KB5036534: أحدث إرشادات تقوية Windows والتواريخ الرئيسية

تغييرات بروتوكول Netlogon KB5021130 | المرحلة 2

مرحلة الإنفاذ الأولية. يزيل القدرة على تعطيل ختم RPC عن طريق تعيين القيمة 0 إلى مفتاح التسجيل RequireSeal الفرعي.

KB5014754 المصادقة المستندة إلى الشهادة | المرحلة 2

إزالة الوضع معطل.

حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الأولى

مرحلة التوزيع الأولي. التحديثات إصدار Windows في 9 مايو 2023 أو بعد ذلك معالجة الثغرات الأمنية التي تمت مناقشتها في CVE-2023-24932، والتغييرات على مكونات تمهيد Windows، وملفي إبطال يمكن تطبيقهما يدويا (نهج تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن المحدثة (DBX)).

تغييرات بروتوكول Netlogon KB5021130 | المرحلة الثالثة

الإنفاذ بشكل افتراضي. سيتم نقل مفتاح Subkey RequireSeal إلى وضع الإنفاذ ما لم تقم بتكوينه بشكل صريح ليكون ضمن وضع التوافق.

توقيعات Kerberos PAC KB5020805 | المرحلة الثالثة

مرحلة التوزيع الثالثة. يزيل القدرة على تعطيل إضافة توقيع PAC عن طريق تعيين المفتاح الفرعي KrbtgtFullPacSignature إلى قيمة 0.

تغييرات بروتوكول Netlogon KB5021130 | المرحلة الرابعة

الإنفاذ النهائي. ستؤدي تحديثات Windows التي تم إصدارها في 11 يوليو 2023 إلى إزالة القدرة على تعيين القيمة 1 إلى المفتاح الفرعي لسجل RequireSeal. وهذا يمكن مرحلة الإنفاذ من CVE-2022-38023.

توقيعات Kerberos PAC KB5020805 | المرحلة الرابعة

وضع الإنفاذ الأولي. يزيل القدرة على تعيين القيمة 1 ل KrbtgtFullPacSignature الفرعي، وينتقل إلى وضع الإنفاذ كافتراضي (KrbtgtFullPacSignature = 3)، والذي يمكنك تجاوزه بإعداد تدقيق صريح. 

حماية تجاوز التمهيد الآمن KB5025885 | المرحلة 2

مرحلة التوزيع الثانية. تتضمن التحديثات لنظام التشغيل Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك التوزيع التلقائي لملفات الإبطال، وأحداث سجل الأحداث الجديدة للإبلاغ عما إذا كان نشر الإبطال ناجحا، وحزمة تحديث SafeOS الديناميكي ل WinRE.

توقيعات Kerberos PAC KB5020805 | المرحلة 5

مرحلة الإنفاذ الكامل. يزيل دعم مفتاح التسجيل الفرعي KrbtgtFullPacSignature، ويزيل الدعم لوضع التدقيق ، وسيتم رفض مصادقة جميع تذاكر الخدمة بدون توقيعات PAC الجديدة.

تحديثات أذونات Active Directory (AD) KB5008383 | المرحلة 5

مرحلة التوزيع النهائية. يمكن أن تبدأ مرحلة التوزيع النهائية بمجرد إكمال الخطوات المدرجة في قسم "اتخاذ إجراء" في KB5008383. للانتقال إلى وضع الإنفاذ ، اتبع الإرشادات الواردة في قسم "إرشادات التوزيع" لتعيين البتين 28 و29 على السمة dSHeuristics . ثم راقب الأحداث 3044-3046. يبلغون عن وقت حظر وضع الإنفاذ لعملية إضافة أو تعديل LDAP التي ربما تم السماح بها مسبقا في وضع التدقيق . 

حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة

مرحلة التوزيع الثالثة. ستضيف هذه المرحلة عوامل تخفيف إضافية لمدير التمهيد. ستبدأ هذه المرحلة في موعد لا يتجاوز 9 أبريل 2024.

حماية تجاوز التمهيد الآمن KB5025885 | المرحلة الثالثة

مرحلة الإنفاذ الإلزامي. سيتم فرض الإبطالات (نهج تمهيد تكامل التعليمات البرمجية وقائمة عدم السماح بالتمهيد الآمن) برمجيا بعد تثبيت تحديثات Windows على جميع الأنظمة المتأثرة مع عدم وجود خيار لتعطيلها.

KB5014754 المصادقة المستندة إلى الشهادة | المرحلة الثالثة

وضع الإنفاذ الكامل. إذا تعذر تعيين شهادة بقوة، فسيتم رفض المصادقة.