Windows-Härtung: Termine 2023

Windows[English]Kleine Erinnerung für Administratoren im Windows-Umfeld. Auch in 2023 will Microsoft verschiedene Härtungsmaßnahmen für Windows-Systeme (DCOM-Authentifizierung, Kerberos, Netjoin/Domain Join etc.) durchführen. Diese Härtungsmaßnahmen werden stufenweise durch monatliche Updates ausgerollt. Auch wenn es kürzlich erneut eine Verschiebung einer Härtungsmaßnahme gab, kommen in den kommenden Monaten einige Termine auf Windows-Administratoren zu, die man im Hinterkopf behalten sollte.


Anzeige

Das Thema dümpelt hier bei mir an verschiedenen Stellen. So hatte Microsoft seine Zeitpläne zur stufenweisen Anpassung am Netlogon-Protokoll (wegen CVE-2022-38023) und am Kerberos-Protokoll zwar vom 11. April 2023 auf den 13. Juni 2023 verschoben. Aber mit dem Windows-Update vom 11. April 2023 wurde bereits die Möglichkeit entfernt, die RPC-Versiegelung (RPC Sealing) in der Registry zu deaktivieren. Ich hatte das Thema kürzlich im Beitrag Windows April 2023 Updates: Netlogon- und Kerberos Protokoll-Änderungen, es gibt Probleme aufgegriffen.

Ein Blog-Leser hatte mich zudem bereits im März 2023, im Umfeld des Updates March 14, 2023—KB5023706 (OS Build 22621.1413) auf Änderungen beim NetJoin hingewiesen, die im Herbst relevant werden. Der Leser schrieb:

Die Informationen in March 14, 2023—KB5023706 (OS Build 22621.1413) gilt aber für alle OS (W10, W11 21H2, W11 22H2)

KB5020276—Netjoin: Domain join hardening changes – Microsoft Support

Alles Neue steht in [March 14] Klammern. In 6 Monaten schaltet MS den „NetJoinLegacyAccountReuse" Key wohl ab. Viele (Alle?) Firmen müssen also jetzt wieder ran.

Ich kann noch nicht beurteilen, ob MS hier zurückrudert oder alles nur noch Schlimmer macht. Ich warte selbst auf die Kollegen vom AD.

Eventuell kannst Du ja die „Welt" wieder wie im Oktober 2022 informieren. Dieses Mal steht es aber im eigentlichen Artikel drin und man muss (eigentlich) nicht suchen, aber die Bedeutung und den Testaufwand und Umstellungsaufwand könnten manche unterschätzen.

Ich hatte das Thema voriges Jahr im Blog-Beitrag Windows Oktober 2022-Patchday: Fix für Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join aufgegriffen. Im Oktober 2023 gibt es also die nächste Änderung – aber der Hinweis des Lesers auf den Testaufwand hat mich bewogen, das Thema hier erneut anzureißen.

Microsofts Zeitplan als Übersicht

Den Kollegen hier ist vor einigen Tagen der Microsoft-Beitrag Latest Windows hardening guidance and key dates vom 28. April 2023 aufgefallen, wo Microsoft die verschiedenen Termine für diverse Härtungsmaßnahmen auflistet. Ich habe die relevanten Daten mal herausgezogen:

Hardening changes by month

Consult the details for all upcoming hardening changes by month to help you plan for each phase and final enforcement.

April 2023

  • Netlogon protocol changes KB5021130 | Phase 2
    Initial enforcement; removes the ability to disable RPC sealing by setting value 0 to the RequireSeal registry subkey.
  • Certificate-based authentication KB5014754 | Phase 2
    Removes Disabled mode.

June 2023

  • Netlogon protocol changes KB5021130 | Phase 3
    Enforcement by default. RequireSeal subkey will be moved to Enforcement mode unless you explicitly configure it to be under Compatibility mode.
  • Kerberos PAC Signatures KB5020805 | Phase 3
    Removes the ability to disable PAC signature addition by setting the KrbtgtFullPacSignature subkey to a value of 0.

July 2023

  • Netlogon protocol changes KB5021130 | Phase 4
    Final enforcement. RequireSeal subkey will be moved to Enforcement mode unless you explicitly configure it to be under Compatibility mode.
  • Kerberos PAC Signatures KB5020805 | Phase 4
    Enforcement mode as default (KrbtgtFullPacSignature = 3), which you can override with an explicit Audit setting.

October 2023

  • Kerberos PAC Signatures KB5020805 | Phase 5
    Final, full enforcement.

November 2023

  • Certificate-based authentication KB5014754 | Phase 3
    Final, full enforcement.

January 2024

  • Active Directory (AD) permissions issue KB5008383 | Phase 5

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Windows-Härtung: Termine 2023

  1. 1ST1 sagt:

    Hatte jemand mit den bisherigen Änderungen Probleme, wenn ja, welche?

    • Jan sagt:

      Hallo 1ST1,

      Bisher mussten wir (glücklicherweise) nur alte Systeme, die eh nicht mehr unterstützt werden, abschalten und ersetzen.

      Wir benutzen allerdings auch für die Anmeldung PIV Zertifikate bin gespannt ob die kommenden Updates das nicht kaputt machen.

    • Damiel sagt:

      Keine. Ich habe KB5014754, KB5021130 und KB5020805 auch bereits vorab scharf geschaltet (mit RequireSeal=2, KrbtgtFullPacSignature=3, StrongCertificateBindingEnforcement=2, CertificateMappingMethods=0x18).

      Einen etwas holprigen Start hatte ich mit dem Einsatz der "Protected Users"-Gruppe. Aber das ist ja ein anderes Thema und völlig optional.

      • Peter sagt:

        Welche Probleme hattest du denn konkret mit der "Protected Users"-Gruppe ? Die setzen wir nämlich auch ein, daher würde mich das brennend interessieren :)

        Danke!

        • Damiel sagt:

          Es gab einige wenige User, die sich nicht mehr anmelden konnten, nachdem ich sie in die Protected-Users-Gruppe aufgenommen habe.

          Ein Passwort-Reset durch den Admin hat das Problem gelöst. Was aber etwas seltsam ist. Ich hatte mal sowas vernommen, dass es Konstellationen gibt, bei denen das Passwort im AD nicht mit der passenden Verschlüsselung abgelegt ist, um Protected User bzw. Kerberos-Anmeldung zu ermöglichen. Daher habe ich extra alle User vor der Aufnahme in die Gruppe das Passwort neu setzten lassen. Irgendwie hat das aber in ein paar Fällen nicht geklappt.

  2. Hermann sagt:

    Sehr gute Übersicht – Danke!

  3. js sagt:

    Empfehlenswerte Vervollständigung, über die der MS Blogger vermutlich gestolpert war:
    "Microsoft Ticking Timebombs" bei Reddit.
    Microsoft Ticking Timebombs – April 2023 Edition

  4. Thomas sagt:

    Ich verfolge das Thema nur peripher am Rande. Mir ist gar nicht klar, was hier am Ende behandelt wird. Kann mich da jemand aufklären? Was passiert, wenn man "einfach patcht" und die Komponenten bisher so nicht im Einsatz hatte?

    • Günter Born sagt:

      Es passiert imho nix, wenn Du die Komponenten nicht einsetzt. Die Liste ist für die Administratoren in Firmenumgebungen, die wissen, dass es Probleme gibt und die über Schlüssel bisher die Härtungsmaßnahmen deaktiviert haben. Irgendwann schaltet Microsoft diese Möglichkeit per Update ab (Enforcement Mode). Wer bis dahin nicht reagiert und seine Netzwerke umgestellt hat, läuft dann in ein Problem.

    • Damiel sagt:

      Das sind alles Sicherheitskorrekturen, bei denen Netzwerkprotokolle verändert werden müssen, die in einem Windows-Netzwerk "gesprochen" werden. Damit es keine Nebenwirkungen gibt, müssen ALLE beteiligten PCs, Geräte usw. gepatcht sein, bevor endgültig auf ein geändertes Netzwerkprotokoll umgestellt wird. Daher werden hier zeitlich gestaffelt die Änderungen in mehreren Schritten ausgerollt.

      Das alles ist nur relevant, wenn du ein Domäne mit Windows Server und Active Directory betreibst (dann aber ganz bestimmt). Ein einzelner privat genutzter PC ist nicht betroffen.

  5. yoyobo sagt:

    Moin,

    sehe ich das richtig, dass ich im „Idealfall" keine zusätzlichen Maßnahmen durchführen muss?
    Wenn ich bisher diese Einstellungen nicht angefasst habe, dann gibt es keine Auswirkungen und es funktioniert einfach weiterhin?

