Platí pro
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Původní datum publikování: 8. dubna 2025

ID znalostní báze: 5057784

Změnit datum

Změnit popis

úterý 22. července 2025

  • Byl aktualizován odstavec v části Informace o klíči registru v části Nastavení registru a protokoly událostí.Původní text: Následující klíč registru umožňuje auditování ohrožených scénářů a následné vynucení změny po vyřešení ohrožených certifikátů. Klíč registru se automaticky nevytvořil. Chování operačního systému, když je klíč registru nekonfigurovaný, bude záviset na tom, ve které fázi nasazení se nachází.Revidovaný text: Následující klíč registru umožňuje auditování ohrožených scénářů a následné vynucení změny po vyřešení ohrožených certifikátů. Klíč registru se nepřidá automaticky. Pokud potřebujete změnit chování, musíte ručně vytvořit klíč registru a nastavit požadovanou hodnotu. Všimněte si, že chování operačního systému při nenakonfigurovaný klíč registru bude záviset na tom, ve které fázi nasazení se nachází.

  • Aktualizovali jsme komentáře v části AllowNtAuthPolicyBypass v části Nastavení registru a protokoly událostí.Původní text: Nastavení registru AllowNtAuthPolicyBypass by mělo být nakonfigurováno pouze na řadičích KDC Systému Windows, jako jsou řadiče domény, na kterých byly nainstalovány aktualizace systému Windows vydané v květnu 2025 nebo po tomto roce.Revidovaný text: Nastavení registru AllowNtAuthPolicyBypass by mělo být nakonfigurováno pouze na počítačích KDC systému Windows, které mají nainstalované aktualizace systému Windows vydané v dubnu 2025 nebo později.

9. května 2025

  • V části Souhrn se výraz "privilegovaný účet" nahradil výrazem "objekt zabezpečení s využitím ověřování na základě certifikátů".

  • Přeformuloval krok "Povolit" v části "Provést akci", aby se objasnilo použití přihlašovacích certifikátů vydaných autoritou, které jsou v úložišti NTAuth.Původní text:Režim vynucování povolení, jakmile vaše prostředí přestane používat přihlašovací certifikáty vydané autoritou, které nejsou v úložišti NTAuth.

  • V části "8. dubna 2025: Počáteční fáze nasazení – režim auditu" provedl rozsáhlé změny tím, že zdůraznil, že před povolením ochrany nabízené touto aktualizací musí existovat určité podmínky... Tato aktualizace musí být použita pro všechny řadiče domény a zajistit, aby přihlašovací certifikáty vydané autoritou byly v úložišti NTAuth. Přidali jsme kroky pro přechod do režimu vynucení a přidali poznámku k výjimce, která zpozdí přesun, když máte řadiče domény, které služba používá ověřování na základě certifikátu podepsaného svým držitelem v několika scénářích.Původní text: Pokud chcete povolit nové chování a být zabezpečeni před ohrožením zabezpečení, musíte zajistit aktualizaci všech řadičů domény windows a nastavení klíče registru AllowNtAuthPolicyBypass na hodnotu 2.

  • Přidání dalšího obsahu do komentářů v částech Informace o klíči registru a Události auditu

  • Byl přidán oddíl Známý problém.

V tomto článku

Shrnutí

Aktualizace zabezpečení windows vydané 8. dubna 2025 nebo později obsahují ochranu před ohrožením zabezpečení pomocí ověřování protokolem Kerberos. Tato aktualizace přináší změnu chování v případě, že vydávající autorita certifikátu použitého pro ověřování na základě certifikátů (CBA) objektu zabezpečení je důvěryhodná, ale ne v úložišti NTAuth, a mapování identifikátoru klíče subjektu (SKI) je k dispozici v atributu altSecID objektu zabezpečení pomocí ověřování na základě certifikátů. Další informace o této chybě zabezpečení najdete v článku CVE-2025-26647.

Přijmout opatření

Pokud chcete chránit své prostředí a zabránit výpadkům, doporučujeme následující kroky:

  1. AKTUALIZUJTE všechny řadiče domény pomocí aktualizace Windows vydané 8. dubna 2025 nebo později.

  2. MONITORUJTE nové události, které budou viditelné na řadičích domény, a identifikujte ovlivněné certifikační autority.

  3. ZAPNOUT Režim vynucení po vašem prostředí teď používá pouze přihlašovací certifikáty vydané autoritou, které jsou v úložišti NTAuth.

atributy altSecID

Následující tabulka uvádí všechny atributy alternativní identifikátory zabezpečení (altSecID) a identifikátory altSecID, které jsou touto změnou ovlivněny.

Seznam atributů certifikátu, které je možné mapovat na altSecID 

AltSecID, které vyžadují zřetězený odpovídající certifikát k úložišti NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Časová osa změn

8. dubna 2025: Počáteční fáze nasazení – režim auditování

Počáteční fáze nasazení (režim auditování ) začíná aktualizacemi vydanými 8. dubna 2025. Tyto aktualizace mění chování, které detekuje ohrožení zabezpečení spočívající ve zvýšení oprávnění popsané v cve-2025-26647 , ale zpočátku ji nevynucuje.

V režimu auditování se na řadiči domény zaprotokoluje ID události 45 , když obdrží žádost o ověření protokolem Kerberos s nebezpečným certifikátem. Žádost o ověření bude povolená a neočekávají se žádné chyby klienta.

Chcete-li povolit změnu chování a být zabezpečeni před ohrožením zabezpečení, musíte zajistit, aby všechny řadiče domény Windows byly aktualizovány vydáním aktualizace Windows 8. dubna 2025 nebo později a nastavení klíče registru AllowNtAuthPolicyBypass je nastaveno na hodnotu 2 , aby bylo možné nakonfigurovat režim vynucení .

Pokud řadič domény v režimu vynucování obdrží žádost o ověření kerberos s nebezpečným certifikátem, zapíše starší ID události: 21 a žádost zamítne.

Pokud chcete zapnout ochranu nabízenou touto aktualizací, postupujte takto:

  1. Nainstalujte aktualizaci Windows vydanou 8. dubna 2025 nebo později na všechny řadiče domény ve vašem prostředí. Po instalaci aktualizace nastavení AllowNtAuthPolicyBypass je výchozí hodnota 1 (Audit), která povolí kontrolu NTAuth a události upozornění protokolu auditu.DŮLEŽITÝ Pokud nejste připraveni pokračovat v instalaci ochrany, které tato aktualizace nabízí, nastavte klíč registru na hodnotu 0 a tuto změnu dočasně zakažte. Další informace najdete v části Informace o klíči registru .

  2. Monitorujte nové události, které budou viditelné na řadičích domény, a identifikujte ovlivněné certifikační autority, které nejsou součástí úložiště NTAuth. ID události, které je potřeba monitorovat, je ID události: 45. Další informace o těchto událostech najdete v části Události auditu .

  3. Ujistěte se, že jsou všechny klientské certifikáty platné a zřetězený s důvěryhodnou vydávající certifikační autoritou v úložišti NTAuth.

  4. Jakmile se vyřeší všechna id události: 45 událostí, můžete přejít do režimu vynucení . Chcete-li to provést, nastavte hodnotu registru AllowNtAuthPolicyBypass na 2. Další informace najdete v části Informace o klíči registru .Poznámka Doporučujeme dočasně odložit nastavení AllowNtAuthPolicyBypass = 2 až po použití aktualizace Windows vydané po květnu 2025 u řadičů domény, které se používají ve více scénářích ověřování pomocí certifikátů podepsané svým držitelem. To zahrnuje řadiče domény, které služby Windows Hello pro firmy důvěryhodnosti klíčů a ověřování veřejného klíče zařízení připojeného k doméně.

Červenec 2025: Vynuceno ve výchozí fázi

Aktualizace vydané v červenci 2025 nebo později budou ve výchozím nastavení vynucovat kontrolu NTAuth Store. Nastavení klíče registru AllowNtAuthPolicyBypass umožní zákazníkům v případě potřeby přejít zpět do režimu auditování . Možnost úplné zakázání této aktualizace zabezpečení však bude odebrána.

Říjen 2025: Režim vynucení

Aktualizace vydané v říjnu 2025 nebo později ukončí podporu microsoftu pro klíč registru AllowNtAuthPolicyBypass. V této fázi musí být všechny certifikáty vystaveny autoritou, která je součástí úložiště NTAuth. 

Nastavení registru a protokoly událostí

Informace o klíči registru

Následující klíč registru umožňuje auditování ohrožených scénářů a následné vynucení změny po vyřešení ohrožených certifikátů. Klíč registru se nepřidá automaticky. Pokud potřebujete změnit chování, musíte ručně vytvořit klíč registru a nastavit požadovanou hodnotu. Všimněte si, že chování operačního systému při nenakonfigurovaný klíč registru bude záviset na tom, ve které fázi nasazení se nachází.

AllowNtAuthPolicyBypass

Podklíč registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Hodnota

AllowNtAuthPolicyBypass

Datový typ

REG_DWORD

Data hodnoty

0

Zakáže změnu úplně.

1

Provede událost kontroly NTAuth a protokolování upozornění označující certifikát, který byl vydán autoritou, která není součástí úložiště NTAuth (režim auditování). (Výchozí chování začíná ve verzi z 8. dubna 2025.)

2

Proveďte kontrolu NTAuth, a pokud selže, nepovolte přihlášení. Protokolujte normální události (existující) pro selhání AS-REQ s kódem chyby, který označuje, že kontrola NTAuth selhala (režim vynucení ).

Komentáře

Nastavení registru AllowNtAuthPolicyBypass by mělo být nakonfigurováno pouze na počítačích KDC systému Windows, které mají nainstalované aktualizace systému Windows vydané v dubnu 2025 nebo později.

Události auditu

ID události: 45 | Událost auditu kontroly úložiště ověřování NT

Správci by měli watch pro následující událost přidanou instalací aktualizací Windows vydaných 8. dubna 2025 nebo později. Pokud existuje, znamená to, že certifikát byl vydán autoritou, která není součástí úložiště NTAuth.

Protokol událostí

Systém protokolů

Typ události

Upozornění

Zdroj události

Kerberos-Key-Distribution-Center

ID události

45

Text události

Centrum distribuce klíčů (KDC) zjistilo klientský certifikát, který byl platný, ale nebyl zřetězený s kořenem v úložišti NTAuth. Podpora certifikátů, které nejsou zřetězené do úložiště NTAuth, je zastaralá.

Podpora řetězení certifikátů s jinými úložišti než NTAuth je zastaralá a nezabezpečená.Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2300705 .

 Uživatel: <uživatelské jméno>  Předmět certifikátu: <subjekt certifikátu>  Vystavitel certifikátu: <vystavitel certifikátu>  Sériové číslo certifikátu: <sériové číslo certifikátu>  Kryptografický otisk certifikátu: < CertThumbprint>

Komentáře

  • Budoucí aktualizace Windows budou optimalizovat počet událostí 45 přihlášených na řadičích domény s ochranou CVE-2025-26647.

  • Správci můžou ignorovat protokolování události Kerberos-Key-Distribution-Center 45 v následujících případech:

    • Uživatel Windows Hello pro firmy (WHfB) se přihlašuje tam, kde subjekt a vystavitel certifikátů odpovídají formátu: <SID>/<UID>/login.windows.net/<ID tenanta>/<upN uživatele>

    • Kryptografie veřejného klíče počítače pro přihlášení PKINIT (Initial Authentication), kde je uživatel účtem počítače (ukončeno koncovým znakem $), subjekt a vystavitel jsou stejný počítač a sériové číslo je 01.

ID události: 21 | Událost selhání AS-REQ

Po vyřešení události Kerberos-Key-Distribution-Center 45 protokolování této obecné starší události značí, že klientský certifikát stále NENÍ důvěryhodný. Tato událost může být protokolována z několika důvodů. Jedním z nich je, že platný klientský certifikát NENÍ zřetězený s vydávající certifikační autoritou v úložišti NTAuth.

Protokol událostí

Systém protokolů

Typ události

Upozornění

Zdroj události

Kerberos-Key-Distribution-Center

ID události

21

Text události

Klientský certifikát pro uživatele <>Domain\UserName není platný a výsledkem je neúspěšné přihlášení pomocí čipové karty.

Požádejte uživatele o další informace o certifikátu, který se pokouší použít pro přihlášení pomocí čipové karty.

Stav řetězu byl: Správně zpracovaný certifikační řetězec, ale poskytovatel zásad nedůvěřuje jednomu z certifikátů certifikační autority.

Komentáře

  • ID události 21, která odkazuje na účet "uživatel" nebo "počítač", popisuje objekt zabezpečení, který spouští ověřování protokolem Kerberos.

  • přihlášení Windows Hello pro firmy (WHfB) budou odkazovat na uživatelský účet.

  • Kryptografie veřejného klíče počítače pro počáteční ověřování (PKINIT) odkazuje na účet počítače.

Známý problém

Zákazníci nahlásili problémy s ID události 45 a ID události 21 aktivovaným ověřováním na základě certifikátů pomocí certifikátů podepsaných svým držitelem. Další informace najdete ve známém problému popsaném ve stavu vydání Windows:

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti