Gælder for
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Oprindelig publiceringsdato: 8. april 2025

KB-id: 5057784

Skift dato

Skift beskrivelse

22. juli 2025

  • Afsnittet under "Oplysninger om registreringsdatabasenøgle" er opdateret i afsnittet "Registreringsdatabaseindstillinger og hændelseslogge".Oprindelig tekst: Følgende registreringsdatabasenøgle giver mulighed for overvågning af sårbare scenarier og gennemtvinger derefter ændringen, når sårbare certifikater er løst. Registreringsdatabasenøglen oprettes ikke automatisk. Operativsystemets funktionsmåde, når registreringsdatabasenøglen ikke er konfigureret, afhænger af, hvilken fase af installationen den er i.Revideret tekst: Følgende registreringsdatabasenøgle giver mulighed for overvågning af sårbare scenarier og gennemtvinger derefter ændringen, når sårbare certifikater er løst. Registreringsdatabasenøglen tilføjes ikke automatisk. Hvis du har brug for at ændre funktionsmåden, skal du manuelt oprette registreringsdatabasenøglen og angive den ønskede værdi. Bemærk, at operativsystemets funktionsmåde, når registreringsdatabasenøglen ikke er konfigureret, afhænger af, hvilken fase af installationen den er i.

  • Kommentarerne er opdateret under "AllowNtAuthPolicyBypass" i afsnittet "Indstillinger for registreringsdatabase og hændelseslogge".Oprindelig tekst:Registreringsdatabaseindstillingen AllowNtAuthPolicyBypass bør kun konfigureres på Windows-kpi'er, f.eks. domænecontrollere, der har installeret de Windows-opdateringer, der er udgivet i eller efter maj 2025.Revideret tekst: Registreringsdatabaseindstillingen AllowNtAuthPolicyBypass bør kun konfigureres på Windows-kpi'er, der har installeret de Windows-opdateringer, der er udgivet i eller efter april 2025.

9. maj 2025

  • Erstattet udtrykket "privilegeret konto" med "sikkerhedsprincipal ved hjælp af certifikatbaseret godkendelse" i afsnittet "Oversigt".

  • Omformulerede trinnet "Aktivér" i afsnittet "Udfør handling" for at tydeliggøre brugen af logoncertifikater, der er udstedt af myndigheder, der er i NTAuth-lageret.Oprindelig tekst:AKTIVér gennemtvingelsestilstand, når miljøet ikke længere bruger logoncertifikater, der er udstedt af myndigheder, der ikke er i NTAuth-lageret.

  • I afsnittet "8. april 2025: Indledende installationsfase – overvågningstilstand" har du foretaget omfattende ændringer ved at understrege, at der skal være visse betingelser, før du aktiverer den beskyttelse, som denne opdatering... denne opdatering skal anvendes på alle domænecontrollere OG sikre, at logoncertifikater, der er udstedt af myndighederne, findes i NTAuth-lageret. Der er tilføjet trin til at flytte til gennemtvingelsestilstand og tilføjet en undtagelsesnote for at forsinke flytningen, når du har domænecontrollere, som anvender selvsigneret certifikatbaseret godkendelse i flere scenarier.Oprindelig tekst: Hvis du vil aktivere den nye funktionsmåde og være sikker mod sikkerhedsrisikoen, skal du sikre dig, at alle Windows-domænecontrollere opdateres, og at registreringsdatabasenøgleindstillingen AllowNtAuthPolicyBypass er indstillet til 2.

  • Der er føjet yderligere indhold til afsnittene "Kommentarer" i afsnittene "Oplysninger om registreringsdatabasenøgle" og "Overvågningshændelser".

  • Sektionen "Kendt problem" er tilføjet.

I denne artikel

Sammendrag

De Windows-sikkerhedsopdateringer, der er udgivet den 8. april 2025 eller derefter, indeholder beskyttelse mod en sårbarhed med Kerberos-godkendelse. Denne opdatering giver en ændring i funktionsmåden, når det udstedende organ for det certifikat, der bruges til en sikkerhedsprincipals certifikatbaserede godkendelse (CBA), er pålidelig, men ikke i NTAuth-lageret, og der findes en SKI-tilknytning (Subject Key Identifier) i attributten altSecID for sikkerhedsprincipalen ved hjælp af certifikatbaseret godkendelse. Du kan få mere at vide om denne sårbarhed under CVE-2025-26647.

Gør noget

For at beskytte dit miljø og forhindre afbrydelser anbefaler vi følgende trin:

  1. OPDATER alle domænecontrollere med en Windows-opdatering, der er udgivet den 8. april 2025 eller derefter.

  2. OVERVÅG nye hændelser, der vil være synlige på domænecontrollere for at identificere berørte nøglecentre.

  3. MULIGGØRE Gennemtvingelsestilstand, når dit miljø nu kun bruger logoncertifikater, der er udstedt af myndigheder i NTAuth-lageret.

altSecID-attributter

I følgende tabel vises alle attributterne for Alternative Security Identifiers (altSecID'er) og altSecID'er, der påvirkes af denne ændring.

Liste over certifikatattributter, der kan knyttes til altSecID'er 

AltSecID'er, der kræver et matchende certifikat for at kæde til NTAuth-lageret

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Tidslinje for ændringer

8. april 2025: Indledende installationsfase – overvågningstilstand

Den indledende installationsfase (overvågningstilstand ) starter med de opdateringer, der blev udgivet d. 8. april 2025. Disse opdateringer ændrer funktionsmåden, der registrerer rettighedsudvidelsen, der er beskrevet i CVE-2025-26647 , men gennemtvinger den ikke i første omgang.

I overvågningstilstand logføres hændelses-id: 45 på domænecontrolleren, når den modtager en Kerberos-godkendelsesanmodning med et usikkert certifikat. Godkendelsesanmodningen tillades, og der forventes ingen klientfejl.

Hvis du vil aktivere ændringen i funktionsmåden og være sikker mod sikkerhedsrisikoen, skal du sikre dig, at alle Windows-domænecontrollere opdateres med en Windows Update-udgivelse den 8. april 2025 eller derefter, og at registreringsdatabasenøgleindstillingen AllowNtAuthPolicyBypass er indstillet til 2 for at konfigurere til gennemtvingelsestilstand .

Hvis domænecontrolleren modtager en Kerberos-godkendelsesanmodning med et usikkert certifikat i gennemtvingelsestilstand , logføres det ældre hændelses-id: 21 , og anmodningen afvises.

Hvis du vil slå den beskyttelse, som denne opdatering tilbyder, til, skal du følge disse trin:

  1. Anvend den Windows-opdatering, der blev udgivet den 8. april 2025 eller derefter, på alle domænecontrollere i dit miljø. Når opdateringen er blevet anvendt, er indstillingen AllowNtAuthPolicyBypass som standard 1 (Overvågning), hvilket aktiverer NTAuth-kontrollen og overvågningsloggens advarselshændelser.VIGTIG Hvis du ikke er klar til at fortsætte med at anvende den beskyttelse, som denne opdatering tilbyder, skal du indstille registreringsdatabasenøglen til 0 for midlertidigt at deaktivere denne ændring. Se afsnittet Oplysninger om registreringsdatabasenøgle for at få flere oplysninger.

  2. Overvåg nye hændelser, der vil være synlige på domænecontrollere, for at identificere berørte nøglecentre, der ikke er en del af NTAuth-lageret. Det hændelses-id, du skal overvåge , er hændelses-id: 45. Se afsnittet Overvågningshændelser for at få flere oplysninger om disse hændelser.

  3. Sørg for, at alle klientcertifikater er gyldige og kædet sammen med et udstedende nøglecenter, der er tillid til, i NTAuth-lageret.

  4. Når alle hændelses-id'et: 45 hændelser er løst, kan du fortsætte til gennemtvingelsestilstand . Det gør du ved at angive registreringsdatabaseværdien AllowNtAuthPolicyBypass til 2. Se afsnittet Oplysninger om registreringsdatabasenøgle for at få flere oplysninger.Seddel Vi anbefaler, at du midlertidigt udskyder indstillingen AllowNtAuthPolicyBypass = 2, indtil du har anvendt Den Windows-opdatering, der er udgivet efter maj 2025, til domænecontrollere, som tjeneste selvsigneret certifikatbaseret godkendelse, der bruges i flere scenarier. Dette omfatter domænecontrollere, som tjenesten Windows Hello til virksomheder Nøgletillid og Godkendelse af offentlig nøgle på enhed, der er tilsluttet et domæne.

Juli 2025: Gennemtvunget som standardfase

Opdateringer, der frigives i eller efter juli 2025, gennemtvinger NTAuth Store-kontrollen som standard. Registreringsdatabasenøgleindstillingen AllowNtAuthPolicyBypass giver stadig kunderne mulighed for at gå tilbage til overvågningstilstand , hvis det er nødvendigt. Muligheden for at deaktivere denne sikkerhedsopdatering fuldstændigt fjernes dog.

Oktober 2025: Gennemtvingelsestilstand

Opdateringer, der er udgivet i eller efter oktober 2025, ophører Microsofts understøttelse af registreringsdatabasenøglen AllowNtAuthPolicyBypass. På nuværende tidspunkt skal alle certifikater udstedes af myndigheder, der er en del af NTAuth-butikken. 

Indstillinger i registreringsdatabasen og hændelseslogge

Oplysninger om registreringsdatabasenøgle

Følgende registreringsdatabasenøgle giver mulighed for overvågning af sårbare scenarier og gennemtvinger derefter ændringen, når sårbare certifikater er løst. Registreringsdatabasenøglen tilføjes ikke automatisk. Hvis du har brug for at ændre funktionsmåden, skal du manuelt oprette registreringsdatabasenøglen og angive den ønskede værdi. Bemærk, at operativsystemets funktionsmåde, når registreringsdatabasenøglen ikke er konfigureret, afhænger af, hvilken fase af installationen den er i.

