{"id":280366,"date":"2023-05-02T07:30:07","date_gmt":"2023-05-02T05:30:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280366"},"modified":"2023-05-02T13:08:59","modified_gmt":"2023-05-02T11:08:59","slug":"windows-hrtung-termine-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/02\/windows-hrtung-termine-2023\/","title":{"rendered":"Windows-Härtung: Termine 2023"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kleine Erinnerung f\u00fcr Administratoren im Windows-Umfeld. Auch in 2023 will Microsoft verschiedene H\u00e4rtungsma\u00dfnahmen f\u00fcr Windows-Systeme (DCOM-Authentifizierung, Kerberos, Netjoin\/Domain Join etc.) durchf\u00fchren. Diese H\u00e4rtungsma\u00dfnahmen werden stufenweise durch monatliche Updates ausgerollt. Auch wenn es k\u00fcrzlich erneut eine Verschiebung einer H\u00e4rtungsma\u00dfnahme gab, kommen in den kommenden Monaten einige Termine auf Windows-Administratoren zu, die man im Hinterkopf behalten sollte.<\/p>\n

<\/p>\n

\"\"Das Thema d\u00fcmpelt hier bei mir an verschiedenen Stellen. So hatte Microsoft seine Zeitpl\u00e4ne zur stufenweisen Anpassung am Netlogon-Protokoll (wegen CVE-2022-38023) und am Kerberos-Protokoll zwar vom 11. April 2023 auf den 13. Juni 2023 verschoben. Aber mit dem Windows-Update vom 11. April 2023 wurde bereits die M\u00f6glichkeit entfernt, die RPC-Versiegelung (RPC Sealing) in der Registry zu deaktivieren. Ich hatte das Thema k\u00fcrzlich im Beitrag Windows April 2023 Updates: Netlogon- und Kerberos Protokoll-\u00c4nderungen, es gibt Probleme<\/a> aufgegriffen.<\/p>\n

Ein Blog-Leser hatte mich zudem bereits im M\u00e4rz 2023, im Umfeld des Updates March 14, 2023\u2014KB5023706 (OS Build 22621.1413)<\/a> auf \u00c4nderungen beim NetJoin hingewiesen, die im Herbst relevant werden. Der Leser schrieb:<\/p>\n

Die Informationen in March 14, 2023\u2014KB5023706 (OS Build 22621.1413)<\/a> gilt aber f\u00fcr alle OS (W10, W11 21H2, W11 22H2)<\/p>\n

KB5020276\u2014Netjoin: Domain join hardening changes – Microsoft Support<\/a><\/p>\n

Alles Neue steht in [March 14] Klammern. In 6 Monaten schaltet MS den \u201eNetJoinLegacyAccountReuse\" Key wohl ab. Viele (Alle?) Firmen m\u00fcssen also jetzt wieder ran.<\/b><\/p>\n

Ich kann noch nicht beurteilen, ob MS hier zur\u00fcckrudert oder alles nur noch Schlimmer macht. Ich warte selbst auf die Kollegen vom AD.<\/p>\n

Eventuell kannst Du ja die \u201eWelt\" wieder wie im Oktober 2022 informieren. Dieses Mal steht es aber im eigentlichen Artikel drin und man muss (eigentlich) nicht suchen, aber die Bedeutung und den Testaufwand und Umstellungsaufwand k\u00f6nnten manche untersch\u00e4tzen.<\/p><\/blockquote>\n

Ich hatte das Thema voriges Jahr im Blog-Beitrag Windows Oktober 2022-Patchday: Fix f\u00fcr Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join<\/a> aufgegriffen. Im Oktober 2023 gibt es also die n\u00e4chste \u00c4nderung – aber der Hinweis des Lesers auf den Testaufwand hat mich bewogen, das Thema hier erneut anzurei\u00dfen.<\/p>\n

Microsofts Zeitplan als \u00dcbersicht<\/h2>\n

Den Kollegen hier<\/a> ist vor einigen Tagen der Microsoft-Beitrag Latest Windows hardening guidance and key dates<\/a> vom 28. April 2023 aufgefallen, wo Microsoft die verschiedenen Termine f\u00fcr diverse H\u00e4rtungsma\u00dfnahmen auflistet. Ich habe die relevanten Daten mal herausgezogen:<\/p>\n

\n

Hardening changes by month<\/h4>\n

Consult the details for all upcoming hardening changes by month to help you plan for each phase and final enforcement.<\/p>\n

April 2023<\/strong><\/p>\n