Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

تاريخ النشر الأصلي: 9 أبريل 2024

معرف KB: 5037754

سينتهي دعم Windows 10 في أكتوبر 2025

بعد 14 أكتوبر 2025، لن توفر Microsoft تحديثات البرامج المجانية من Windows Update، أو المساعدة التقنية، أو إصلاحات الأمان لـ Windows 10. سيظل الكمبيوتر يعمل، ولكننا نوصي بالانتقال إلى Windows 11.

معرفة المزيد

تغيير التاريخ

الوصف

9 يناير 2025

ضمن "يناير 2025: يتم فرضه افتراضيا" في "قسم المخطط الزمني للتغييرات"، أكد أن إعدادات مفتاح التسجيل الحالية ستتجاوز السلوك الافتراضي للتحديثات التي تم إصدارها في يناير 2025 أو بعده.

1 أكتوبر 2024

تغيير المرحلة المفروضة افتراضيا من أكتوبر 2024 إلى يناير 2025.

الملخص

تتناول تحديثات أمان Windows التي تم إصدارها في 9 أبريل 2024 أو بعد ذلك رفع الثغرات الأمنية للامتيازات باستخدام بروتوكول التحقق من صحة Kerberos PAC. شهادة سمة الامتياز (PAC) هي ملحق لتذاكر خدمة Kerberos. يحتوي على معلومات حول المستخدم المصادق وامتيازاته. يعمل هذا التحديث على إصلاح ثغرة أمنية حيث يمكن لمستخدم العملية انتحال التوقيع لتجاوز عمليات التحقق من صحة توقيع PAC التي تمت إضافتها في KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967.

بالإضافة إلى ذلك، يعالج هذا التحديث ثغرة أمنية في سيناريوهات معينة عبر الغابات. لمعرفة المزيد حول هذه الثغرات الأمنية، تفضل بزيارة CVE-2024-26248وCVE-2024-29056.

اتخاذ إجراء

مهملن تعالج الخطوة 1 لتثبيت التحديث الذي تم إصداره في 9 أبريل 2024 أو بعده مشكلات الأمان بشكل كامل في CVE-2024-26248وCVE-2024-29056 بشكل افتراضي. للتخفيف تماما من مشكلة الأمان لجميع الأجهزة، يجب الانتقال إلى الوضع المفروض (الموضح في الخطوة 3) بمجرد تحديث بيئتك بالكامل.

للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصي بالخطوات التالية:

  1. تحديث: يجب تحديث وحدات تحكم مجال Windows وعملاء Windows بتحديث أمان Windows تم إصداره في 9 أبريل 2024 أو بعده.

  2. مراقب: ستكون أحداث التدقيق مرئية في وضع التوافق لتحديد الأجهزة التي لم يتم تحديثها.

  3. تمكين: بعد تمكين وضع التنفيذ بالكامل في بيئتك، سيتم تخفيف الثغرات الأمنية الموضحة في CVE-2024-26248وCVE-2024-29056 .

الخلفية

عندما تقوم محطة عمل Windows بإجراء التحقق من صحة PAC على تدفق مصادقة Kerberos الوارد، فإنها تنفذ طلبا جديدا (تسجيل دخول تذكرة الشبكة) للتحقق من صحة تذكرة الخدمة. تتم إعادة توجيه الطلب في البداية إلى وحدة تحكم مجال (DC) لمجال محطات العمل من خلال Netlogon.

إذا كان حساب الخدمة وحساب الكمبيوتر ينتميان إلى مجالات مختلفة، يتم نقل الطلب عبر علاقات الثقة الضرورية من خلال Netlogon حتى يصل إلى مجال الخدمات؛ وإلا، يقوم DC في مجال حسابات أجهزة الكمبيوتر بإجراء التحقق من الصحة. ثم يستدعي DC مركز توزيع المفاتيح (KDC) للتحقق من صحة توقيعات PAC لتذكرة الخدمة ويرسل معلومات المستخدم والجهاز مرة أخرى إلى محطة العمل.

إذا تمت إعادة توجيه الطلب والرد عبر ثقة (في الحالة التي ينتمي فيها حساب الخدمة وحساب محطة العمل إلى مجالات مختلفة)، فإن كل DC عبر الثقة يقوم بتصفية بيانات التخويل المتعلقة به.

المخطط الزمني للتغييرات

يتم إصدار التحديثات على النحو التالي. لاحظ أنه قد تتم مراجعة جدول الإصدار هذا حسب الحاجة.

تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 9 أبريل 2024. يضيف هذا التحديث سلوكا جديدا يمنع رفع الثغرات الأمنية للامتيازات الموضحة في CVE-2024-26248وCVE-2024-29056 ولكنه لا يفرضها ما لم يتم تحديث كل من وحدات تحكم مجال Windows وعملاء Windows في البيئة.

لتمكين السلوك الجديد والتخفيف من الثغرات الأمنية، يجب التأكد من تحديث بيئة Windows بأكملها (بما في ذلك وحدات التحكم بالمجال والعملاء). سيتم تسجيل أحداث التدقيق للمساعدة في تحديد الأجهزة التي لم يتم تحديثها.

سينقل التحديثات الذي تم إصداره في يناير 2025 أو بعده جميع وحدات التحكم في مجال Windows والعملاء في البيئة إلى الوضع المفروض. سيفرض هذا الوضع سلوكا آمنا بشكل افتراضي. ستتجاوز إعدادات مفتاح التسجيل الموجودة التي تم تعيينها مسبقا تغيير السلوك الافتراضي هذا.

يمكن للمسؤول تجاوز إعدادات الوضع المفروض الافتراضي للعودة إلى وضع التوافق .

ستؤدي تحديثات أمان Windows التي تم إصدارها في أبريل 2025 أو بعده إلى إزالة دعم مفاتيح التسجيل الفرعية PacSignatureValidationLevel و CrossDomainFilteringLevel وفرض السلوك الآمن الجديد. لن يكون هناك دعم لوضع التوافق بعد تثبيت تحديث أبريل 2025.

المشكلات المحتملة والتخفيف من المخاطر

هناك مشكلات محتملة قد تنشأ، بما في ذلك التحقق من صحة PAC وفشل التصفية عبر الغابات. في 9 أبريل 2024، يتضمن تحديث الأمان منطقا احتياطيا وإعدادات السجل للمساعدة في التخفيف من هذه المشكلات

إعدادات التسجيل

يتم تقديم تحديث الأمان هذا لأجهزة Windows (بما في ذلك وحدات التحكم بالمجال). يجب توزيع مفاتيح التسجيل التالية التي تتحكم في السلوك فقط إلى خادم Kerberos الذي يقبل مصادقة Kerberos الواردة وينفذ التحقق من صحة PAC.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

قيمة

PacSignatureValidationLevel

نوع البيانات

REG_DWORD

البيانات

2

الافتراضي (التوافق مع البيئة غير المكيفة)

3

أحق

هل إعادة التشغيل مطلوبة؟

لا

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

قيمة

CrossDomainFilteringLevel

نوع البيانات

REG_DWORD

البيانات

2

الافتراضي (التوافق مع البيئة غير المكيفة)

4

أحق

هل إعادة التشغيل مطلوبة؟

لا

يمكن نشر مفتاح التسجيل هذا على كل من خوادم Windows التي تقبل مصادقة Kerberos الواردة، بالإضافة إلى أي وحدة تحكم مجال Windows تتحقق من صحة تدفق تسجيل الدخول الجديد لبطاقة الشبكة على طول الطريق.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

قيمة

أحداث AuditKerberosTicketLogonEvents

نوع البيانات

REG_DWORD

البيانات

1

الافتراضي - سجل الأحداث الهامة

2

تسجيل جميع أحداث Netlogon

0

عدم تسجيل أحداث Netlogon

هل إعادة التشغيل مطلوبة؟

لا

سجلات الأحداث

سيتم إنشاء أحداث تدقيق Kerberos التالية على خادم Kerberos الذي يقبل مصادقة Kerberos الواردة. سيقوم خادم Kerberos هذا بالتحقق من صحة PAC، والذي يستخدم تدفق تسجيل دخول تذكرة الشبكة الجديد.

سجل الأحداث

النظام

نوع الحدث

اعلاميه

مصدر الحدث

Security-Kerberos

معرف الحدث

21

نص الحدث

أثناء تسجيل الدخول إلى بطاقة شبكة Kerberos،> بطاقة الخدمة لحساب <الحساب من المجال <المجال> الإجراءات التالية التي تم إجراؤها عليها بواسطة وحدة تحكم المجال <DC>. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558.> الإجراء <

يظهر هذا الحدث عندما اتخذت وحدة تحكم المجال إجراء غير فادح أثناء تدفق تسجيل دخول تذكرة الشبكة. اعتبارا من الآن، يتم تسجيل الإجراءات التالية:

  • تمت تصفية معرفات الأمان الخاصة للمستخدم.

  • تمت تصفية معرفات الأمان الخاصة بالجهاز.

  • تمت إزالة الهوية المركبة بسبب تصفية SID التي لا تسمح بهوية الجهاز.

  • تمت إزالة الهوية المركبة بسبب تصفية SID التي لا تسمح باسم مجال الجهاز.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Security-Kerberos

معرف الحدث

22

نص الحدث

أثناء تسجيل الدخول إلى بطاقة شبكة Kerberos، رفض DC <DC>> بطاقة الخدمة> لحساب <الحساب من> المجال <المجال. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558.السبب:>السبب < رمز الخطأ:> رمز الخطأ <

يظهر هذا الحدث عندما رفضت وحدة تحكم المجال طلب تسجيل الدخول إلى بطاقة الشبكة للأسباب الموضحة في الحدث. ​​​​​​

سجل الأحداث

النظام

نوع الحدث

تحذير أو خطأ

مصدر الحدث

Security-Kerberos

معرف الحدث

23

نص الحدث

أثناء تسجيل دخول تذكرة شبكة Kerberos، تعذر إعادة توجيه تذكرة الخدمة <account_name> الحساب من <domain_name> المجال إلى وحدة تحكم المجال لخدمة الطلب. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2262558.

  • يظهر هذا الحدث كتحذير إذا لم يتم تعيين PacSignatureValidationLevel و CrossDomainFilteringLevel إلى فرض أو أكثر صرامة. عند تسجيل الدخول كتحذير، يشير الحدث إلى أن تدفقات تسجيل الدخول إلى تذكرة الشبكة اتصلت بوحدة تحكم مجال أو جهاز مكافئ لم يفهم الآلية الجديدة. تم السماح للمصادقة بالتراجع عن السلوك السابق.

  • يظهر هذا الحدث كخطأ إذا تم تعيين PacSignatureValidationLevel OR CrossDomainFilteringLevel إلى فرض أو أكثر صرامة. يشير هذا الحدث على أنه "خطأ" إلى أن تدفق تسجيل دخول تذكرة الشبكة اتصل بوحدة تحكم بالمجال أو جهازا مكافئا لم يفهم الآلية الجديدة. تم رفض المصادقة، ولا يمكن الرجوع إلى السلوك السابق.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Netlogon

معرف الحدث

5842

نص الحدث

واجهت خدمة Netlogon خطأ غير متوقع عند معالجة طلب تسجيل دخول تذكرة شبكة Kerberos. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2261497.

