|
Změnit datum |
Změnit popis |
|---|---|
|
úterý 10. března 2024 |
Upravili jsme měsíční časovou osu přidáním dalšího obsahu souvisejícího s posílením zabezpečení a odebrali z časové osy položku z února 2024, protože nesouvisí s posílením zabezpečení. |
Úvod
Posílení zabezpečení je klíčovým prvkem naší průběžné strategie zabezpečení, které pomáhá chránit vaše majetky, zatímco se soustředíte na svou práci. Čím dál kreativnější kybernetické hrozby cílí na slabá místa všude, kde je to možné, od čipu až po cloud. Viděli jste naše publikace o posílení zabezpečení v centru zpráv Windows? Mezi ty, které se nedávno vynucují, patří posílení zabezpečení ověřování DCOM a Posílení zabezpečení připojení k doméně netjoin. Pojďme se podívat na ohrožené oblasti, které v nadcházejících měsících procházejí posílením.
Poznámka: Tento článek bude postupně aktualizován, aby poskytoval nejnovější informace o změnách posílení zabezpečení a časových osách. Poslední aktualizace: 10. března 2024.
Rychlé změny posílení zabezpečení
Zkontrolujte časovou osu vizuálu a zaměřte se na konkrétní změny, které vás zajímají. Níže najdete podrobnosti o jednotlivých fázích.
Obrázek 1: Vizuální časová osa změn posílení zabezpečení, ke které dojde v roce 2023.
Obrázek 2: Vizuální časová osa změn posílení zabezpečení, ke které dojde v roce 2024.
Posílení změn podle měsíce
Projděte si podrobnosti o všech chystaných změnách posílení zabezpečení po měsících, které vám pomůžou naplánovat jednotlivé fáze a konečné vynucení.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 1
Počáteční fáze nasazení Windows Aktualizace vydané 9. května 2023 nebo později řeší chyby zabezpečení probírané v cve-2023-24932, změny spouštěcích součástí Windows a dva soubory odvolání, které je možné použít ručně (zásady integrity kódu a aktualizovaný seznam dbX (Secure Boot disallow).
-
KB5021130 změn protokolu Netlogon | Fáze 3
Ve výchozím nastavení vynucování. Podklíč RequireSeal se přesune do režimu vynucení, pokud ho explicitně nenakonfigurujete tak, aby byl v režimu kompatibility. -
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 3
Třetí fáze nasazení. Odebere možnost zakázat přidávání podpisů PAC nastavením podklíče KrbtgtFullPacSignature na hodnotu 0.
-
KB5021130 změn protokolu Netlogon | Fáze 4
Konečné vynucování. Aktualizace Windows vydané 11. července 2023 odeberou možnost nastavit hodnotu 1 na podklíč registru RequireSeal. Tím se povolí fáze vynucování CVE-2022-38023. -
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 4
Režim počátečního vynucení. Odebere možnost nastavit hodnotu 1 pro podklíč KrbtgtFullPacSignature a přesune se do režimu vynucení jako výchozího (KrbtgtFullPacSignature = 3), který můžete přepsat explicitním nastavením Audit. -
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 2
Druhá fáze nasazení Aktualizace pro Windows vydané 11. července 2023 nebo později zahrnují automatizované nasazení souborů odvolání, nové události protokolu událostí, které hlásí, jestli bylo nasazení odvolání úspěšné, a balíček dynamické aktualizace SafeOS pro WinRE.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 5
Fáze úplného vynucování. Odebere podporu pro podklíč registru KrbtgtFullPacSignature, odebere podporu režimu auditování a všechny lístky služeb bez nových podpisů PAC budou odepřeny ověřování.
-
Aktualizace oprávnění služby Active Directory (AD) KB5008383 | Fáze 5
Konečná fáze nasazení Konečná fáze nasazení může začít po dokončení kroků uvedených v části "Akce" v KB5008383. Pokud chcete přejít do režimu vynucení , postupujte podle pokynů v části Pokyny k nasazení a nastavte 28. a 29. bit u atributu dSHeuristics . Pak monitorujte události 3044–3046. Hlásí, když režim vynucení zablokoval operaci přidání nebo úpravy PROTOKOLU LDAP, která mohla být dříve povolena v režimu auditování .
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 3
Třetí fáze nasazení. Tato fáze přidá další zmírnění rizik správce spouštění. Tato fáze začne nejdříve 9. dubna 2024.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 3
Fáze povinného vynucování Odvolání (zásady spouštění integrity kódu a seznam Zákaz zabezpečeného spouštění) se programově vynucují po instalaci aktualizací pro Windows do všech ovlivněných systémů bez možnosti zakázání.
-
KB5014754 ověřování na základě certifikátů | Fáze 3
Režim úplného vynucování. Pokud certifikát nelze silně mapovat, bude ověřování zamítnuto.
Získání nejnovějších zpráv
Pokud chcete snadno najít nejnovější aktualizace a připomenutí, vytvořte si záložku Centra zpráv Windows. A pokud jste správce IT s přístupem k Centrum pro správu Microsoftu 365, nastavte Email předvolby na Centrum pro správu Microsoftu 365, abyste dostávali důležitá oznámení a aktualizace.
