Първоначална дата на публикуване: 8 април 2025 г.
ИД на КБ: 5057784
|
Промяна на датата |
Промяна на описанието |
|
22 юли 2025 г. |
|
|
9 май 2025 г. |
|
В тази статия
Резюме
Актуализациите на защитата на Windows, издадени на или след 8 април 2025 г., съдържат защити за уязвимост с удостоверяване Kerberos. Тази актуализация предоставя промяна в поведението, когато органът за издаване на сертификата, използван за удостоверяване, базирано на сертификат на субекта на защитата (CBA), е надеждно, но не и в хранилището на NTAuth, а съпоставянето на идентификатора на субекта на ключ (SKI) присъства в атрибута altSecID на субекта на защитата с помощта на удостоверяване, базирано на сертификат. За да научите повече за тази уязвимост, вижте CVE-2025-26647.
Предприемане на действие
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме следните стъпки:
-
АКТУАЛИЗИРАЙТЕ всички домейнови контролери с актуализация на Windows, издадена на или след 8 април 2025 г.
-
НАБЛЮДАВАйте новите събития, които ще бъдат видими на домейнови контролери, за да идентифицират засегнатите сертифициращи органи.
-
РАЗРЕШИТЕ Режим на прилагане след вашата среда вече използва само сертификати за влизане, издадени от органи, които са в хранилището NTAuth.
altSecID атрибути
Следващата таблица съдържа всички атрибути на алтернативните идентификатори за защита (altSecIDs) и altSecID, които са засегнати от тази промяна.
|
Списък с атрибути на сертификат, които могат да бъдат нанесени в altSecID |
AltSecID, които изискват съвпадащ сертификат за свързване към хранилището на NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509Подложения Само X509NСвършило X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NСвършило |
Времева линия на промените
8 април 2025 г.: Фаза на първоначално разполагане – Режим на проверка
Фазата на първоначално разполагане (режим на проверка ) започва с актуализациите, издадени на 8 април 2025 г. Тези актуализации променят поведението, което открива увеличаване на правата уязвимостта, описана в CVE-2025-26647 , но първоначално не я прилага.
Докато сте в режим на проверка , ИД на събитие: 45 ще бъде регистриран в домейновия контролер, когато получи искане за удостоверяване Kerberos с опасен сертификат. Искането за удостоверяване ще бъде разрешено и не се очакват клиентски грешки.
За да разрешите промяната в поведението и да бъдете защитени от уязвимостта, трябва да се уверите, че всички домейнови контролери на Windows се актуализират с издание на актуализация на Windows на или след 8 април 2025 г., а настройката за ключ на системния регистър AllowNtAuthPolicyBypass е зададена на 2 , за да се конфигурира за режим на изпълнение .
Когато сте в режим на изпълнение , ако домейновия контролер получи искане за удостоверяване Kerberos с опасен сертификат, той ще регистрира наследен ИД на събитие: 21 и ще откаже искането.
За да включите защитите, предлагани от тази актуализация, изпълнете следните стъпки:
-
Приложете актуализацията на Windows, издадена на или след 8 април 2025 г., за всички домейнови контролери във вашата среда. След като приложите актуализацията, настройката AllowNtAuthPolicyBypass по подразбиране е 1 (Проверка ), която разрешава проверката на NTAuth и събитията за предупреждение в регистрационния файл за проверка.ВАЖЕН Ако не сте готови да продължите да прилагате защитите, предлагани от тази актуализация, задайте ключа от системния регистър на 0 , за да забраните временно тази промяна. Вижте раздела Информация за ключ от системния регистър за повече информация.
-
Следете новите събития, които ще бъдат видими на домейнови контролери, за да идентифицирате засегнатите сертифициращи органи, които не са част от хранилището NTAuth. ИД на събитие, което трябва да наблюдавате, е ИД на събитие: 45. Вижте раздела Събития от проверката за повече информация относно тези събития.
-
Уверете се, че всички клиентски сертификати са валидни и свързани с надежден CA за издаване в хранилището на NTAuth.
-
След като всички ИД на събитие: 45 събития са разрешени, можете да преминете към режим на прилагане . За да направите това, задайте стойността в системния регистър AllowNtAuthPolicyBypassна 2. Вижте раздела Информация за ключ от системния регистър за повече информация.Бележка Препоръчваме временно да отложите настройката AllowNtAuthPolicyBypass = 2, докато след прилагане на актуализацията на Windows, издадена след май 2025 г. за домейнови контролери, които service self-signed certificate-based authentication used in multiple scenarios. Това включва домейнови контролери, които услугата Windows Hello за бизнеса сигурност на ключ и удостоверяване на публичен ключ на устройство, присъединено към домейн.
Юли 2025 г.: Наложено по подразбиране
Актуализации, издаден през или след юли 2025 г., ще наложи проверка на магазина на NTAuth по подразбиране. Настройката на ключа от системния регистър AllowNtAuthPolicyBypass все още ще позволява на клиентите да се връщат обратно в режим на проверка , ако е необходимо. Възможността за пълно забраняване на тази актуализация на защитата обаче ще бъде премахната.
