微软近日公布了一项重要更新计划,针对Windows域控制器中的特定注册表键进行了调整。据悉,从9月9日星期二更新开始,微软将停止支持两项关键的注册表键,并移除之前为保持兼容性而设立的临时机制。
这一举措源于2022年曝光的Kerberos安全漏洞,具体包括CVE-2022-34691、CVE-2022-26931和CVE-2022-26923。这些漏洞涉及Kerberos密钥分发中心(KDC)在证书身份验证流程中的缺陷,使得攻击者有可能通过伪造证书来提升权限。为了应对这些漏洞,微软在2022年5月发布了安全补丁,并引入了名为StrongCertificateBindingEnforcement的注册表键。
StrongCertificateBindingEnforcement注册表键的引入,旨在为企业提供一个兼容模式,允许管理员在不影响业务运行的前提下,继续使用证书映射与认证功能。通过不同的配置,管理员可以控制证书验证的严格程度以及回退策略。然而,随着微软即将发布的9月更新,这一注册表键将正式失效。
另一个注册表键CertificateBackdatingCompensation也将停止使用。该键允许在证书时间早于用户创建时间的情况下,通过较为宽松的映射方式进行认证。然而,微软指出,这种弱证书映射机制本质上绕过了安全验证流程,因此在新更新发布后,系统将不再接受这种机制。
值得注意的是,从9月10日起,对于已经启用“完全强制模式(Full Enforcement mode)”的系统,微软将不允许再切换回兼容模式。这意味着,所有系统都必须严格遵守新的安全标准,以确保系统的安全性。
为了确保用户能够顺利应对这一调整,微软建议相关用户及时查阅官方发布的详细技术文档。这些文档将提供关于如何在域控制器环境中进行调整的详细指导,以确保系统的安全性和稳定性。微软强调,这一调整是为了更好地保护用户免受安全漏洞的威胁,希望用户能够积极配合并按时完成相关调整工作。
