|
Промяна на датата |
Промяна на описанието |
|---|---|
|
10 март 2024 г. |
Коригирана е месечната времева линия, като се добавя по-втвърдяване на свързаното съдържание и се премахва записът от февруари 2024 г. от времевата линия, тъй като не е свързано. |
Въведение
Втвърдяването е ключов елемент от нашата текуща стратегия за сигурност, за да ви помогне да запазите собствеността си защитена, докато се фокусирате върху работата си. Все по-творческите киберзаплахи целят слабости навсякъде, където е възможно, от чипа до облака. Виждали ли сте нашите публикации за втвърдяване в центъра за съобщения на Windows? Някои от тези наскоро наложени включват подсилване на DCOM удостоверяване и Netjoin: подсилване на присъединяване към домейн. Нека прегледаме уязвимите области, които се подсилват през следващите месеци.
Забележка: Тази статия ще се актуализира с течение на времето, за да предостави най-новата информация за втвърдяване на промените и времевите линии. Последна актуализация: 10 март 2024 г.
Втвърдяване на промените с един поглед
Прегледайте визуалната времева линия, за да се съсредоточите върху конкретните промени, които представляват интерес за вас. Намерете подробностите за всяка фаза по-долу.
На фигура 1: Визуална времева линия на промените за втвърдяване, които се извършват през 2023 г.
На фигура 2: Визуална времева линия на промените за втвърдяване, които се извършват през 2024 г.
Втвърдяване на промените по месеци
Прегледайте подробностите за всички предстоящи промени за втвърдяване по месеци, за да ви помогнете да планирате за всяка фаза и окончателното прилагане.
-
Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 1
Фаза на първоначално разполагане. Windows Актуализации издаден на или след 9 май 2023 г., адресирани уязвимости в CVE-2023-24932, промени в компонентите за стартиране на Windows и два анулирани файла, които могат да бъдат приложени ръчно (правила за цялост на кода и актуализиран списък за забрана на защитеното стартиране (DBX)).
-
Промени в протокола Netlogon KB5021130 | Фаза 3
Прилагане по подразбиране. Подключът RequireSeal ще бъде преместен в режим на изпълнение, освен ако изрично не го конфигурирате да бъде в режим на съвместимост. -
Kerberos PAC Подписи KB5020805 | Фаза 3
Трета фаза на разполагане. Премахва възможността за забраняване на добавянето на PAC подпис чрез задаване на подключа KrbtgtFullPacSignature със стойност 0.
-
Промени в протокола Netlogon KB5021130 | Фаза 4
Окончателно изпълнение. Актуализациите на Windows, издадени на 11 юли 2023 г., ще премахнат възможността за задаване на стойност 1 на подключа requireSeal от системния регистър. Това позволява фазата на прилагане на CVE-2022-38023. -
Kerberos PAC Подписи KB5020805 | Фаза 4
Първоначален режим на прилагане. Премахва възможността за задаване на стойност 1 за подключа KrbtgtFullPacSignature и преминава в режим на изпълнение по подразбиране (KrbtgtFullPacSignature = 3), който можете да заместите с изрична настройка за проверка. -
Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 2
Втора фаза на разполагане. Актуализации за Windows, издаден на или след 11 юли 2023 г., включват автоматично разполагане на анулираните файлове, нови събития в регистъра на събитията, за да съобщят дали разполагането на анулирането е успешно, и пакета за динамична актуализация на SafeOS за WinRE.
-
Kerberos PAC Подписи KB5020805 | Фаза 5
Фаза на пълно изпълнение. Премахва поддръжката за подключа KrbtgtFullPacSignature на системния регистър, премахва поддръжката за режим на проверка и всички билети за услуги без новите PAC подписи ще бъдат отказани за удостоверяване.
-
Актуализации на разрешенията за Active Directory (AD) KB5008383 | Фаза 5
Окончателна фаза на разполагане. Последната фаза на разполагане може да започне, след като сте изпълнили стъпките, изброени в раздела "Предприемане на действие" на KB5008383. За да преминете към режим на изпълнение , следвайте инструкциите в раздела "Указания за разполагане", за да зададете 28-ия и 29-ия бит на атрибута dSHeuristics . След това наблюдавайте за събития 3044-3046. Те съобщават, когато режимът на изпълнение е блокирал операция за добавяне или модифициране на LDAP, която може преди това да е била разрешена в режим на проверка .
-
Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 3
Трета фаза на разполагане. Тази фаза ще добави допълнителни смекчавания на диспечера за зареждане. Тази фаза ще започне не по-рано от 9 април 2024 г.
-
Защита от заобикаляне на защитеното стартиране KB5025885 | Фаза 3
Етап на задължително изпълнение. Анулиранията (правилата за стартиране на целостта на кода и списъкът за забрана на защитеното стартиране) ще бъдат приложени програмно след инсталиране на актуализации за Windows на всички засегнати системи без опция за забраняване.
-
Базирана на сертификат KB5014754 за удостоверяване | Фаза 3
Режим на пълно прилагане. Ако даден сертификат не може да бъде силно нанесен, удостоверяването ще бъде отказано.
Получаване на последните новини
Маркирайте с показалец центъра за съобщения на Windows, за да намерите лесно най-новите актуализации и напомняния. А ако сте ИТ администратор с достъп до Център за администриране на Microsoft 365, настройте Предпочитания за имейл на Център за администриране на Microsoft 365 да получавате важни известия и актуализации.
