目录
1、概述
2、采取行动
3、Windows 更新的时间安排
4、注册表键值信息
5、Windows Event Viewer 日志
6、FAQ
参考链接
1、概述
CVE-2021-42287 解决了影响 Kerberos 特权属性证书(Privilege Attribute Certificate,PAC)并允许潜在攻击者冒充域控制器的安全绕过漏洞。利用此漏洞,受感染的域帐户可能会导致密钥分发中心(Key Distribution Center,KDC)创建具有比受感染帐户更高权限级别的服务票证。它通过阻止 KDC 识别更高权限服务票证用于哪个帐户来实现此目的。
CVE-2021-42287 中改进的身份验证过程向 Kerberos 票证授予票证(Ticket-Granting Ticket,TGT)的 PAC 添加了有关原始请求者的新信息。稍后,当为帐户生成 Kerberos 服务票证时,新的身份验证过程将验证请求 TGT 的帐户是否与服务票证中引用的帐户相同。安装日期为 2021 年 11 月 9 日(November 9, 2021)或之后的 Windows 更新后,PAC 将添加到所有域帐户的 TGT,即使是那些以前选择拒绝 PAC 的帐户。
2、采取行动
为了保护您的环境并避免中断,请完成以下步骤:
1)通过安装 2021 年 11 月 9