Wichtige Daten zur Windows-Härtung in 2024

[English]Kurzer Hinweis vor dem ersten Patchday im Jahr 2024. Microsoft führt ja für Windows (Clients und Server) sogenannte Härtungsmaßnahmen über längere Zeiträume durch, wo zu bestimmten Stichtagen Funktionen per Windows Update gesichert werden. Auch im Jahr 2024 stehen einige dieser Härtungsmaßnahmen an, wobei als letzte Maßnahme zum 15. Dezember 2023 beim Active Directory (AD) Permissions-Problem die Final Enforcement-Phase begonnen hat.

Die Härtung von Windows gegen Sicherheitsbedrohungen ist  ein Schlüsselelement von Microsofts fortlaufenden Sicherheitsstrategie zum Schützen der Installationen. Es geht dabei um Maßnahmen wie die Härtung der DCOM-Authentifizierung oder die Härtung von Netjoin: Domain Join. Von Microsoft gibt es einen Techcommunity-Artikel Latest Windows hardening guidance and key dates, der letztmalig zum 27. November 2023 aktualisiert wurde.

Ich bin die Nacht über obigen Tweet von Thorsten auf die Thematik aufmerksam geworden und dachte dass ich das Ganze kurz teile – zumal auch hier im Blog noch ein Kommentar zum Thema Domain-Join existiert.

Härtungen ab 2024

Nachfolgendes Bild zeigt die "Hardening changes" für das Jahr 2024 – wobei im Techcommunity-Beitrag durch Microsoft folgende Termine genannt werden:

• Januar 2024: Active Directory (AD) permissions issue KB5008383 | Phase 5, Final enforcement. Bei Update KB5008383 dreht es sich um Active Directory-Berechtigungsupdates, um Systeme gegen CVE-2021-42291 zu härten. CVE-2021-42291 behebt eine Schwachstelle, die es bestimmten Benutzern ermöglicht, beliebige Werte für sicherheitsrelevante Attribute bestimmter in Active Directory (AD) gespeicherter Objekte festzulegen. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Benutzer über ausreichende Berechtigungen verfügen, um ein Computerkonto zu erstellen, z. B. wenn ein Benutzer CreateChild-Berechtigungen für Computerobjekte erteilt hat. Dieser Benutzer kann ein Computerkonto mit einem Lightweight Directory Access Protocol (LDAP) Add-Aufruf erstellen, der einen übermäßig permissiven Zugriff auf das securityDescriptor -Attribut ermöglicht. Außerdem können Ersteller und Besitzer sicherheitsrelevante Attribute nach der Erstellung eines Kontos ändern. Details sind dem verlinkten KB-Artikel zu entnehmen.
• Februar 2024: Netjoin KB5020276 Workaround soll deaktiviert werden. Dieser Punkt ist in obigem Techcommunity-Beitrag nicht erwähnt, aber Matthias Pierschel hat diesen Kommentar hier im Blog hinterlassen (danke dafür) und schrieb: "Laut Microsoft soll der Workaround im kommenden Jahr deaktiviert werden: Wir planen auch, die ursprüngliche NetJoinLegacyAccountReuse-Registrierungseinstellung in einem zukünftigen Windows-Update zu entfernen. Diese Entfernung ist vorläufig für das Update vom 13. Februar 2024 geplant. Veröffentlichungsdaten können sich ändern. [Ende – September 2023]". Details sind dem verlinkten KB-Artikel zu entnehmen.
• First quarter of 2024: Secure Boot bypass protections KB5025885 | Phase 3; Full, final enforcement. Bezieht sich auf Windows 10/11 Clients und Windows Server 2012 R2. Details sind dem verlinkten KB-Artikel zu entnehmen.

Im ersten Quartal 2025 wird dann noch finale Phase 3 (full enforcement mode) bei der Certificate-based authentication eingeleitet. Vielleicht hilft es, falls jemand aus dem Kreis der Administratoren diese Themen nicht auf dem Radar hatte.