|
Skift dato |
Skift beskrivelse |
|---|---|
|
10. marts 2024 |
Revideret den månedlige tidslinje, der tilføjede mere hærdningsrelateret indhold og fjernede posten fra februar 2024 fra tidslinjen, da den ikke er hærdningsrelateret. |
Introduktion
Hærdning er et centralt element i vores løbende sikkerhedsstrategi for at hjælpe med at holde din ejendom beskyttet, mens du fokuserer på dit job. Stadig mere kreative cybertrusler målretter svagheder hvor som helst muligt, fra chippen til skyen. Har du set vores publikationer om hærdning i Windows-meddelelsescenteret? Nogle af dem, der for nylig gennemtvinges, omfatter hærdning af DCOM-godkendelse og Netjoin: hærdning af domænetilknytning. Lad os gennemgå sårbare områder, der gennemgår hærdning i de kommende måneder.
Bemærk!: Denne artikel opdateres med tiden for at give de seneste oplysninger om hærdning af ændringer og tidslinjer. Senest opdateret: 10. marts 2024.
Hurtigt at hærde ændringer
Gennemse den visuelle tidslinje for at fokusere på de specifikke ændringer, der er interessante for dig. Find detaljerne for hver fase nedenfor.
Figur 1: En visuel tidslinje for de hærdningsændringer, der finder sted i 2023.
Figur 2: En visuel tidslinje for de hærdningsændringer, der finder sted i 2024.
Hærdning ændringer efter måned
Se oplysningerne om alle kommende hærdningsændringer pr. måned for at hjælpe dig med at planlægge hver fase og den endelige håndhævelse.
-
Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 1
Indledende installationsfase. Windows Opdateringer, der blev udgivet den 9. maj 2023 eller derefter, afhjælper sårbarheder, der er beskrevet i CVE-2023-24932, ændringer af Windows-startkomponenter og to tilbagekaldte filer, som kan anvendes manuelt (en kodeintegritetspolitik og en opdateret dbx-liste (Secure Boot disallow list).
-
Netlogon-protokolændringer KB5021130 | Fase 3
Gennemtvingelse som standard. RequireSeal-undernøglen flyttes til gennemtvingelsestilstand, medmindre du eksplicit konfigurerer den til at være under Kompatibilitetstilstand. -
Kerberos PAC Signatures KB5020805 | Fase 3
Tredje installationsfase. Fjerner muligheden for at deaktivere tilføjelse af PAC-signatur ved at indstille undernøglen KrbtgtFullPacSignature til en værdi på 0.
-
Netlogon-protokolændringer KB5021130 | Fase 4
Endelig håndhævelse. De Windows-opdateringer, der blev udgivet d. 11. juli 2023, fjerner muligheden for at angive værdi 1 til undernøglen RequireSeal i registreringsdatabasen. Dette aktiverer håndhævelsesfasen for CVE-2022-38023. -
Kerberos PAC Signatures KB5020805 | Fase 4
Indledende gennemtvingelsestilstand. Fjerner muligheden for at angive værdi 1 for undernøglen KrbtgtFullPacSignature og flytter til gennemtvingelsestilstand som standard (KrbtgtFullPacSignature = 3), som du kan tilsidesætte med en eksplicit overvågningsindstilling. -
Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 2
Anden installationsfase. Opdateringer til Windows, der blev udgivet den 11. juli 2023 eller derefter, omfatter automatisk installation af tilbagekaldte filer, nye hændelsesloghændelser for at rapportere, om tilbagekaldelsesinstallationen blev gennemført, og SafeOS Dynamic Update-pakke til WinRE.
-
Kerberos PAC Signatures KB5020805 | Fase 5
Fuld håndhævelsesfase. Fjerner understøttelse af undernøglen KrbtgtFullPacSignature i registreringsdatabasen, fjerner understøttelse af overvågningstilstand , og alle servicebilletter uden de nye PAC-signaturer nægtes godkendelse.
-
Active Directory-tilladelsesopdateringer KB5008383 | Fase 5
Den endelige installationsfase. Den endelige installationsfase kan starte, når du har fuldført trinnene i afsnittet "Gør noget" i KB5008383. Hvis du vil flytte til gennemtvingelsestilstand , skal du følge vejledningen i afsnittet "Installationsvejledning" for at angive 28. og 29. bit på dSHeuristics-attributten . Hold derefter øje med hændelserne 3044-3046. De rapporterer, når gennemtvingelsestilstand har blokeret en LDAP-tilføjelses - eller ændringshandling , der muligvis tidligere kunne have været tilladt i overvågningstilstand .
-
Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 3
Tredje installationsfase. Denne fase tilføjer yderligere afhjælpninger af bootstyring. Denne fase starter tidligst den 9. april 2024.
-
Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 3
Obligatorisk håndhævelsesfase. Tilbagekaldelserne (code integrity boot policy og secure boot notallow list) gennemtvinges programmeringsmæssigt efter installation af opdateringer til Windows på alle berørte systemer uden mulighed for at blive deaktiveret.
-
Certifikatbaseret godkendelse KB5014754 | Fase 3
Fuld gennemtvingelsestilstand. Hvis et certifikat ikke kan tilknyttes kraftigt, nægtes godkendelse.
Få de seneste nyheder
Bogmærke i Windows Meddelelsescenter for nemt at finde de seneste opdateringer og påmindelser. Og hvis du er it-administrator med adgang til Microsoft 365 Administration, skal du konfigurere Mailindstillinger på Microsoft 365 Administration til at modtage vigtige meddelelser og opdateringer.
