Последни указания за подсилване на Windows и ключови дати

Промени в протокола Netlogon KB5021130 | Фаза 2

Първоначална фаза на прилагане. Премахва възможността за забраняване на RPC запечатване чрез задаване на стойност 0 на подключа на системния регистър RequireSeal .

Базирано на сертификат удостоверяване KB5014754 | Фаза 2

Премахва дезактивиран режим.

Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 1

Фаза на първоначално разполагане. Windows Актуализации издаден на или след 9 май 2023 г., адресирани уязвимости в CVE-2023-24932, промени в компонентите за стартиране на Windows и два анулирани файла, които могат да бъдат приложени ръчно (правила за цялост на кода и актуализиран списък за забрана на защитеното стартиране (DBX)).

Промени в протокола Netlogon KB5021130 | Фаза 3

Прилагане по подразбиране. Подключът RequireSeal ще бъде преместен в режим на изпълнение, освен ако изрично не го конфигурирате да бъде в режим на съвместимост.

Kerberos PAC Подписи KB5020805 | Фаза 3

Трета фаза на разполагане. Премахва възможността за забраняване на добавянето на PAC подпис чрез задаване на подключа KrbtgtFullPacSignature със стойност 0.

Промени в протокола Netlogon KB5021130 | Фаза 4

Окончателно изпълнение. Актуализациите на Windows, издадени на 11 юли 2023 г., ще премахнат възможността за задаване на стойност 1 на подключа requireSeal от системния регистър. Това позволява фазата на прилагане на CVE-2022-38023.

Kerberos PAC Подписи KB5020805 | Фаза 4

Първоначален режим на прилагане. Премахва възможността за задаване на стойност 1 за подключа KrbtgtFullPacSignature и преминава в режим на изпълнение по подразбиране (KrbtgtFullPacSignature = 3), който можете да заместите с изрична настройка за проверка. 

Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 2

Втора фаза на разполагане. Актуализации за Windows, издаден на или след 11 юли 2023 г., включват автоматично разполагане на анулираните файлове, нови събития в регистъра на събитията, за да съобщят дали разполагането на анулирането е успешно, и пакета за динамична актуализация на SafeOS за WinRE.

Kerberos PAC Подписи KB5020805 | Фаза 5

Фаза на пълно изпълнение. Премахва поддръжката за подключа KrbtgtFullPacSignature на системния регистър, премахва поддръжката за режим на проверка и всички билети за услуги без новите PAC подписи ще бъдат отказани за удостоверяване.

Актуализации на разрешенията за Active Directory (AD) KB5008383 | Фаза 5

Окончателна фаза на разполагане. Последната фаза на разполагане може да започне, след като сте изпълнили стъпките, изброени в раздела "Предприемане на действие" на KB5008383. За да преминете към режим на изпълнение , следвайте инструкциите в раздела "Указания за разполагане", за да зададете 28-ия и 29-ия бит на атрибута dSHeuristics . След това наблюдавайте за събития 3044-3046. Те съобщават, когато режимът на изпълнение е блокирал операция за добавяне или модифициране на LDAP, която може преди това да е била разрешена в режим на проверка . 

Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 3

Трета фаза на разполагане. Тази фаза ще добави допълнителни смекчавания на диспечера за зареждане. Тази фаза ще започне не по-рано от 9 април 2024 г.

ПРОМЕНИ в PAC проверката KB5037754 | Фаза на режим на съвместимост

Началната фаза на разполагане започва с актуализациите, издадени на 9 април 2024 г. Тази актуализация добавя ново поведение, което предотвратява увеличаването на привилегиите уязвимости, описани в CVE-2024-26248 и CVE-2024-29056, но не го налага, освен ако не се актуализират както домейнови контролери на Windows, така и клиенти на Windows в средата.

За да разрешите новото поведение и да намалите уязвимостите, трябва да се уверите, че цялата ви среда на Windows (включително домейнови контролери и клиенти) е актуализирана. Събитията от проверката ще бъдат регистрирани, за да помогнат за идентифицирането на устройства, които не са актуализирани.

Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 3

Етап на задължително изпълнение. Анулиранията (правилата за стартиране на целостта на кода и списъкът за забрана на защитеното стартиране) ще бъдат приложени програмно след инсталиране на актуализации за Windows на всички засегнати системи без опция за забраняване.

ПРОМЕНИ в PAC проверката KB5037754 | Прилагане по подразбиране

Актуализации, издадени през или след януари 2025 г., ще преместят всички домейнови контролери и клиенти на Windows в средата в наложен режим. Този режим ще налага защитено поведение по подразбиране. Съществуващите настройки на ключове от системния регистър, които са били предварително зададени, ще заместят тази промяна в поведението по подразбиране.

Настройките по подразбиране Наложен режим могат да бъдат заместени от администратора, за да се върнат в режим на съвместимост.

Базирана на сертификат KB5014754 за удостоверяване | Фаза 3

Режим на пълно прилагане. Ако даден сертификат не може да бъде силно нанесен, удостоверяването ще бъде отказано.

ПРОМЕНИ в PAC проверката KB5037754 | Фаза на

прилагане Актуализациите на защитата на Windows, издадени през или след април 2025 г., ще премахнат поддръжката за подключовете в системния регистър PacSignatureValidationLevel и CrossDomainFilteringLevel и ще наложат новото защитено поведение. Няма да има поддръжка за режима на съвместимост след инсталирането на актуализацията от април 2025 г.

Защити с kerberos удостоверяване за CVE-2025-26647 KB5057784 | Режим

на проверка Началната фаза на разполагане започва с актуализациите, издадени на 8 април 2025 г. Тези актуализации добавят ново поведение, което открива увеличаване на правата уязвимостта, описана в CVE-2025-26647 , но не го прилага. За да разрешите новото поведение и да бъдете защитени от уязвимостта, трябва да се уверите, че всички домейнови контролери на Windows се актуализират и настройката на ключа на системния регистър AllowNtAuthPolicyBypass е зададена на 2.

Защити с kerberos удостоверяване за CVE-2025-26647 KB5057784 | Наложена по подразбиране Актуализации

издадена през или след юли 2025 г., ще наложи проверка на магазина на NTAuth по подразбиране. Настройката на ключа от системния регистър AllowNtAuthPolicyBypass все още ще позволява на клиентите да се връщат обратно в режим на проверка, ако е необходимо. Възможността за пълно забраняване на тази актуализация на защитата обаче ще бъде премахната.

Защити с kerberos удостоверяване за CVE-2025-26647 KB5057784 | Режим на

изпълнение ​​​​​​​Актуализации издаден през или след октомври 2025 г., ще прекрати поддръжката от Microsoft за ключа от системния регистър AllowNtAuthPolicyBypass. На този етап всички сертификати трябва да бъдат издадени от органи, които са част от хранилище NTAuth.

Защита от заобикаляне на защитеното стартиране KB5025885 | Етап на

прилагане Фазата на прилагане няма да започне преди януари 2026 г. и ще предоставим поне шест месеца предварително предупреждение в тази статия, преди да започне тази фаза. Когато актуализациите бъдат издадени за фазата на изпълнение, те ще включват следното:

• Сертификатът "Windows Production PCA 2011" автоматично ще бъде анулиран, като бъде добавен към списъка от забранени елементи на Secure Boot UEFI (DBX) на поддържащи устройства. Тези актуализации ще бъдат приложени програмно след инсталирането на актуализации за Windows на всички засегнати системи без опция за забраняване.