|
Datum ändern |
Beschreibung ändern |
|---|---|
|
10. März 2024 |
Die monatliche Zeitleiste wurde überarbeitet, um weitere hardening-bezogene Inhalte hinzuzufügen, und der Eintrag vom Februar 2024 wurde aus dem Zeitleiste entfernt, da er nicht härter wird. |
Einführung
Die Härtung ist ein Schlüsselelement unserer fortlaufenden Sicherheitsstrategie, um Ihren Bestand zu schützen, während Sie sich auf Ihre Arbeit konzentrieren. Immer kreativere Cyberbedrohungen zielen schwachstellen überall hin, vom Chip bis in die Cloud. Haben Sie unsere Veröffentlichungen zum Härten im Windows Message Center gesehen? Einige der kürzlich erzwungenen sind die DCOM-Authentifizierungshärtung und die Härtung von Netjoin: Domänenbeitritt. Sehen wir uns die anfälligen Bereiche an, die sich in den kommenden Monaten verhärten.
Hinweis: Dieser Artikel wird im Laufe der Zeit aktualisiert, um die neuesten Informationen zu Härtungsänderungen und Zeitplänen bereitzustellen. Letzte Aktualisierung: 10. März 2024.
Härtung von Änderungen auf einen Blick
Überprüfen Sie die visuellen Zeitleiste, um sich auf die spezifischen Änderungen zu konzentrieren, die für Sie von Interesse sind. Hier finden Sie die Details zu den einzelnen Phasen.
Abbildung 1: Eine visuelle Zeitleiste der Härtungsänderungen, die im Jahr 2023 vorgenommen werden.
Abbildung 2: Eine visuelle Zeitleiste der Härtungsänderungen, die im Jahr 2024 vorgenommen werden.
Härten von Änderungen nach Monat
Lesen Sie die Details für alle bevorstehenden Härtungsänderungen nach Monat, um Ihnen bei der Planung der einzelnen Phasen und der endgültigen Durchsetzung zu helfen.
-
Netlogon-Protokolländerungen KB5021130 | Phase 2
Erste Erzwingungsphase. Entfernt die Möglichkeit, die RPC-Versiegelung zu deaktivieren, indem der Wert 0 auf den Registrierungsunterschlüssel RequireSeal festgelegt wird. -
Zertifikatbasierte authentifizierung KB5014754 | Phase 2
Entfernt den deaktivierten Modus.
-
Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 1
Anfängliche Bereitstellungsphase. Windows Updates am oder nach dem 9. Mai 2023 veröffentlicht, um Sicherheitsrisiken zu beheben, die in CVE-2023-24932 erläutert wurden, Änderungen an Windows-Startkomponenten und zwei Sperrdateien, die manuell angewendet werden können (eine Codeintegritätsrichtlinie und eine aktualisierte Liste für sichere Startverbote (DBX)).
-
Netlogon-Protokolländerungen KB5021130 | Phase 3
Standardmäßige Erzwingung. RequireSeal-Unterschlüssel wird in den Erzwingungsmodus verschoben, es sei denn, Sie konfigurieren ihn explizit im Kompatibilitätsmodus. -
Kerberos PAC Signatures KB5020805 | Phase 3
Dritte Bereitstellungsphase. Entfernt die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, indem der Unterschlüssel KrbtgtFullPacSignature auf den Wert 0 festgelegt wird.
-
Netlogon-Protokolländerungen KB5021130 | Phase 4
Endgültige Erzwingung. Die am 11. Juli 2023 veröffentlichten Windows-Updates entfernen die Möglichkeit, den Wert 1 für den Registrierungsunterschlüssel RequireSealfestzulegen. Dadurch wird die Erzwingungsphase von CVE-2022-38023 aktiviert. -
Kerberos PAC Signatures KB5020805 | Phase 4
Anfänglicher Erzwingungsmodus. Entfernt die Möglichkeit, den Wert 1 für den Unterschlüssel KrbtgtFullPacSignature festzulegen, und wechselt in den Erzwingungsmodus als Standard (KrbtgtFullPacSignature = 3), den Sie mit einer expliziten Überwachungseinstellung überschreiben können. -
Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 2
Zweite Bereitstellungsphase. Updates für Windows, die am oder nach dem 11. Juli 2023 veröffentlicht wurden, umfassen die automatisierte Bereitstellung der Sperrdateien, neue Ereignisprotokollereignisse zum Melden, ob die Sperrbereitstellung erfolgreich war, und das SafeOS Dynamic Update-Paket für WinRE.
-
Kerberos PAC Signatures KB5020805 | Phase 5
Vollständige Erzwingungsphase. Entfernt die Unterstützung für den Registrierungsunterschlüssel KrbtgtFullPacSignature, entfernt die Unterstützung für den Überwachungsmodus , und für alle Diensttickets ohne die neuen PAC-Signaturen wird die Authentifizierung verweigert.
-
Aktualisierungen von Active Directory-Berechtigungen (AD) KB5008383 | Phase 5
Letzte Bereitstellungsphase. Die letzte Bereitstellungsphase kann beginnen, nachdem Sie die schritte ausgeführt haben, die im Abschnitt "Aktion ergreifen" von KB5008383 aufgeführt sind. Um in den Erzwingungsmodus zu wechseln, befolgen Sie die Anweisungen im Abschnitt "Bereitstellungsanleitung", um die 28. und 29. Bits für das dSHeuristics-Attribut festzulegen. Überwachen Sie dann die 3044-3046-Ereignisse. Sie melden, wenn der Erzwingungsmodus einen LDAP-Vorgang zum Hinzufügen oder Ändern blockiert hat, der möglicherweise zuvor im Überwachungsmodus zulässig war.
-
Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 3
Dritte Bereitstellungsphase. In dieser Phase werden zusätzliche Risikominderungen für den Start-Manager hinzugefügt. Diese Phase beginnt frühestens am 9. April 2024.
-
Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 3
Obligatorische Erzwingungsphase. Die Sperrungen (Codeintegritäts-Startrichtlinie und Verbotsliste für den sicheren Start) werden programmgesteuert erzwungen, nachdem Updates für Windows auf allen betroffenen Systemen installiert wurden, ohne dass die Option deaktiviert werden kann.
-
Zertifikatbasierte authentifizierung KB5014754 | Phase 3
Vollständiger Erzwingungsmodus. Wenn ein Zertifikat nicht stark zugeordnet werden kann, wird die Authentifizierung verweigert.
Aktuelle Nachrichten abrufen
Speichern Sie das Windows-Nachrichtencenter mit einem Lesezeichen, um die neuesten Updates und Erinnerungen einfach zu finden. Wenn Sie ein IT-Administrator mit Zugriff auf die Microsoft 365 Admin Center sind, richten Sie Email Einstellungen auf dem Microsoft 365 Admin Center ein, um wichtige Benachrichtigungen und Updates zu erhalten.
