Първоначална дата на публикуване: 29 август 2025 г.
ИД в КБ: 5066470
Въведение
Тази статия описва подробно последните и предстоящите промени в Windows 11, версия 24H2 и Windows Server 2025, като се фокусира върху одитирането и евентуалното прилагане на блокирането на криптографията, извлечена от NTLMv1. Тези промени са част от по-широката инициатива на Microsoft за постепенно премахване на NTLM.
Предварителна информация
Microsoft премахна протокола NTLMv1 (вижте Премахнати функции и функционалност) от Windows 11, версия 24H2 и Windows Server 2025 и по-нови версии. Въпреки това, докато протоколът NTLMv1 е премахнат, остатъците от криптография NTLMv1 все още присъстват в някои сценарии, като например при използване на MS-CHAPv2 в среда, присъединена към домейн.
Credential Guard предоставя пълна защита както на наследената криптография NTLMv1, така и на много други повърхности за атака, и по този начин Microsoft силно препоръчва внедряването и разрешаването му, ако са спазени изискванията на Credential Guard. Предстоящите промени засягат само устройства, на които е забранен Credential guard; ако Windows Credential Guard е разрешен на устройството, промените, описани в тази статия, няма да влязат в сила.
Цел
С прекратяването на NTLM (вж. Отхвърлени функции) и премахването на протокола NTLMv1 Microsoft работи за финализиране на забраняването на NTLMv1 чрез забраняване с помощта на идентификационните данни, получени чрез NTLMv1.
Предстоящи промени
Две нови промени, въвеждането на нов ключ от системния регистър и новите регистри на събитията, са включени в тази актуализация. За времева линия на тези промени вижте раздела Внедряване на промените .
Нов ключ от системния регистър
Въвежда се нов ключ от системния регистър, който добавя дали промените са в режим на проверка , или в режим на налагане.
|
Местоположение на системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Data |
|
Нови възможности за проверка
-
При използване на настройките за проверка (по подразбиране)
Регистър на събитията
Microsoft-Windows-NTLM/Оперативни
Тип събитие
Предупреждение
Източник на събитие
NTLM
ИД на събитие
4024
Текст на събитие
Проверка на опит за използване на идентификационните данни, получени от NTLMv1, за еднократна идентификация Целеви сървър: <domain_name> Предоставен потребител: <user_name> Предоставен домейн: <domain_name> PID на клиентски процес: <process_identifier> Име на клиентския процес: <process_name> LUID на клиентски процес: <locally_unique_identifier> Самоличност на потребителя на клиентския процес: <user_name> Име на домейн на самоличността на потребителя на клиентския процес: <domain_name> Механизъм OID: <object_identifier> За повече информация вж. https://go.microsoft.com/fwlink/?linkid=2321802.
-
При използване на "Налагане на настройки"
Регистър на събитията
Microsoft-Windows-NTLM/Оперативни
Тип събитие
Грешка
Източник на събитие
NTLM
ИД на събитие
4025
Текст на събитие
Опитът да се използват извлечени от NTLMv1 идентификационни данни за еднократна Sign-On е блокиран поради правила.Целеви сървър: <domain_name> Предоставен потребител: <user_name> Предоставен домейн: <domain_name> PID на клиентски процес: <process_identifier> Име на клиентския процес: <process_name> LUID на клиентски процес: <locally_unique_identifier> Самоличност на потребителя на клиентския процес: <user_name> Име на домейн на самоличността на потребителя на клиентския процес: <domain_name> Механизъм OID: <object_identifier> За повече информация вж. https://go.microsoft.com/fwlink/?linkid=2321802.
За повече информация относно други подобрения в одита вижте Общ преглед на подобренията в NTLM проверката в Windows 11, версия 24H2 и Windows Server 2025.
Внедряване на промените
През септември 2025 г. и по-новите актуализации промените ще бъдат въведени в Windows 11, версия 24H2 и по-нови клиентски ос в режим на проверка. В този режим ИД на събитие: 4024 ще се регистрира всеки път, когато се използват извлечени от NTLMv1 идентификационни данни, но удостоверяването ще продължи да работи. Внедряването ще достигне Windows Server 2025 г. по-късно през годината.
През октомври 2026 г. Microsoft ще зададе стойността по подразбиране на ключа от системния регистър BlockNTLMv1SSO на 1 (Налагане) вместо на 0 (Проверка), ако ключът от системния регистър BlockNTLMv1SSO не е разположен на устройството.
Времева линия
|
Дата |
Промяна |
|
Края на август 2025 г. |
Регистрационните файлове за проверка за използването на NTLMv1 са разрешени за Windows 11, версия 24H2 и по-нови клиенти. |
|
Ноември 2025 г. |
Начало на внедряването на промените в Windows Server 2025 г. |
|
Октомври 2026 г. |
Стойността по подразбиране на ключа от системния регистър BlockNtlmv1SSO е променена от режим на проверка (0) на Наложен режим (1) чрез бъдеща актуализация на Windows, укрепвайки ограниченията за NTLMv1. Тази промяна в настройките по подразбиране влиза в сила само ако ключът от системния регистър BlockNtlmv1SSO не е разположен. |
Забележка Тези дати са под въпрос и подлежат на промяна.
Често задавани въпроси (ЧЗВ)
Microsoft използва постепенен метод за разпространение на актуализация на изданието за определен период от време, а не наведнъж. Това означава, че потребителите получават актуализациите по различно време и може да не са достъпни незабавно за всички потребители.
Извлечените от NTLMv1 идентификационни данни се използват от определени протоколи от по-високо ниво за целите на еднократната Sign-On; Примерите включват Разполагания с Wi-Fi, Ethernet и VPN чрез MS-CHAPv2 удостоверяване. Подобно на това, когато Credential Guard е разрешен, единичните Sign-On потоци за тези протоколи няма да работят, но ръчното въвеждане на идентификационни данни ще продължи да работи дори в режим на налагане . За повече информация и най-добри практики вижте Съображения и известни проблеми при използване на Credential Guard.
Единственото сходство между тази актуализация и Credential Guard е защитата около потребителските идентификационни данни от криптография, извлечена от NTLMv1. Тази актуализация не предоставя широка и стабилна защита на Credential Guard; Microsoft препоръчва разрешаване на Credential Guard на всички поддържани платформи.