    Danke und viele Grüße
    Johannes

    • Damiel sagt:

      Sofern du nur aktuelle Clients hast (also Windows 10 oder 11 auf aktuellem Patchstand), musst du nichts tun und es sollte einfach weiterhin funktionieren.

      Du KANNST aber etwas tun, um die Sicherheit zu verbessern, indem du die Protokolländerungen bereits jetzt erzwingst, schon bevor das Microsoft mit zukünftigen Updates macht.

      Probleme sind zu erwarten, wenn du Clients hast, die mit den Protokolländerungen nicht zurecht kommen. Also z. B. alte Windows-Versionen oder so etwas wie Scanner, die selbsttätig auf SMB-Shares speichern.

  6. Heinsolo sagt:

    Kommentar kurz und knackig: VIELEN DANK wie immer für das Aufbereiten der Schritte und die damit verbundene Arbeit. EInfach toll!

  7. Johannes sagt:

    Ich hab letztes Jahr extra noch einen "stillgelegten" Windows 2003 Server im AD gelassen um zu verifizieren, dass die entsprechenden Warnhinweise in der Ereignisanzeige kommen. Sie kommen! Ich habe noch drei Win7 im Netz, die ich aktuell ungern aktualisieren möchte – bisher gab es zu den PCs auch keine Hinweise im Log. Hat jemand schon alles gehärtet und mit Win7 Probleme?

  8. Günther sagt:

    Das würde mich auch interessieren. Gibt es jemanden?

    • enrgy sagt:

      Einer unserer Kunden hat noch ca. 50 W7 im Einsatz, heute Nacht werden die Server gepatcht. Mal sehen, was morgen da los ist.
      Gewarnt vor EOL W7 wurden sie seit Jahren, aber "was das kostet"…

  9. 2008er sagt:

    Habe ich das richtig verstanden, dass dies auch das endgültige Aus für 2008er (R2) DC's bedeutet?

  10. Sebastian sagt:

    Hallo Zusammen

    Ich schliesse mich dem Beitrag von "Thomas" an. Ich verstehe nicht, welche Geräte, Systeme und Dienste von diesem "Hardening" betroffen sind? Sprich in welcher Konstelation. Kann das jemand in einfachen Worten erklären?

    Für wen stellen diese Updates ein Problem dar und für wen nicht?

    Wenn ich mir überlege, was für Systeme noch im Einsatz sind, dann hoffe ich doch, dass dies nicht zu grösseren Problemen führt.

    a) Windows 7 –> Sind bereits alle aus der Domäne entfernt und abgekapselt worden.
    b) Windows Server 2008R2 –> Applikationsserver aller Art. Sind noch in der Domäne.
    c) NAS –> Mir sind zwei NAS bekannt, welche über LDAP eingebunden sind. Problem?
    d) Drucker –> Diese Scannen auf Netzwerkfreigaben. Sind wegen Office 365 alle relativ neu und können TSL1.2 etc.

    Bei allen Kunden sind alle DC's mindestens auf 2012R2. Die Mehrheit 2019 oder 2022.

  11. Bent sagt:

    Bei uns wurden die Registry-Werte nicht wie erwartet durch das Update geändert.

    Haben den ersten DC (Server 2022) gepatcht und danach sehen die Werte der Registry-Keys unverändert aus.

    Netlogon-Protokolländerungen:
    Bei uns wurde der "RequireSeal" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters nicht in den Erzwingungsmodus versetzt. Der Wert ist immer noch 1 und nicht 2 wie erwartet.

    Kerberos-Protokolländerungen:
    Auch der Wert von KrbtgtFullPacSignature unter Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
    wurde bei uns nicht auf 0 gesetzt wie von MS beschrieben.

    Hat jemand dieselben Erfahrungen gemacht?

  12. Rene sagt:

    Hallo Günter,

    hast du das schon gesehen?

    https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16?WT.mc_id=M365-MVP-6771

    MS hat den Termin im November für das KDC Full Enforcement Hardening auf Februar 2025 verschoben…. Ich war gerade für unsere MACs die Serials der Certs byteweise am umdrehen, da ist mir das im KB aufgefallen…. wenn die Spezis bei MS gleich 1,5 Jahre verschieben, dann hat das sicher einen sehr triftigen Grund…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.