Seneste vejledning til hærdning i Windows og vigtige datoer

Netlogon-protokolændringer KB5021130 | Fase 2

Indledende håndhævelsesfase. Fjerner muligheden for at deaktivere RPC-forsegling ved at indstille værdien 0 til undernøglen RequireSeal i registreringsdatabasen.

Certifikatbaseret godkendelse KB5014754 | Fase 2

Fjerner deaktiveret tilstand.

Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 1

Indledende installationsfase. Windows Opdateringer, der blev udgivet den 9. maj 2023 eller derefter, afhjælper sårbarheder, der er beskrevet i CVE-2023-24932, ændringer af Windows-startkomponenter og to tilbagekaldte filer, som kan anvendes manuelt (en kodeintegritetspolitik og en opdateret dbx-liste (Secure Boot disallow list).

Netlogon-protokolændringer KB5021130 | Fase 3

Gennemtvingelse som standard. RequireSeal-undernøglen flyttes til gennemtvingelsestilstand, medmindre du eksplicit konfigurerer den til at være under Kompatibilitetstilstand.

Kerberos PAC Signatures KB5020805 | Fase 3

Tredje installationsfase. Fjerner muligheden for at deaktivere tilføjelse af PAC-signatur ved at indstille undernøglen KrbtgtFullPacSignature til en værdi på 0.

Netlogon-protokolændringer KB5021130 | Fase 4

Endelig håndhævelse. De Windows-opdateringer, der blev udgivet d. 11. juli 2023, fjerner muligheden for at angive værdi 1 til undernøglen RequireSeal i registreringsdatabasen. Dette aktiverer håndhævelsesfasen for CVE-2022-38023.

Kerberos PAC Signatures KB5020805 | Fase 4

Indledende gennemtvingelsestilstand. Fjerner muligheden for at angive værdi 1 for undernøglen KrbtgtFullPacSignature og flytter til gennemtvingelsestilstand som standard (KrbtgtFullPacSignature = 3), som du kan tilsidesætte med en eksplicit overvågningsindstilling. 

Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 2

Anden installationsfase. Opdateringer til Windows, der blev udgivet den 11. juli 2023 eller derefter, omfatter automatisk installation af tilbagekaldte filer, nye hændelsesloghændelser for at rapportere, om tilbagekaldelsesinstallationen blev gennemført, og SafeOS Dynamic Update-pakke til WinRE.

Kerberos PAC Signatures KB5020805 | Fase 5

Fuld håndhævelsesfase. Fjerner understøttelse af undernøglen KrbtgtFullPacSignature i registreringsdatabasen, fjerner understøttelse af overvågningstilstand , og alle servicebilletter uden de nye PAC-signaturer nægtes godkendelse.

Active Directory-tilladelsesopdateringer KB5008383 | Fase 5

Den endelige installationsfase. Den endelige installationsfase kan starte, når du har fuldført trinnene i afsnittet "Gør noget" i KB5008383. Hvis du vil flytte til gennemtvingelsestilstand , skal du følge vejledningen i afsnittet "Installationsvejledning" for at angive 28. og 29. bit på dSHeuristics-attributten . Hold derefter øje med hændelserne 3044-3046. De rapporterer, når gennemtvingelsestilstand har blokeret en LDAP-tilføjelses - eller ændringshandling , der muligvis tidligere kunne have været tilladt i overvågningstilstand . 

Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 3

Tredje installationsfase. Denne fase tilføjer yderligere afhjælpninger af bootstyring. Denne fase starter tidligst den 9. april 2024.

Ændring af PAC-validering KB5037754 | Kompatibilitetstilstandsfase

Den indledende installationsfase starter med de opdateringer, der blev udgivet d. 9. april 2024. Denne opdatering tilføjer en ny funktionsmåde, der forhindrer udvidelse af rettighedssårbarheder beskrevet i CVE-2024-26248 og CVE-2024-29056, men gennemtvinger den ikke, medmindre både Windows-domænecontrollere og Windows-klienter i miljøet opdateres.

Hvis du vil aktivere den nye funktionsmåde og afhjælpe sårbarhederne, skal du sørge for, at hele Windows-miljøet (herunder både domænecontrollere og klienter) er opdateret. Overvågningshændelser logføres for at identificere enheder, der ikke opdateres.

Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Fase 3

Obligatorisk håndhævelsesfase. Tilbagekaldelserne (code integrity boot policy og secure boot notallow list) gennemtvinges programmeringsmæssigt efter installation af opdateringer til Windows på alle berørte systemer uden mulighed for at blive deaktiveret.

Ændring af PAC-validering KB5037754 | Håndhævelse som standardfase

Opdateringer, der er udgivet i eller efter januar 2025, flytter alle Windows-domænecontrollere og -klienter i miljøet til gennemtvunget tilstand. Denne tilstand gennemtvinger sikker funktionsmåde som standard. Eksisterende indstillinger for registreringsdatabasenøgler, der tidligere er angivet, tilsidesætter denne standardfunktionsmåde.

Standardindstillingerne for gennemtvunget tilstand kan tilsidesættes af en administrator for at vende tilbage til kompatibilitetstilstand.

Certifikatbaseret godkendelse KB5014754 | Fase 3

Fuld gennemtvingelsestilstand. Hvis et certifikat ikke kan tilknyttes kraftigt, nægtes godkendelse.

Ændring af PAC-validering KB5037754 | Håndhævelsesfase

De Windows-sikkerhedsopdateringer, der er udgivet i eller efter april 2025, fjerner understøttelse af undernøglerne PacSignatureValidationLevel og CrossDomainFilteringLevel i registreringsdatabasen og gennemtvinger den nye sikre funktionsmåde. Der vil ikke være nogen understøttelse af kompatibilitetstilstand efter installation af april 2025-opdateringen.

Kerberos-godkendelsesbeskyttelse til CVE-2025-26647 KB5057784 | Overvågningstilstand

Den indledende installationsfase starter med de opdateringer, der blev udgivet d. 8. april 2025. Disse opdateringer tilføjer ny funktionsmåde, der registrerer rettighedsudvidelsen, der er beskrevet i CVE-2025-26647 , men som ikke gennemtvinger den. Hvis du vil aktivere den nye funktionsmåde og være sikker mod sikkerhedsrisikoen, skal du sikre dig, at alle Windows-domænecontrollere opdateres, og at registreringsdatabasenøgleindstillingen AllowNtAuthPolicyBypass er indstillet til 2.

Kerberos-godkendelsesbeskyttelse til CVE-2025-26647 KB5057784 | Gennemtvunget som standardfase

Opdateringer udgivet i eller efter juli 2025, gennemtvinger NTAuth Store-kontrollen som standard. Registreringsdatabasenøgleindstillingen AllowNtAuthPolicyBypass giver stadig kunderne mulighed for at gå tilbage til overvågningstilstand, hvis det er nødvendigt. Muligheden for at deaktivere denne sikkerhedsopdatering fuldstændigt fjernes dog.

Kerberos-godkendelsesbeskyttelse til CVE-2025-26647 KB5057784 | Gennemtvingelsestilstand

​​​​​​​Opdateringer, der er udgivet i eller efter oktober 2025, ophører Microsofts understøttelse af registreringsdatabasenøglen AllowNtAuthPolicyBypass. På nuværende tidspunkt skal alle certifikater udstedes af myndigheder, der er en del af NTAuth-butikken.

Beskyttelse mod omgåelse af sikker bootstart KB5025885 | Håndhævelsesfase

Håndhævelsesfasen starter ikke før januar 2026, og vi giver mindst seks måneders varsel i denne artikel, før denne fase begynder. Når der frigives opdateringer til håndhævelsesfasen, omfatter de følgende:

• Certifikatet "Windows Production PCA 2011" tilbagekaldes automatisk ved at blive føjet til sikker bootstart på DBX (Secure Boot UEFI Forbidden List) på kompatible enheder. Disse opdateringer gennemtvinges programmeringsmæssigt efter installation af opdateringer til Windows på alle berørte systemer uden mulighed for at blive deaktiveret.