AllowNtAuthPolicyBypass

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Værdi

AllowNtAuthPolicyBypass

Datatype

REG_DWORD

Værdidata

0

Deaktiverer ændringen helt.

1

Udfører NTAuth-kontrol- og logadvarselshændelsen, der angiver certifikat, der er udstedt af et nøglecenter, der ikke er en del af NTAuth-lageret (overvågningstilstand). Standardfunktionsmåden starter i udgivelsen for 8. april 2025.

2

Udfør NTAuth-kontrollen, og hvis det mislykkes, tillader det ikke logon. Logfør normale hændelser (eksisterende) for en AS-REQ-fejl med en fejlkode, der angiver, at NTAuth-kontrollen mislykkedes (gennemtvunget tilstand).

Kommentarer

Registreringsdatabaseindstillingen AllowNtAuthPolicyBypass bør kun konfigureres på Windows-kpi'er, der har installeret de Windows-opdateringer, der er udgivet i eller efter april 2025.

Overvågningshændelser

Hændelses-id: 45 | NT Auth Store Check Audit-hændelse

Administratorer bør holde øje med følgende hændelse, der er tilføjet ved installationen af Windows-opdateringer, der er udgivet den 8. april 2025 eller derefter. Hvis det findes, betyder det, at et certifikat er udstedt af et nøglecenter, der ikke er en del af NTAuth-lageret.

Hændelseslog

Logsystem

Hændelsestype

Advarsel

Hændelseskilde

Kerberos-Key-Distribution-Center

Hændelses-id

45

Hændelsestekst

Nøgledistributionscenter (KDC) fandt et klientcertifikat, der var gyldigt, men ikke kædet til en rod i NTAuth-lageret. Understøttelse af certifikater, der ikke er kædet sammen med NTAuth-lageret, frarådes.

Understøttelse af certifikater, der sammenkædes med ikke-NTAuth-butikker, frarådes og er usikker.Se https://go.microsoft.com/fwlink/?linkid=2300705 for at få mere at vide.

 Bruger: <Brugernavn>  Certifikat emne: <certifikat emne>  Certifikatudsteder: <certifikatudsteder>  Certifikatserienummer: <certifikat serienummer>  Certifikat thumbprint: < CertThumbprint>

Kommentarer

  • Fremtidige Windows-opdateringer optimerer antallet af hændelse 45'er, der er logget på CVE-2025-26647-beskyttede domænecontrollere.

  • Administratorer kan ignorere logføringen af Kerberos-Key-Distribution-Center-hændelse 45 i følgende tilfælde:

    • brugerlogon til Windows Hello til virksomheder (WHfB), hvor certifikaternes emne og udsteder svarer til formatet: <SID>/<UID>/login.windows.net/<lejer-id>/<bruger UPN->

    • PKINIT-logon (Machine Public Key Cryptography for Initial Authentication), hvor brugeren er en computerkonto (afsluttet med et efterstillet $-tegn),emne og udsteder er den samme computer, og serienummeret er 01.

Hændelses-id: 21 | AS-REQ-fejlhændelse

Når du har adresseret Kerberos-Key-Distribution-Center Event 45, angiver logføringen af denne generiske ældre hændelse, at der stadig ikke er tillid til klientcertifikatet. Hændelsen kan logføres af flere årsager, hvoraf den ene er, at et gyldigt klientcertifikat IKKE er kædet sammen med et udstedende nøglecenter i NTAuth-lageret.

Hændelseslog

Logsystem

Hændelsestype

Advarsel

Hændelseskilde

Kerberos-Key-Distribution-Center

Hændelses-id

21

Hændelsestekst

Klientcertifikatet for brugeren <Domain\UserName> er ikke gyldigt og resulterede i et mislykket chipkortlogon.

Kontakt brugeren for at få flere oplysninger om det certifikat, brugeren forsøger at bruge til chipkortlogon.

Kædens status var: En certificeringskæde, der blev behandlet korrekt, men der er ikke tillid til et af nøglecenterets certifikater af politikudbyderen.

Kommentarer

  • Et hændelses-id: 21, der refererer til en "bruger" eller "computer"-konto, beskriver sikkerhedsprincipalen, der starter Kerberos-godkendelse.

  • Windows Hello til virksomheder-logon (WHfB) henviser til en brugerkonto.

  • Machine Public Key Cryptography for Initial Authentication (PKINIT) refererer til en computerkonto.

Kendt problem

Kunder rapporterede problemer med hændelses-id: 45 og hændelses-id: 21 udløst af certifikatbaseret godkendelse ved hjælp af selvsignerede certifikater. Du kan finde flere oplysninger i det kendte problem, der er beskrevet i Windows-udgivelsestilstand:

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed