Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

تغيير التاريخ

تغيير الوصف

10 مارس 2024

تمت مراجعة المخطط الزمني الشهري بإضافة المزيد من المحتوى ذي الصلة المتصلب وإزالة إدخال فبراير 2024 من المخطط الزمني لأنه لا يرتبط بالتصلب.

المقدمة

يعد التصلب عنصرا أساسيا في استراتيجيتنا الأمنية المستمرة للمساعدة في الحفاظ على حماية ممتلكاتك أثناء التركيز على وظيفتك. تستهدف التهديدات الإلكترونية الإبداعية بشكل متزايد نقاط الضعف في أي مكان ممكن، من الشريحة إلى السحابة. هل شاهدت منشوراتنا حول التصلب على مركز رسائل Windows؟ تتضمن بعض تلك التي تم فرضها مؤخرا تصلب مصادقة DCOM وNetjoin: تقوية الانضمام إلى المجال. دعونا نراجع المناطق المعرضة للخطر التي تمر بتصلب في الأشهر القادمة.

ملاحظة: سيتم تحديث هذه المقالة بمرور الوقت لتوفير أحدث المعلومات حول تقوية التغييرات والجداول الزمنية. تاريخ التحديث الأخير: 10 مارس 2024.

تقوية التغييرات في لمحة

راجع المخطط الزمني المرئي للتركيز على التغييرات المحددة التي تهمك. ابحث عن تفاصيل كل مرحلة أدناه. 

تقوية التغييرات في 2023

الشكل 1: مخطط زمني مرئي للتغييرات المتصلبة التي تحدث في عام 2023.

تقوية التغييرات في 2024

الشكل 2:  مخطط زمني مرئي للتغييرات المتصلبة التي تحدث في عام 2024.

تقوية التغييرات حسب الشهر

راجع تفاصيل جميع تغييرات التصلب القادمة حسب الشهر لمساعدتك في التخطيط لكل مرحلة والإنفاذ النهائي.

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة 2 مرحلة الإنفاذ الأولية. يزيل القدرة على تعطيل ختم RPC عن طريق تعيين القيمة 0 إلى مفتاح التسجيل RequireSeal الفرعي.

  • KB5014754 المصادقة المستندة إلى الشهادة | المرحلة 2 إزالة الوضع معطل.

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الأولى مرحلة التوزيع الأولي. التحديثات إصدار Windows في 9 مايو 2023 أو بعد ذلك معالجة الثغرات الأمنية التي تمت مناقشتها في CVE-2023-24932، والتغييرات على مكونات تمهيد Windows، وملفي إبطال يمكن تطبيقهما يدويا (نهج تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن المحدثة (DBX)).

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة الثالثة الإنفاذ بشكل افتراضي. سيتم نقل مفتاح Subkey RequireSeal إلى وضع الإنفاذ ما لم تقم بتكوينه بشكل صريح ليكون ضمن وضع التوافق.

  • توقيعات Kerberos PAC KB5020805 | المرحلة الثالثة مرحلة التوزيع الثالثة. يزيل القدرة على تعطيل إضافة توقيع PAC عن طريق تعيين المفتاح الفرعي KrbtgtFullPacSignature إلى قيمة 0.

  • تغييرات بروتوكول Netlogon KB5021130 | المرحلة الرابعة الإنفاذ النهائي. ستؤدي تحديثات Windows التي تم إصدارها في 11 يوليو 2023 إلى إزالة القدرة على تعيين القيمة 1 إلى المفتاح الفرعي لسجل RequireSeal. وهذا يمكن مرحلة الإنفاذ من CVE-2022-38023.

  • توقيعات Kerberos PAC KB5020805 | المرحلة الرابعة وضع الإنفاذ الأولي. يزيل القدرة على تعيين القيمة 1 ل KrbtgtFullPacSignature الفرعي، وينتقل إلى وضع الإنفاذ كافتراضي (KrbtgtFullPacSignature = 3)، والذي يمكنك تجاوزه بإعداد تدقيق صريح. 

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة 2 مرحلة التوزيع الثانية. تتضمن التحديثات لنظام التشغيل Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك التوزيع التلقائي لملفات الإبطال، وأحداث سجل الأحداث الجديدة للإبلاغ عما إذا كان نشر الإبطال ناجحا، وحزمة تحديث SafeOS الديناميكي ل WinRE.

  • توقيعات Kerberos PAC KB5020805 | المرحلة 5

    مرحلة الإنفاذ الكامل. يزيل دعم مفتاح التسجيل الفرعي KrbtgtFullPacSignature، ويزيل الدعم لوضع التدقيق ، وسيتم رفض مصادقة جميع تذاكر الخدمة بدون توقيعات PAC الجديدة.

  • تحديثات أذونات Active Directory (AD) KB5008383 | المرحلة 5 مرحلة التوزيع النهائية. يمكن أن تبدأ مرحلة التوزيع النهائية بمجرد إكمال الخطوات المدرجة في قسم "اتخاذ إجراء" في KB5008383. للانتقال إلى وضع الإنفاذ ، اتبع الإرشادات الواردة في قسم "إرشادات التوزيع" لتعيين البتين 28 و29 على السمة dSHeuristics . ثم راقب الأحداث 3044-3046. يبلغون عن وقت حظر وضع الإنفاذ لعملية إضافة أو تعديل LDAP التي ربما تم السماح بها مسبقا في وضع التدقيق

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة مرحلة التوزيع الثالثة. ستضيف هذه المرحلة عوامل تخفيف إضافية لمدير التمهيد. ستبدأ هذه المرحلة في موعد لا يتجاوز 9 أبريل 2024.

  • حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة مرحلة الإنفاذ الإلزامي. سيتم فرض الإبطالات (نهج تمهيد تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن) برمجيا بعد تثبيت تحديثات Windows على جميع الأنظمة المتأثرة مع عدم وجود خيار لتعطيلها.

  • KB5014754 المصادقة المستندة إلى الشهادة | المرحلة الثالثة وضع الإنفاذ الكامل. إذا تعذر تعيين شهادة بقوة، فسيتم رفض المصادقة.

الحصول على آخر الأخبار

يرجى وضع إشارة مرجعية على مركز رسائل Windows للعثور على آخر التحديثات والتذكيرات بسهولة. وإذا كنت مسؤول تكنولوجيا المعلومات الذي لديه حق الوصول إلى مركز مسؤولي Microsoft 365، فقم بإعداد تفضيلات البريد الإلكتروني على مركز مسؤولي Microsoft 365 لتلقي إعلامات وتحديثات مهمة.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider