ينطبق على
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

تاريخ النشر الأصلي: أبريل 2023

معرف KB: 5036534

تغيير التاريخ

الوصف

8 أبريل 2025

  • تمت إضافة معلومات حول الحماية لثغرة أمنية باستخدام مصادقة Kerberos ل CVE-2025-26647.

19 فبراير 2025

  • تمت مراجعة صياغة قسم المقدمة.

  • تمت إزالة قسم "تصلب التغييرات في لمحة" لأن المعلومات قديمة.

  • تمت إضافة قسم "التغييرات الرئيسية الأخرى في Windows" للحصول على مراجع للميزات والوظائف التي لم تعد قيد التطوير في Windows.

30 يناير 2025

  • تمت إضافة إدخال يناير 2026 أو أحدث ضمن قسم "تقوية التغييرات حسب الشهر".

17 يناير 2025

  • تمت إضافة إدخالات أبريل 2024 وكانون الثاني/يناير 2025 ونيسان/أبريل 2025 ضمن قسم "تقوية التغييرات حسب الشهر".

10 مارس 2024

  • تمت مراجعة المخطط الزمني الشهري بإضافة المزيد من المحتوى ذي الصلة المتصلب وإزالة إدخال فبراير 2024 من المخطط الزمني لأنه لا يرتبط بالتصلب.

مقدمة

يعد التصلب عنصرا أساسيا في استراتيجيتنا الأمنية المستمرة للمساعدة في الحفاظ على حماية ممتلكاتك أثناء التركيز على وظيفتك. تستهدف التهديدات الإلكترونية الإبداعية بشكل متزايد نقاط الضعف في أي مكان ممكن، من الشريحة إلى السحابة.

تستعرض هذه المقالة المناطق المعرضة للخطر التي تخضع لتغييرات متشددة يتم تنفيذها عبر تحديثات أمان Windows. كما نقوم بنشر التذكيرات على مركز رسائل Windows لتنبيه مسؤولي تكنولوجيا المعلومات حول تقوية التواريخ الرئيسية أثناء اقترابهم.  

ملاحظة: سيتم تحديث هذه المقالة بمرور الوقت لتوفير أحدث المعلومات حول تقوية التغييرات والجداول الزمنية. يرجى الرجوع إلى قسم Change log لتعقب أحدث التغييرات.

تقوية التغييرات حسب الشهر

راجع تفاصيل التغييرات المتصلبة الأخيرة والقادبة حسب الشهر لمساعدتك في التخطيط لكل مرحلة والإنفاذ النهائي.

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة 2 مرحلة الإنفاذ الأولية. يزيل القدرة على تعطيل ختم RPC عن طريق تعيين القيمة 0 إلى مفتاح التسجيل RequireSeal الفرعي.

  • KB5014754 المصادقة المستندة إلى الشهادة | المرحلة 2 إزالة الوضع معطل.

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الأولى مرحلة التوزيع الأولي. التحديثات إصدار Windows في 9 مايو 2023 أو بعد ذلك معالجة الثغرات الأمنية التي تمت مناقشتها في CVE-2023-24932، والتغييرات على مكونات تمهيد Windows، وملفي إبطال يمكن تطبيقهما يدويا (نهج تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن المحدثة (DBX)).

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة الثالثة الإنفاذ بشكل افتراضي. سيتم نقل مفتاح Subkey RequireSeal إلى وضع الإنفاذ ما لم تقم بتكوينه بشكل صريح ليكون ضمن وضع التوافق.

  • توقيعات Kerberos PAC KB5020805 | المرحلة الثالثة مرحلة التوزيع الثالثة. يزيل القدرة على تعطيل إضافة توقيع PAC عن طريق تعيين المفتاح الفرعي KrbtgtFullPacSignature إلى قيمة 0.

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة الرابعة الإنفاذ النهائي. ستؤدي تحديثات Windows التي تم إصدارها في 11 يوليو 2023 إلى إزالة القدرة على تعيين القيمة 1 إلى المفتاح الفرعي لسجل RequireSeal. وهذا يمكن مرحلة الإنفاذ من CVE-2022-38023.

  • توقيعات Kerberos PAC KB5020805 | المرحلة الرابعة وضع الإنفاذ الأولي. يزيل القدرة على تعيين القيمة 1 ل KrbtgtFullPacSignature الفرعي، وينتقل إلى وضع الإنفاذ كافتراضي (KrbtgtFullPacSignature = 3)، والذي يمكنك تجاوزه بإعداد تدقيق صريح. 

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة 2 مرحلة التوزيع الثانية. تتضمن التحديثات لنظام التشغيل Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك التوزيع التلقائي لملفات الإبطال، وأحداث سجل الأحداث الجديدة للإبلاغ عما إذا كان نشر الإبطال ناجحا، وحزمة تحديث SafeOS الديناميكي ل WinRE.

  • توقيعات Kerberos PAC KB5020805 | المرحلة 5

    مرحلة الإنفاذ الكامل. يزيل دعم مفتاح التسجيل الفرعي KrbtgtFullPacSignature، ويزيل الدعم لوضع التدقيق ، وسيتم رفض مصادقة جميع تذاكر الخدمة بدون توقيعات PAC الجديدة.

  • تحديثات أذونات Active Directory (AD) KB5008383 | المرحلة 5 مرحلة التوزيع النهائية. يمكن أن تبدأ مرحلة التوزيع النهائية بمجرد إكمال الخطوات المدرجة في قسم "اتخاذ إجراء" في KB5008383. للانتقال إلى وضع الإنفاذ ، اتبع الإرشادات الواردة في قسم "إرشادات التوزيع" لتعيين البتين 28 و29 على السمة dSHeuristics . ثم راقب الأحداث 3044-3046. يبلغون عن وقت حظر وضع الإنفاذ لعملية إضافة أو تعديل LDAP التي ربما تم السماح بها مسبقا في وضع التدقيق

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة مرحلة التوزيع الثالثة. ستضيف هذه المرحلة عوامل تخفيف إضافية لمدير التمهيد. ستبدأ هذه المرحلة في موعد لا يتجاوز 9 أبريل 2024.

  • KB5037754 تغييرات التحقق من صحة PAC | مرحلة وضع التوافق

    تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 9 أبريل 2024. يضيف هذا التحديث سلوكا جديدا يمنع رفع الثغرات الأمنية للامتيازات الموضحة في CVE-2024-26248وCVE-2024-29056 ولكنه لا يفرضها ما لم يتم تحديث كل من وحدات تحكم مجال Windows وعملاء Windows في البيئة.

    لتمكين السلوك الجديد والتخفيف من الثغرات الأمنية، يجب التأكد من تحديث بيئة Windows بأكملها (بما في ذلك وحدات التحكم بالمجال والعملاء). سيتم تسجيل أحداث التدقيق للمساعدة في تحديد الأجهزة التي لم يتم تحديثها.

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة مرحلة الإنفاذ الإلزامي. سيتم فرض الإبطالات (نهج تمهيد تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن) برمجيا بعد تثبيت تحديثات Windows على جميع الأنظمة المتأثرة مع عدم وجود خيار لتعطيلها.

  • KB5037754 تغييرات التحقق من صحة PAC | الإنفاذ بشكل افتراضي

    سينقل التحديثات الذي تم إصداره في يناير 2025 أو بعده جميع وحدات التحكم في مجال Windows والعملاء في البيئة إلى الوضع المفروض. سيفرض هذا الوضع سلوكا آمنا بشكل افتراضي. ستتجاوز إعدادات مفتاح التسجيل الموجودة التي تم تعيينها مسبقا تغيير السلوك الافتراضي هذا.

    يمكن للمسؤول تجاوز إعدادات الوضع المفروض الافتراضي للعودة إلى وضع التوافق.

  • KB5014754 المصادقة المستندة إلى الشهادة | المرحلة الثالثة وضع الإنفاذ الكامل. إذا تعذر تعيين شهادة بقوة، رفض المصادقة.

  • تغييرات التحقق من صحة PAC KB5037754 | مرحلة الإنفاذ ستؤدي تحديثات أمان Windows التي تم إصدارها في أبريل 2025 أو بعده إلى إزالة دعم مفاتيح التسجيل الفرعية PacSignatureValidationLevel و CrossDomainFilteringLevel وفرض السلوك الآمن الجديد. لن يكون هناك دعم لوضع التوافق بعد تثبيت تحديث أبريل 2025.

  • حماية مصادقة Kerberos ل CVE-2025-26647 KB5057784 | وضع التدقيق تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 8 أبريل 2025. تضيف هذه التحديثات سلوكا جديدا يكتشف ارتفاع الثغرة الأمنية للامتيازات الموضحة في CVE-2025-26647 ولكنه لا يفرضها. لتمكين السلوك الجديد وتأمينه من الثغرة الأمنية، يجب التأكد من تحديث جميع وحدات تحكم مجال Windows وتعيين إعداد مفتاح التسجيل AllowNtAuthPolicyBypass إلى 2.

  • حماية مصادقة Kerberos ل CVE-2025-26647 KB5057784 | يتم فرضه حسب المرحلة الافتراضية التحديثات تم إصداره في يوليو 2025 أو بعده، سيفرض فحص NTAuth Store بشكل افتراضي. سيظل إعداد مفتاح التسجيل AllowNtAuthPolicyBypass يسمح للعملاء بالانتقال مرة أخرى إلى وضع التدقيق إذا لزم الأمر. ومع ذلك، ستتم إزالة القدرة على تعطيل تحديث الأمان هذا تماما.

  • حماية مصادقة Kerberos ل CVE-2025-26647 KB5057784 | وضع الإنفاذ ​​​​​​​التحديثات تم إصداره في أكتوبر 2025 أو بعده، سيتوقف دعم Microsoft لمفتاح تسجيل AllowNtAuthPolicyBypass. في هذه المرحلة، يجب إصدار جميع الشهادات من قبل السلطات التي تعد جزءا من متجر NTAuth.

  • حماية تجاوز التمهيد الآمن KB5025885 | مرحلة الإنفاذ لن تبدأ مرحلة الإنفاذ قبل يناير 2026، وسنقدم تحذيرا مسبقا لمدة ستة أشهر على الأقل في هذه المقالة قبل بدء هذه المرحلة. عند إصدار التحديثات لمرحلة الإنفاذ، ستتضمن ما يلي:

    • سيتم تلقائيا إبطال شهادة "WINDOWS Production PCA 2011" عن طريق إضافتها إلى قائمة Secure Boot UEFI المحظورة (DBX) على الأجهزة القادرة. سيتم فرض هذه التحديثات برمجيا بعد تثبيت تحديثات Windows على جميع الأنظمة المتأثرة مع عدم وجود خيار لتعطيلها.

التغييرات الرئيسية الأخرى في Windows

يضيف كل إصدار من عميل Windows Windows Server ميزات ووظائف جديدة. في بعض الأحيان، تقوم الإصدارات الجديدة أيضا بإزالة الميزات والوظائف، غالبا بسبب وجود خيار أحدث. يرجى الاطلاع على المقالات التالية للحصول على تفاصيل حول الميزات والوظائف التي لم تعد قيد التطوير في Windows.

العميل

الخادم

الحصول على آخر الأخبار

يرجى وضع إشارة مرجعية على مركز رسائل Windows للعثور على آخر التحديثات والتذكيرات بسهولة. وإذا كنت مسؤول تكنولوجيا المعلومات الذي لديه حق الوصول إلى مركز مسؤولي Microsoft 365، فقم بإعداد تفضيلات البريد الإلكتروني على مركز مسؤولي Microsoft 365 لتلقي إعلامات وتحديثات مهمة.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة