تاريخ النشر الأصلي: 8 أبريل 2025
معرف KB: 5057784
|
تغيير التاريخ |
تغيير الوصف |
|
22 يوليو 2025 |
|
|
9 مايو 2025 |
|
في هذه المقالة
الملخص
تحتوي تحديثات أمان Windows التي تم إصدارها في 8 أبريل 2025 أو بعد ذلك على حماية لثغرة أمنية باستخدام مصادقة Kerberos. يوفر هذا التحديث تغييرا في السلوك عندما يكون المرجع المصدر للشهادة المستخدمة للمصادقة المستندة إلى الشهادة (CBA) لمدير الأمان موثوقا به، ولكن ليس في مخزن NTAuth، ويكون تعيين معرف مفتاح الموضوع (SKI) موجودا في سمة altSecID لمدير الأمان باستخدام المصادقة المستندة إلى الشهادة. لمعرفة المزيد حول هذه الثغرة الأمنية، يرجى الاطلاع على CVE-2025-26647.
اتخاذ إجراء
للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصي بالخطوات التالية:
-
قم بتحديث جميع وحدات التحكم بالمجال باستخدام تحديث Windows تم إصداره في 8 أبريل 2025 أو بعده.
-
مراقبة الأحداث الجديدة التي ستكون مرئية على وحدات التحكم بالمجال لتحديد المراجع المصدقة المتأثرة.
-
تمكين يتم الآن استخدام وضع الإنفاذ بعد بيئتك فقط شهادات تسجيل الدخول الصادرة عن السلطات الموجودة في مخزن NTAuth.
سمات altSecID
يسرد الجدول التالي جميع سمات معرفات الأمان البديلة (altSecIDs) و altSecIDs التي تتأثر بهذا التغيير.
|
قائمة سمات الشهادة التي يمكن تعيينها إلى altSecIDs |
AltSecIDs التي تتطلب شهادة مطابقة للتسلسل إلى مخزن NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
المخطط الزمني للتغييرات
8 أبريل 2025: مرحلة التوزيع الأولي - وضع التدقيق
تبدأ مرحلة التوزيع الأولية (وضع التدقيق ) بالتحديثات التي تم إصدارها في 8 أبريل 2025. تغير هذه التحديثات السلوك الذي يكتشف ارتفاع الثغرة الأمنية للامتيازات الموضحة في CVE-2025-26647 ولكنه لا يفرضها في البداية.
أثناء وجوده في وضع التدقيق ، سيتم تسجيل معرف الحدث: 45 على وحدة التحكم بالمجال عندما يتلقى طلب مصادقة Kerberos مع شهادة غير آمنة. سيتم السماح بطلب المصادقة ولا يتوقع حدوث أخطاء في العميل.
لتمكين التغيير في السلوك وتأمينه من الثغرة الأمنية، يجب التأكد من تحديث جميع وحدات تحكم مجال Windows بإصدار تحديث Windows في 8 أبريل 2025 أو بعده، وتعيين إعداد مفتاح التسجيل AllowNtAuthPolicyBypass إلى 2 لتكوين وضع الإنفاذ .
عندما تكون في وضع الإنفاذ ، إذا تلقت وحدة التحكم بالمجال طلب مصادقة Kerberos بشهادة غير آمنة، فستسجل معرف الحدث القديم: 21 وترفض الطلب.
لتشغيل الحماية التي يوفرها هذا التحديث، اتبع الخطوات التالية:
-
تطبيق تحديث Windows الذي تم إصداره في 8 أبريل 2025 أو بعده على جميع وحدات التحكم بالمجال في بيئتك. بعد تطبيق التحديث، يتم تعيين الإعداد AllowNtAuthPolicyBypass افتراضيا إلى 1 (تدقيق) والذي يمكن التحقق من NTAuth وأحداث تحذير سجل التدقيق.مهم إذا لم تكن مستعدا للمتابعة لتطبيق الحماية التي يوفرها هذا التحديث، فقم بتعيين مفتاح التسجيل إلى 0 لتعطيل هذا التغيير مؤقتا. راجع قسم معلومات مفتاح التسجيل لمزيد من المعلومات.
-
مراقبة الأحداث الجديدة التي ستكون مرئية على وحدات التحكم بالمجال لتحديد المراجع المصدقة المتأثرة التي ليست جزءا من مخزن NTAuth. معرف الحدث الذي تحتاج إلى مراقبته هو معرف الحدث: 45. راجع قسم أحداث التدقيق لمزيد من المعلومات حول هذه الأحداث.
-
تأكد من أن جميع شهادات العميل صالحة ومسلسلة بمرجع مصدق موثوق به للإصدار في مخزن NTAuth.
-
بعد كل معرف الحدث: يتم حل 45 حدثا، ثم يمكنك المتابعة إلى وضع الإنفاذ . للقيام بذلك، قم بتعيين قيمة سجل AllowNtAuthPolicyBypass إلى 2. راجع قسم معلومات مفتاح التسجيل لمزيد من المعلومات.ملاحظه نوصي بتأخير إعداد AllowNtAuthPolicyBypass = 2 مؤقتا حتى بعد تطبيق تحديث Windows الذي تم إصداره بعد مايو 2025 على وحدات التحكم بالمجال التي تقدم خدمة المصادقة المستندة إلى الشهادة الموقعة ذاتيا المستخدمة في سيناريوهات متعددة. يتضمن ذلك وحدات التحكم بالمجال التي تعمل Windows Hello للأعمال Key Trust ومصادقة المفتاح العام للجهاز المرتبط بالمجال.
يوليو 2025: يتم فرضه حسب المرحلة الافتراضية
سيفرض التحديثات الذي تم إصداره في يوليو 2025 أو بعده فحص متجر NTAuth بشكل افتراضي. سيظل إعداد مفتاح التسجيل AllowNtAuthPolicyBypass يسمح للعملاء بالانتقال مرة أخرى إلى وضع التدقيق إذا لزم الأمر. ومع ذلك، ستتم إزالة القدرة على تعطيل تحديث الأمان هذا تماما.
أكتوبر 2025: وضع الإنفاذ
التحديثات تم إصداره في أكتوبر 2025 أو بعده سيتوقف دعم Microsoft لمفتاح تسجيل AllowNtAuthPolicyBypass. في هذه المرحلة، يجب إصدار جميع الشهادات من قبل السلطات التي تعد جزءا من متجر NTAuth.
إعدادات التسجيل وسجلات الأحداث
معلومات مفتاح التسجيل
يسمح مفتاح التسجيل التالي بمراجعة السيناريوهات الضعيفة ثم فرض التغيير بمجرد معالجة الشهادات الضعيفة. لا تتم إضافة مفتاح التسجيل تلقائيا. إذا كنت بحاجة إلى تغيير السلوك، يجب عليك إنشاء مفتاح التسجيل يدويا وتعيين القيمة التي تحتاجها. لاحظ أن سلوك نظام التشغيل عندما يكون مفتاح التسجيل غير مكون سيعتمد على مرحلة التوزيع التي يوجد فيها.
AllowNtAuthPolicyBypass
|
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
القيمة |
AllowNtAuthPolicyBypass |
|
|
نوع البيانات |
REG_DWORD |
|
|
بيانات القيمة |
0 |
تعطيل التغيير بالكامل. |
|
1 |
ينفذ حدث التحقق من NTAuth وتحذير السجل الذي يشير إلى الشهادة التي تم إصدارها من قبل مرجع ليس جزءا من مخزن NTAuth (وضع التدقيق). (السلوك الافتراضي بدءا من إصدار 8 أبريل 2025.) |
|
|
2 |
قم بإجراء فحص NTAuth وإذا فشل لا يسمح بتسجيل الدخول. سجل الأحداث العادية (الموجودة) لفشل AS-REQ مع رمز خطأ يشير إلى فشل فحص NTAuth (الوضع المفروض ). |
|
|
التعليقات |
يجب تكوين إعداد تسجيل AllowNtAuthPolicyBypassفقط على Windows KDCs التي قامت بتثبيت تحديثات Windows التي تم إصدارها في أبريل 2025 أو بعده. |
|
أحداث التدقيق
معرف الحدث: 45 | حدث تدقيق التحقق من متجر NT Auth
يجب على المسؤولين مراقبة الحدث التالي الذي تمت إضافته بواسطة تثبيت تحديثات Windows التي تم إصدارها في 8 أبريل 2025 أو بعده. إذا كانت موجودة، فهذا يعني أنه تم إصدار شهادة من قبل مرجع ليس جزءا من مخزن NTAuth.
|
سجل الأحداث |
نظام السجل |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kerberos-Key-Distribution-Center |
|
معرف الحدث |
45 |
|
نص الحدث |
واجه مركز توزيع المفاتيح (KDC) شهادة عميل صالحة ولكن غير مقيدة بجذر في مخزن NTAuth. يتم إهمال دعم الشهادات التي لا تتسلسل إلى مخزن NTAuth. دعم الشهادات التي تتسلسل إلى مخازن غير NTAuth مهملة وغير آمنة.راجع https://go.microsoft.com/fwlink/?linkid=2300705 لمعرفة المزيد. المستخدم: <اسم المستخدم> موضوع الشهادة:>موضوع الشهادة< مصدر الشهادة: <> مصدر الشهادة الرقم التسلسلي للشهادة:<الرقم التسلسلي للشهادة> بصمة إبهام الشهادة: >< CertThumbprint |
|
التعليقات |
|
معرف الحدث: 21 | حدث فشل AS-REQ
بعد معالجة حدث Kerberos-Key-Distribution-Center 45، يشير تسجيل هذا الحدث العام القديم إلى أن شهادة العميل لا تزال غير موثوق بها. قد يتم تسجيل هذا الحدث لأسباب متعددة، أحدها هو أن شهادة عميل صالحة غير مقيدة بمرجع مصدق إصدار في مخزن NTAuth.
|
سجل الأحداث |
نظام السجل |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kerberos-Key-Distribution-Center |
|
معرف الحدث |
21 |
|
نص الحدث |
شهادة العميل للمستخدم <Domain\UserName> غير صالحة وأسفرت عن فشل تسجيل الدخول إلى البطاقة الذكية. يرجى الاتصال بالمستخدم للحصول على مزيد من المعلومات حول الشهادة التي يحاول استخدامها لتسجيل الدخول إلى البطاقة الذكية. كانت حالة السلسلة : سلسلة شهادات تمت معالجتها بشكل صحيح، ولكن إحدى شهادات CA غير موثوق بها من قبل موفر النهج. |
|
التعليقات |
|
المشكلة المعروفة
أبلغ العملاء عن مشكلات في معرف الحدث: 45 ومعرف الحدث: 21 تم تشغيله بواسطة المصادقة المستندة إلى الشهادة باستخدام الشهادات الموقعة ذاتيا. للاطلاع على مزيد من المعلومات، يرجى الرجوع إلى المشكلة المعروفة الموثقة في حالة إصدار Windows:
-
Windows Server 2025: قد يفشل تسجيل الدخول مع Windows Hello في وضع الثقة الرئيسية وتسجيل أحداث Kerberos
-
Windows Server 2022: قد يفشل تسجيل الدخول مع Windows Hello في وضع الثقة الرئيسية وتسجيل أحداث Kerberos
-
Windows Server 2019: قد يفشل تسجيل الدخول مع Windows Hello في وضع الثقة الرئيسية وتسجيل أحداث Kerberos
-
Windows Server 2016: تسجيل الدخول قد يفشل مع Windows Hello في وضع الثقة الرئيسية وتسجيل أحداث Kerberos