Октомври 2025 г.: Режим на прилагане
Актуализации, издадени през или след октомври 2025 г., ще прекратят поддръжката на Microsoft за ключа от системния регистър AllowNtAuthPolicyBypass. На този етап всички сертификати трябва да бъдат издадени от органи, които са част от хранилище NTAuth.
Настройки на системния регистър и регистри на събитията
Информация за ключ от системния регистър
Следният ключ от системния регистър позволява проверка на уязвими сценарии и след това прилагане на промяната, след като уязвимите сертификати бъдат адресирани. Ключът от системния регистър не се добавя автоматично. Ако трябва да промените поведението, трябва ръчно да създадете ключа от системния регистър и да зададете стойността, която ви трябва. Имайте предвид, че поведението на операционната система, когато ключът от системния регистър не е конфигуриран, зависи от фазата на разполагане, в която се намира.
AllowNtAuthPolicyBypass
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Стойност |
AllowNtAuthPolicyBypass |
|
|
Тип данни |
REG_DWORD |
|
|
Данни за стойност |
0 |
Забранява промяната изцяло. |
|
1 |
Извършва събитие за проверка на NTAuth и предупреждение за регистрационния файл, показващо сертификат, издаден от орган, който не е част от хранилище на NTAuth (режим на проверка). (Поведението по подразбиране започва от изданието от 8 април 2025 г.) |
|
|
2 |
Извършете проверката NTAuth и ако е неуспешно, не разрешавате влизането. Регистриране на нормални събития (съществуващи) за грешка AS-REQ с код на грешка, указващ, че проверката на NTAuth е неуспешна (наложен режим). |
|
|
Коментари |
Настройката на системния регистър AllowNtAuthPolicyBypass трябва да бъде конфигурирана само на KDCs на Windows, които са инсталирали актуализациите на Windows, издадени през или след април 2025 г. |
|
Събития от проверката
ИД на събитие: 45 | Събитие за проверка на проверка на хранилище за удостоверяване на NT
Администраторите трябва да наблюдават следното събитие, добавено чрез инсталирането на актуализации на Windows, издадени на или след 8 април 2025 г. Ако съществува, това означава, че сертификатът е издаден от орган, който не е част от хранилището NTAuth.
|
Регистър на събитията |
Система за регистрационни файлове |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kerberos-Key-Distribution-Center |
|
ИД на събитие |
45 |
|
Текст на събитие |
Центърът за разпространение на ключове (KDC) се натъкна на клиентски сертификат, който е валиден, но не е свързан към корен в хранилището NTAuth. Поддръжката за сертификати, които не са свързани с хранилището на NTAuth, е отхвърлена. Поддръжката за сертификати, които са свързани към хранилища, които не са NTAuth, е отхвърлена и несигурна.Вижте https://go.microsoft.com/fwlink/?linkid=2300705 , за да научите повече. Потребител: <userName> Тема на сертификата: <тема на сертификата> Издател на сертификат:<> на издателя на сертификата Сериен номер на сертификата: сериен номер<сертификат> Пръстов отпечатък на сертификата: >certThumbprint< |
|
Коментари |
|
ИД на събитие: 21 | Събитие за неуспех на AS-REQ
След адресиране на Събитие 45 на Kerberos-Key-Distribution-Center, регистрирането на това общо наследено събитие показва, че сертификатът на клиента все още НЕ е надежден. Това събитие може да бъде регистрирано по няколко причини, една от които е, че валиден клиентски сертификат НЕ е свързан с издаващ CA в хранилището NTAuth.
|
Регистър на събитията |
Система за регистрационни файлове |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kerberos-Key-Distribution-Center |
|
ИД на събитие |
21 |
|
Текст на събитие |
Сертификатът на клиента за потребителя <Domain\UserName> е невалиден и е довел до неуспешно влизане със смарт карта. Свържете се с потребителя за повече информация относно сертификата, който се опитва да използва за влизане със смарт карта. Състоянието на веригата е: Верига за сертифициране е обработена правилно, но един от CA сертификатите не е надежден от доставчика на правила. |
|
Коментари |
|
Известен проблем
Клиентите съобщиха за проблеми с ИД на събитие: 45 и ИД на събитие: 21, задействани от удостоверяване, базирано на сертификат, с помощта на самоподписани сертификати. За да видите повече информация, вижте известен проблем, документиран в изправността на изданието на Windows:
-
Windows Server 2025: Влизането може да е неуспешно с Windows Hello в режим на доверие на ключ и да регистрира събития Kerberos
-
Windows Server 2022: Влизането може да е неуспешно с Windows Hello в режим на доверие на ключ и да регистрира събития Kerberos
-
Windows Server 2019: Влизането може да е неуспешно с Windows Hello в режим на доверие на ключ и да регистрира събития Kerberos
-
Windows Server 2016: Влизането може да е неуспешно с Windows Hello в режим на доверие на ключ и да регистрира събития Kerberos
