Původní datum publikování: Duben 2023
ID znalostní báze: 5036534
|
Změnit datum |
Popis |
|---|---|
|
8. dubna 2025 |
|
|
středa 19. února 2025 |
|
|
úterý 30. ledna 2025 |
|
|
úterý 17. ledna 2025 |
|
|
úterý 10. března 2024 |
|
Úvod
Posílení zabezpečení je klíčovým prvkem naší průběžné strategie zabezpečení, které pomáhá chránit vaše majetky, zatímco se soustředíte na svou práci. Čím dál kreativnější kybernetické hrozby cílí na slabá místa všude, kde je to možné, od čipu až po cloud.
Tento článek se zabývá ohroženými oblastmi, které procházejí změnami posílení zabezpečení implementovanými prostřednictvím aktualizací zabezpečení Windows. Na webu Windows Message Center také zveřejňujeme připomenutí, abychom správci IT upozorňovali na upozorňování klíčových dat, jak se přiblíží.
Poznámka: Tento článek bude postupně aktualizován, aby poskytoval nejnovější informace o změnách posílení zabezpečení a časových osách. Informace o nejnovějších změnách najdete v části Protokol změn.
Posílení změn podle měsíce
Podívejte se na podrobnosti o nedávných a nadcházejících změnách posílení zabezpečení podle měsíce, které vám pomůžou naplánovat jednotlivé fáze a konečné vynucování.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 1 Počáteční fáze nasazení Windows Aktualizace vydané 9. května 2023 nebo později řeší chyby zabezpečení probírané v cve-2023-24932, změny spouštěcích součástí Windows a dva soubory odvolání, které je možné použít ručně (zásady integrity kódu a aktualizovaný seznam dbX (Secure Boot disallow).
-
KB5021130 změn protokolu Netlogon | Fáze 3 Ve výchozím nastavení vynucování. Podklíč RequireSeal se přesune do režimu vynucení, pokud ho explicitně nenakonfigurujete tak, aby byl v režimu kompatibility.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 3 Třetí fáze nasazení. Odebere možnost zakázat přidávání podpisů PAC nastavením podklíče KrbtgtFullPacSignature na hodnotu 0.
-
KB5021130 změn protokolu Netlogon | Fáze 4 Konečné vynucování. Aktualizace Windows vydané 11. července 2023 odeberou možnost nastavit hodnotu 1 na podklíč registru RequireSeal. Tím se povolí fáze vynucování CVE-2022-38023.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 4 Režim počátečního vynucení. Odebere možnost nastavit hodnotu 1 pro podklíč KrbtgtFullPacSignature a přesune se do režimu vynucení jako výchozího (KrbtgtFullPacSignature = 3), který můžete přepsat explicitním nastavením Audit.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 2 Druhá fáze nasazení Aktualizace pro Windows vydané 11. července 2023 nebo později zahrnují automatizované nasazení souborů odvolání, nové události protokolu událostí, které hlásí, jestli bylo nasazení odvolání úspěšné, a balíček dynamické aktualizace SafeOS pro WinRE.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáze 5
Fáze úplného vynucování. Odebere podporu pro podklíč registru KrbtgtFullPacSignature, odebere podporu režimu auditování a všechny lístky služeb bez nových podpisů PAC budou odepřeny ověřování.
-
Aktualizace oprávnění služby Active Directory (AD) KB5008383 | Fáze 5 Konečná fáze nasazení Konečná fáze nasazení může začít po dokončení kroků uvedených v části "Akce" v KB5008383. Pokud chcete přejít do režimu vynucení , postupujte podle pokynů v části Pokyny k nasazení a nastavte 28. a 29. bit u atributu dSHeuristics . Pak monitorujte události 3044–3046. Hlásí, když režim vynucení zablokoval operaci přidání nebo úpravy PROTOKOLU LDAP, která mohla být dříve povolena v režimu auditování .
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 3 Třetí fáze nasazení. Tato fáze přidá další zmírnění rizik správce spouštění. Tato fáze začne nejdříve 9. dubna 2024.
-
Změny ověřování PAC KB5037754 | Fáze režimu kompatibility
Počáteční fáze nasazení začíná aktualizacemi vydanými 9. dubna 2024. Tato aktualizace přidává nové chování, které zabraňuje zvýšení oprávnění ohrožení zabezpečení popsaného v cve-2024-26248 a CVE-2024-29056, ale nevynucuje je, pokud se neaktualizují řadiče domény Windows i klienti Windows v prostředí.
Pokud chcete povolit nové chování a zmírnit ohrožení zabezpečení, musíte zajistit, aby se aktualizovalo celé prostředí Windows (včetně řadičů domény i klientů). Události auditu se budou protokolovat, aby bylo možné identifikovat zařízení, která nebyla aktualizována.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze 3 Fáze povinného vynucování Odvolání (zásady spouštění integrity kódu a seznam Zákaz zabezpečeného spouštění) se programově vynucují po instalaci aktualizací pro Windows do všech ovlivněných systémů bez možnosti zakázání.
-
Změny ověřování PAC KB5037754 | Výchozí fáze vynucování
Aktualizace vydaných v lednu 2025 nebo později přesunou všechny řadiče domény a klienty Windows v prostředí do režimu vynucení. Tento režim ve výchozím nastavení vynucuje zabezpečené chování. Existující nastavení klíče registru, která byla dříve nastavena, přepíšou tuto výchozí změnu chování.
Výchozí nastavení vynuceného režimu může správce přepsat, aby se vrátil do režimu kompatibility.
-
KB5014754 ověřování na základě certifikátů | Fáze 3 Režim úplného vynucování. Pokud certifikát nelze silně mapovat, bude ověřování zamítnuto.
-
Změny ověřování PAC KB5037754 | Fáze vynucení Aktualizace zabezpečení windows vydané v dubnu 2025 nebo později odeberou podporu pro podklíče registru PacSignatureValidationLevel a CrossDomainFilteringLevel a vynutí nové zabezpečené chování. Po instalaci aktualizace z dubna 2025 nebude režim kompatibility podporován.
-
Ochrana ověřování protokolem Kerberos pro CVE-2025-26647 KB5057784 | Režim auditování Počáteční fáze nasazení začíná aktualizacemi vydanými 8. dubna 2025. Tyto aktualizace přidávají nové chování, které detekuje ohrožení zabezpečení se zvýšením oprávnění popsané v cve-2025-26647 , ale nevynucuje ji. Pokud chcete povolit nové chování a být zabezpečeni před ohrožením zabezpečení, musíte zajistit aktualizaci všech řadičů domény windows a nastavení klíče registru AllowNtAuthPolicyBypass na hodnotu 2.
-
Ochrana ověřování protokolem Kerberos pro CVE-2025-26647 KB5057784 | Vynucené ve výchozí fázi Aktualizace vydané v červenci 2025 nebo později, ve výchozím nastavení vynucuje kontrolu NTAuth Store. Nastavení klíče registru AllowNtAuthPolicyBypass umožní zákazníkům v případě potřeby přejít zpět do režimu auditování. Možnost úplné zakázání této aktualizace zabezpečení však bude odebrána.
-
Ochrana ověřování protokolem Kerberos pro cve-2025-26647 KB5057784 | Režim vynucení Aktualizace vydané v říjnu 2025 nebo později, ukončí microsoft podporu klíče registru AllowNtAuthPolicyBypass. V této fázi musí být všechny certifikáty vystaveny autoritou, která je součástí úložiště NTAuth.
-
Ochrana proti obejití zabezpečeného spouštění KB5025885 | Fáze vynucení Fáze vynucení nezačne dříve než v lednu 2026 a v tomto článku před zahájením této fáze upozorníme alespoň šest měsíců předem. Při vydání aktualizací pro fázi vynucení budou zahrnovat následující:
-
Certifikát "Windows Production PCA 2011" se automaticky odvolá přidáním do seznamu zakázaných rozhraní UEFI pro zabezpečené spouštění (DBX) na zařízeních s podporou. Tyto aktualizace budou programově vynucovány po instalaci aktualizací pro Windows do všech ovlivněných systémů bez možnosti jejich zakázání.
-
Další klíčové změny ve Windows
Každá verze klienta a Windows Server Windows přidává nové funkce. V některých případech nové verze také odeberou funkce, často proto, že existuje novější možnost. Podrobnosti o funkcích, které se už ve Windows nevyvíjí, najdete v následujících článcích.
Klient
Server
Získání nejnovějších zpráv
Pokud chcete snadno najít nejnovější aktualizace a připomenutí, vytvořte si záložku Centra zpráv Windows. A pokud jste správce IT s přístupem k Centrum pro správu Microsoftu 365, nastavte Email předvolby na Centrum pro správu Microsoftu 365, abyste dostávali důležitá oznámení a aktualizace.
