. Juni 2023 verschoben.
Erst dann wird durch die CVE-2022-37967 und CVE-2022-38023 die Möglichkeit entfernt den Registry-Schlüssel anzupsasen.
[Original 9. November 2022]: Mit dem Patchday November hat Microsoft eine stufenweise Änderung am Netlogon- und Kerberos-Protokoll bereitgestellt. Diese sind im Zusammenhang mit der CVE-2022-38023 und CVE-2022-37967 und beheben Schwachstellen unter Windows 8.1 bis Windows 11 und Windows Server-Versionen.
Vorrangig sind diese Anleitungen für Administratoren. Die Änderungen beginnen mit dem Update vom 8. November 2022 und werden stufenweise bis Juli 2023, bzw. Oktober 2023 durchgeführt und verschärft. Bis dahin werden die Sicherheitslücken komplett geschlossen und eine manuelle Änderung ist dann nicht mehr möglich. Daher sollte man sich den „Fahrplan“ einmal genauer anschauen und dementsprechend reagieren.
Info:
- microsoft.com/kb5021130-how-to-manage-the-netlogon-protocol-changes-related-to-cve-2022-38023
- microsoft.com/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2, 22H2 (22621), 22H2 (22622), 22H2 (22623) Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Einfach wie den Fonts code in Rust neuschreiben. Muss schon was bewirken in Punkto Sicherheit, wenn MS Teile des OS darin neu compiliert.
Was soll das bringen?
Es geht hier nicht um die Gefahren von C und dessen unsachgemäßen Einsatz.
Wieder ein Jünger von Rust der glaubt, die Verwendung einer bestimmten Sprache würde Fachkenntnisse in Programmierung ersetzen. TS, Ts, …
Mir schwanr böhses durch diese changes.
gepostet mit der Deskmodder.de-App für Android
Ja, machg jetzt schon genug Ärger in älteren Domainen.
Diese Änderungen sind trivial und längst überfällig. Wenn diese Changes zu Problemen in Produktivumgebungen führt, dann hat der oder die IT-Verantwortliche versagt.
Microsoft schneidet nur alte Zöpfe ab, die schon seit ewigkeiten nicht mehr im Einsatz sein sollten.
das problem der windows „zöpfe“ ist: microsft hält sich generell nicht an standards… wodurch solche änderungen gravierende auswirkungen haben.
also erstmal anprangern, das ms sich generell nicht an interneationalen standards hält!
Welche Standards schweben Dir da konkret vor?
Als Monopolist definiert Microsoft den Standard, es wäre illusorisch zu denken es sei anders herum.
Microsoft definiert gar keinen Standard. Standards werden i. d. R. von multinationalen Teams verschiedener hersteller und Wissenschaftler definiert. Und jedermann hat das Recht die Entwürfe zu kommentieren. Microsoft ist ein Monopolist und gehört deshalb zerschlagen.
aha… ms kurbelt die elektroschrott herstellung an… wie schon mit win11…
die sollen lieber erstmal fehler beseitigen und stbilität in windows erzeugen… datensicherheit erhöhen… als immer mehr schrott einzubauen!
Ja, genau das dürfte es mal wieder sein… Ich will jetzt nicht behaupten wir anderen wären Hellseher gewesen, als uns bei einem „kostenlosen“ Windows 10 ganz schnell Böses schwante…
Bei Windows 7 gibt es nach wie vor keine Probleme, dafür aber Updates, die weder gegen meinen Willen installiert werden, noch irgendetwas anstellen können, das ich ganz bestimmt nicht will.
Ich hab einen alten Laptop mit einem i5 der 3.Generation auf dem ich Win11 installiert habe, schaun mer mal, was dort passiert. Notfalls dauert es ungefähr eine Stunden einen gespeicherten Win7 Klon zu installieren. Aber ich kann schon jetzt garantieren, dass es sehr lustig wird.
Es zu sehen meine ich dabei… nicht es installiert zu haben….
Für Englisch Sprechende gibt es bei Bleeping Computer mehr Details und ein Video mit David Weston, Microsoft’s Vice President for OS Security….
https://www.bleepingcomputer.com/news/microsoft/new-windows-11-build-ships-with-more-rust-based-kernel-features/
Bei Windows 10 gibt es auch keine unerwünschten Updates, wenn man im DNS (hosts file genügt nicht!) die FQDNs
slscr.update.microsoft.com.
sls.update.microsoft.com.
fs.microsoft.com.
settings-win.data.microsoft.com.
ctldl.windowsupdate.com.
’sperrt‘ (mein DNS 1 gibt „0.0.0.0“ zurück, DNS 2 „NXDOMAIN“).
Es soll ja auch noch Leute geben die lieber Briefe schreiben als eine eMail. Daher viel Spaß mit dem lahmen Windows 7.
Tja, weisst du… Ich bin halt keine so wichtige Person wie du. Und ob etwas 2 oder 2,4 Sekunden dauert ist deshalb bei mir nicht so wichtig. Da auf alles was du tust die ganze Welt wartet, ist das was anderes.
Und Du hast batürlich auch sicher ein paar Angestellte die dein Win11 jedesmal updaten und es hinterher wieder so figurieren, dass man es auch benutzen kann…
Zu Leuten wie dir sagt man in Davos „Ihr werdet nichts besitzen und glücklich sein.“
Problem mit Win7 ist halt, dass immer mehr Software dort einfach nicht läuft.
Dann kann man höchstens noch mit alten Versionen arbeiten (wenn man sie bekommt).
Das war jedenfalls mein Grund, auf W10 zu wechseln, W7 habe ich nur noch in VMs.
Ich sehe da gar keine Probleme.
Anfangs hatte ich es im Audit-Modus und nachdem da keine Fehler im Ereignisprotokoll erschienen, habe ich es im Frühjahr des Jahres scharf geschaltet.
Und was Standards angeht:
Da hat Microsoft schon viele Standards eingeführt.
Z.B. SMB