حساب تذكرة الخدمة:> حساب <

مجال تذكرة الخدمة:> مجال <

اسم محطة العمل:> اسم الجهاز <

الحالة:> رمز الخطأ <

يتم إنشاء هذا الحدث كلما صادف Netlogon خطأ غير متوقع أثناء طلب تسجيل دخول بطاقة الشبكة. يتم تسجيل هذا الحدث عند تعيين AuditKerberosTicketLogonEvents إلى (1) أو أعلى.

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Netlogon

معرف الحدث

5843

نص الحدث

فشلت خدمة Netlogon في إعادة توجيه طلب تسجيل دخول تذكرة شبكة Kerberos إلى وحدة تحكم المجال <DC>. لمزيد من المعلومات، يرجى زيارة https://go.microsoft.com/fwlink/?linkid=2261497.

حساب تذكرة الخدمة:> حساب <

مجال تذكرة الخدمة:> مجال <

اسم محطة العمل:> اسم الجهاز <

يتم إنشاء هذا الحدث كلما تعذر على Netlogon إكمال تسجيل الدخول إلى بطاقة الشبكة لأن وحدة تحكم المجال لم تفهم التغييرات. بسبب القيود في بروتوكول Netlogon، يتعذر على عميل Netlogon تحديد ما إذا كانت وحدة تحكم المجال التي يتحدث إليها عميل Netlogon مباشرة هي التي لا تفهم التغييرات، أو ما إذا كانت وحدة تحكم بالمجال على طول سلسلة إعادة التوجيه التي لا تفهم التغييرات.

  • إذا كان مجال تذكرة الخدمة هو نفس مجال حساب الجهاز، فمن المحتمل أن وحدة تحكم المجال في سجل الأحداث لا تفهم تدفق تسجيل الدخول إلى بطاقة الشبكة.

  • إذا كان مجال تذكرة الخدمة مختلفا عن مجال حساب الجهاز، فإن إحدى وحدات التحكم بالمجال على طول الطريق من مجال حساب الجهاز إلى مجال حساب الخدمة لم تفهم تدفق تسجيل الدخول إلى تذكرة الشبكة

هذا الحدث متوقف عن التشغيل بشكل افتراضي. توصي Microsoft بأن يقوم المستخدمون أولا بتحديث أسطولهم بأكمله قبل تشغيل الحدث.

يتم تسجيل هذا الحدث عند تعيين AuditKerberosTicketLogonEvents إلى (2).

الأسئلة المتداولة (FAQ)

لن تتعرف وحدة تحكم المجال التي لم يتم تحديثها على بنية الطلب الجديدة هذه. سيؤدي هذا إلى فشل فحص الأمان. في وضع التوافق، سيتم استخدام بنية الطلب القديمة. لا يزال هذا السيناريو عرضة ل CVE-2024-26248وCVE-2024-29056.

نعم. وذلك لأن تدفق تسجيل الدخول إلى تذكرة الشبكة الجديد قد يلزم توجيهه عبر المجالات للوصول إلى مجال حساب الخدمة.

قد يتم تخطي التحقق من صحة PAC في ظروف معينة، بما في ذلك، على سبيل المثال لا الحصر، السيناريوهات التالية:

  • إذا كانت الخدمة لها امتياز TCB. بشكل عام، تتمتع الخدمات التي تعمل ضمن سياق حساب SYSTEM (مثل مشاركات ملفات SMB أو خوادم LDAP) بهذا الامتياز.

  • إذا تم تشغيل الخدمة من Task Scheduler.

وإلا، يتم إجراء التحقق من صحة PAC على جميع تدفقات مصادقة Kerberos الواردة.

تتضمن هذه CVEs رفعا محليا للامتياز حيث يحاول حساب خدمة ضار أو مخترق يعمل على محطة عمل Windows رفع امتيازها للحصول على حقوق الإدارة المحلية. وهذا يعني أن محطة عمل Windows التي تقبل مصادقة Kerberos الواردة فقط تتأثر.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة