Ισχύει για
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Αρχική ημερομηνία δημοσίευσης: 8 Απριλίου 2025

Αναγνωριστικό KB: 5057784

Αλλαγή ημερομηνίας

Αλλαγή περιγραφής

22 Ιουλίου 2025

  • Ενημερώθηκε η παράγραφος στην περιοχή "Πληροφορίες κλειδιού μητρώου" στην ενότητα "Ρυθμίσεις μητρώου και αρχεία καταγραφής συμβάντων".Αρχικό κείμενο: Το ακόλουθο κλειδί μητρώου επιτρέπει τον έλεγχο ευάλωτων σεναρίων και, στη συνέχεια, την επιβολή της αλλαγής μόλις αντιμετωπιστούν τα ευάλωτα πιστοποιητικά. Το κλειδί μητρώου δεν θα δημιουργηθεί αυτόματα. Η συμπεριφορά του λειτουργικού συστήματος όταν το κλειδί μητρώου δεν έχει ρυθμιστεί θα εξαρτάται από τη φάση ανάπτυξης στην οποία βρίσκεται.Αναθεωρημένο κείμενο: Το ακόλουθο κλειδί μητρώου επιτρέπει τον έλεγχο ευάλωτων σεναρίων και, στη συνέχεια, την επιβολή της αλλαγής μόλις αντιμετωπιστούν τα ευάλωτα πιστοποιητικά. Το κλειδί μητρώου δεν προστίθεται αυτόματα. Εάν θέλετε να αλλάξετε τη συμπεριφορά, πρέπει να δημιουργήσετε με μη αυτόματο τρόπο το κλειδί μητρώου και να ορίσετε την τιμή που χρειάζεστε. Σημειώστε ότι η συμπεριφορά του λειτουργικού συστήματος όταν το κλειδί μητρώου δεν έχει ρυθμιστεί θα εξαρτάται από τη φάση ανάπτυξης στην οποία βρίσκεται.

  • Ενημερώθηκε η ενότητα Σχόλια στην ενότητα "AllowNtAuthPolicyBypass" στην ενότητα "Ρυθμίσεις μητρώου και αρχεία καταγραφής συμβάντων".Αρχικό κείμενο: Η ρύθμιση μητρώου AllowNtAuthPolicyBypass θα πρέπει να ρυθμιστεί μόνο σε KDC των Windows, όπως ελεγκτές τομέα που έχουν εγκαταστήσει τις ενημερώσεις των Windows που κυκλοφόρησαν τον Μάιο του 2025 ή μετά.Αναθεωρημένο κείμενο: Η ρύθμιση μητρώου AllowNtAuthPolicyBypass θα πρέπει να ρυθμιστεί μόνο σε KDC των Windows που έχουν εγκαταστήσει τις ενημερώσεις των Windows που κυκλοφόρησαν τον Απρίλιο του 2025 ή μετά.

9 Μαΐου 2025

  • Αντικατέστησε τον όρο "λογαριασμός με δικαιώματα" με "κύρια αρχή ασφαλείας με έλεγχο ταυτότητας βάσει πιστοποιητικού" στην ενότητα "Σύνοψη".

  • Επαναδιατυπώθηκε το βήμα "Ενεργοποίηση" στην ενότητα "Ανάληψη ενέργειας" για να αποσαφηνιστεί η χρήση πιστοποιητικών σύνδεσης που εκδίδονται από τις αρχές που βρίσκονται στο χώρο αποθήκευσης NTAuth.Αρχικό κείμενο:Λειτουργία ενεργοποίησης ενεργοποίησης όταν το περιβάλλον σας δεν χρησιμοποιεί πλέον πιστοποιητικά σύνδεσης που έχουν εκδοθεί από αρχές που δεν βρίσκονται στο χώρο αποθήκευσης NTAuth.

  • Στην ενότητα "8 Απριλίου 2025: Φάση αρχικής ανάπτυξης – Λειτουργία ελέγχου", έγιναν εκτεταμένες αλλαγές, τονίζοντας ότι πρέπει να υπάρχουν ορισμένες συνθήκες πριν ενεργοποιήσετε τα μέτρα προστασίας που προσφέρει αυτή η ενημέρωση... αυτή η ενημέρωση πρέπει να εφαρμοστεί σε όλους τους ελεγκτές τομέα ΚΑΙ να διασφαλιστεί ότι τα πιστοποιητικά σύνδεσης που εκδίδονται από τις αρχές βρίσκονται στο χώρο αποθήκευσης NTAuth. Προσθέσαμε βήματα για τη μετάβαση στη λειτουργία επιβολής και προσθέσαμε μια σημείωση εξαίρεσης για την καθυστέρηση της μετακίνησης όταν έχετε ελεγκτές τομέα που εξυπηρετούν τον αυτο-υπογεγραμμένο έλεγχο ταυτότητας βάσει πιστοποιητικού που χρησιμοποιείται σε πολλά σενάρια.Αρχικό κείμενο: Για να ενεργοποιήσετε τη νέα συμπεριφορά και να είστε ασφαλείς από την ευπάθεια, πρέπει να βεβαιωθείτε ότι όλοι οι ελεγκτές τομέα των Windows έχουν ενημερωθεί και ότι η ρύθμιση κλειδιού μητρώου AllowNtAuthPolicyBypass έχει οριστεί σε 2.

  • Προσθέσαμε επιπλέον περιεχόμενο στις ενότητες "Σχόλια" των ενοτήτων "Βασικές πληροφορίες μητρώου" και "Συμβάντα ελέγχου".

  • Προστέθηκε μια ενότητα "Γνωστό πρόβλημα".

Σε αυτό το άρθρο

Σύνοψη

Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 8 Απριλίου 2025 περιέχουν μέτρα προστασίας για μια ευπάθεια με τον έλεγχο ταυτότητας Kerberos. Αυτή η ενημέρωση παρέχει μια αλλαγή συμπεριφοράς όταν η αρχή έκδοσης του πιστοποιητικού που χρησιμοποιείται για τον έλεγχο ταυτότητας βάσει πιστοποιητικού (CBA) μιας κύριας αρχής ασφαλείας είναι αξιόπιστη, αλλά όχι στο χώρο αποθήκευσης NTAuth και μια αντιστοίχιση αναγνωριστικού κλειδιού θέματος (SKI) υπάρχει στο χαρακτηριστικό altSecID της κύριας ασφάλειας με χρήση ελέγχου ταυτότητας βάσει πιστοποιητικού. Για να μάθετε περισσότερα σχετικά με αυτή την ευπάθεια, ανατρέξτε στο θέμα CVE-2025-26647.

Ανάληψη δράσης

Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τις διακοπές λειτουργίας, συνιστάται να ακολουθήσετε τα παρακάτω βήματα:

  1. ΕΝΗΜΕΡΩΣΗ όλων των ελεγκτών τομέα με μια ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 8 Απριλίου 2025.

  2. ΠΑΡΑΚΟΛΟΎΘΗΣΗ νέων συμβάντων που θα είναι ορατά στους ελεγκτές τομέα για τον προσδιορισμό των επηρεαζόμενων αρχών έκδοσης πιστοποιητικών.

  3. ΕΝΕΡΓΟΠΟΙΏ Η λειτουργία επιβολής μετά το περιβάλλον σας χρησιμοποιεί τώρα μόνο πιστοποιητικά σύνδεσης που έχουν εκδοθεί από αρχές που βρίσκονται στο χώρο αποθήκευσης NTAuth.

χαρακτηριστικά altSecID

Ο παρακάτω πίνακας παραθέτει όλα τα χαρακτηριστικά εναλλακτικών αναγνωριστικών ασφαλείας (altSecIDs) και τα altSecID που επηρεάζονται από αυτήν την αλλαγή.

Λίστα χαρακτηριστικών πιστοποιητικού που θα μπορούσαν να αντιστοιχιστούν σε altSecIDs 

AltSecIDs που απαιτούν ένα αντίστοιχο πιστοποιητικό για την αλυσίδα στο χώρο αποθήκευσης NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Λωρίδα χρόνου αλλαγών

8 Απριλίου 2025: Φάση αρχικής ανάπτυξης – Λειτουργία ελέγχου

Η αρχική φάση ανάπτυξης (Λειτουργία ελέγχου ) ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 8 Απριλίου 2025. Αυτές οι ενημερώσεις αλλάζουν τη συμπεριφορά που εντοπίζει την ευπάθεια ανύψωσης δικαιωμάτων που περιγράφεται στο CVE-2025-26647 , αλλά δεν την επιβάλλουν αρχικά.

Κατά τη λειτουργία ελέγχου , το αναγνωριστικό συμβάντος: 45 θα καταγράφεται στον ελεγκτή τομέα όταν λαμβάνει μια αίτηση ελέγχου ταυτότητας Kerberos με μη ασφαλές πιστοποιητικό. Η αίτηση ελέγχου ταυτότητας θα επιτρέπεται και δεν αναμένονται σφάλματα προγράμματος-πελάτη.

Για να ενεργοποιήσετε την αλλαγή συμπεριφοράς και να είστε ασφαλείς από την ευπάθεια, πρέπει να βεβαιωθείτε ότι όλοι οι ελεγκτές τομέα των Windows ενημερώνονται με μια έκδοση ενημέρωσης των Windows στις ή μετά τις 8 Απριλίου 2025 και ότι η ρύθμιση κλειδιού μητρώου AllowNtAuthPolicyBypass έχει οριστεί σε 2 για ρύθμιση παραμέτρων για τη λειτουργία επιβολής .

Όταν βρίσκεστε σε λειτουργία επιβολής , εάν ο ελεγκτής τομέα λάβει μια αίτηση ελέγχου ταυτότητας Kerberos με μη ασφαλές πιστοποιητικό, θα καταγράψει το αναγνωριστικό συμβάντος παλαιού τύπου: 21 και θα απορρίψει την αίτηση.

Για να ενεργοποιήσετε τα μέτρα προστασίας που παρέχονται από αυτήν την ενημέρωση, ακολουθήστε τα εξής βήματα:

  1. Εφαρμόστε την ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 8 Απριλίου 2025 σε όλους τους ελεγκτές τομέα στο περιβάλλον σας. Μετά την εφαρμογή της ενημέρωσης, η ρύθμιση AllowNtAuthPolicyBypass ορίζεται από προεπιλογή σε 1 (Έλεγχος) που επιτρέπει τον έλεγχο NTAuth και τα συμβάντα προειδοποίησης αρχείου καταγραφής ελέγχου.ΣΗΜΑΝΤΙΚΌΣ Αν δεν είστε έτοιμοι να προχωρήσετε στην εφαρμογή των προστατευμένων που παρέχονται από αυτήν την ενημέρωση, ορίστε το κλειδί μητρώου σε 0 για να απενεργοποιήσετε προσωρινά αυτήν την αλλαγή. Ανατρέξτε στην ενότητα Πληροφορίες κλειδιού μητρώου για περισσότερες πληροφορίες.

  2. Παρακολουθήστε νέα συμβάντα που θα είναι ορατά σε ελεγκτές τομέα για να προσδιορίσετε τις επηρεαζόμενες αρχές έκδοσης πιστοποιητικών που δεν αποτελούν μέρος του χώρου αποθήκευσης NTAuth. Το αναγνωριστικό συμβάντος που πρέπει να παρακολουθήσετε είναι το αναγνωριστικό συμβάντος: 45. Ανατρέξτε στην ενότητα Συμβάντα ελέγχου για περισσότερες πληροφορίες σχετικά με αυτά τα συμβάντα.

  3. Βεβαιωθείτε ότι όλα τα πιστοποιητικά προγράμματος-πελάτη είναι έγκυρα και έχουν συνδεθεί με αλυσίδα σε μια αξιόπιστη αρχή έκδοσης πιστοποιητικών στον χώρο αποθήκευσης NTAuth.

  4. Μετά από όλο το αναγνωριστικό συμβάντος: 45 συμβάντα επιλύονται και, στη συνέχεια, μπορείτε να προχωρήσετε σε λειτουργία επιβολής . Για να το κάνετε αυτό, ορίστε την τιμή μητρώου AllowNtAuthPolicyBypass σε 2. Ανατρέξτε στην ενότητα Πληροφορίες κλειδιού μητρώου για περισσότερες πληροφορίες.Σημείωση Συνιστάται να καθυστερήσετε προσωρινά τη ρύθμιση του AllowNtAuthPolicyBypass = 2 μέχρι μετά την εφαρμογή της ενημέρωσης των Windows που κυκλοφόρησε μετά τον Μάιο του 2025 σε ελεγκτές τομέα, οι οποίοι εξυπηρετούν τον αυτο-υπογεγραμμένο έλεγχο ταυτότητας βάσει πιστοποιητικού που χρησιμοποιείται σε πολλά σενάρια. Σε αυτούς περιλαμβάνονται οι ελεγκτές τομέα που Windows Hello για επιχειρήσεις Βασική αξιοπιστία και έλεγχος ταυτότητας δημόσιου κλειδιού συσκευής που συνδέεται με τομέα.

Ιούλιος 2025: Επιβολή από προεπιλεγμένη φάση

Ενημερώσεις που θα κυκλοφορήσει τον Ιούλιο του 2025 ή μετά θα επιβάλει τον έλεγχο του NTAuth Store από προεπιλογή. Η ρύθμιση κλειδιού μητρώου AllowNtAuthPolicyBypass θα εξακολουθεί να επιτρέπει στους πελάτες να επιστρέψουν στη λειτουργία ελέγχου , εάν είναι απαραίτητο. Ωστόσο, η δυνατότητα πλήρης απενεργοποίησης αυτής της ενημέρωσης ασφαλείας θα καταργηθεί.

Οκτώβριος 2025: Λειτουργία επιβολής κυρώσεων

Ενημερώσεις που θα κυκλοφορήσει τον Οκτώβριο του 2025 ή μετά θα διακόψει την υποστήριξη της Microsoft για το κλειδί μητρώου AllowNtAuthPolicyBypass. Σε αυτό το στάδιο, όλα τα πιστοποιητικά πρέπει να εκδίδονται από τις αρχές που αποτελούν μέρος του χώρου αποθήκευσης NTAuth. 

Ρυθμίσεις μητρώου και αρχεία καταγραφής συμβάντων

Πληροφορίες κλειδιού μητρώου

Το ακόλουθο κλειδί μητρώου επιτρέπει τον έλεγχο ευάλωτων σεναρίων και, στη συνέχεια, την επιβολή της αλλαγής μόλις αντιμετωπιστούν τα ευάλωτα πιστοποιητικά. Το κλειδί μητρώου δεν προστίθεται αυτόματα. Εάν θέλετε να αλλάξετε τη συμπεριφορά, πρέπει να δημιουργήσετε με μη αυτόματο τρόπο το κλειδί μητρώου και να ορίσετε την τιμή που χρειάζεστε. Σημειώστε ότι η συμπεριφορά του λειτουργικού συστήματος όταν το κλειδί μητρώου δεν έχει ρυθμιστεί θα εξαρτάται από τη φάση ανάπτυξης στην οποία βρίσκεται.

AllowNtAuthPolicyBypass

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Τιμή

AllowNtAuthPolicyBypass

Τύπος δεδομένων

REG_DWORD

Δεδομένα τιμής

0

Απενεργοποιεί πλήρως την αλλαγή.

1

Εκτελεί το συμβάν προειδοποίησης ελέγχου και καταγραφής NTAuth που υποδεικνύει πιστοποιητικό που έχει εκδοθεί από μια αρχή που δεν αποτελεί μέρος του χώρου αποθήκευσης NTAuth (Λειτουργία ελέγχου). (Προεπιλεγμένη συμπεριφορά από την κυκλοφορία της 8ης Απριλίου 2025.)

2

Εκτελέστε τον έλεγχο NTAuth και, εάν αποτύχει, μην επιτρέψετε τη σύνδεση. Καταγράψτε κανονικά συμβάντα (υπάρχοντα) για μια αποτυχία AS-REQ με έναν κωδικό σφάλματος που υποδεικνύει ότι ο έλεγχος NTAuth απέτυχε (Ισχύουσα λειτουργία).

Σχόλια

Η ρύθμιση μητρώου AllowNtAuthPolicyBypass θα πρέπει να ρυθμιστεί μόνο σε KDC των Windows που έχουν εγκαταστήσει τις ενημερώσεις των Windows που κυκλοφόρησαν τον Απρίλιο του 2025 ή μετά.

Συμβάντα ελέγχου

Αναγνωριστικό συμβάντος: 45 | Συμβάν ελέγχου ελέγχου ελέγχου nt auth store

Οι διαχειριστές θα πρέπει να παρακολουθήσουν το ακόλουθο συμβάν που προστέθηκε με την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 8 Απριλίου 2025. Εάν υπάρχει, υποδηλώνει ότι ένα πιστοποιητικό εκδόθηκε από μια αρχή που δεν αποτελεί μέρος του χώρου αποθήκευσης NTAuth.

Αρχείο καταγραφής συμβάντων

Σύστημα καταγραφής

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Kerberos-Key-Distribution-Center

Αναγνωριστικό συμβάντος

45

Κείμενο συμβάντος

Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα πιστοποιητικό προγράμματος-πελάτη που ήταν έγκυρο αλλά δεν ήταν συνδεδεμένο με μια ρίζα στο χώρο αποθήκευσης NTAuth. Η υποστήριξη για πιστοποιητικά που δεν συνδέονται με το χώρο αποθήκευσης NTAuth έχει καταργηθεί.

Η υποστήριξη για πιστοποιητικά που είναι αλυσιδωτά σε καταστήματα εκτός NTAuth είναι υπό απόσυρση και ανασφαλής.Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2300705 για να μάθετε περισσότερα.

 Χρήστης:<> UserName  Θέμα πιστοποιητικού:<> θέματος πιστοποιητικού  Εκδότης πιστοποιητικού: >εκδότη πιστοποιητικού<  Σειριακός αριθμός πιστοποιητικού: <σειριακός αριθμός πιστοποιητικού>  Εκτύπωση πιστοποιητικού: < CertThumbprint>

Σχόλια

  • Οι μελλοντικές ενημερώσεις των Windows θα βελτιστοποιήσουν τον αριθμό των χειριστών τομέα που είναι συνδεδεμένοι στο CVE-2025-26647.

  • Οι διαχειριστές μπορούν να αγνοήσουν την καταγραφή του συμβάντος Kerberos-Key-Distribution-Center 45 στις ακόλουθες περιπτώσεις:

    • Windows Hello για επιχειρήσεις (WHfB) συνδέσεις χρήστη όπου το θέμα και ο εκδότης των πιστοποιητικών συμφωνούν με τη μορφή: <SID>/<UID>/login.windows.net/<αναγνωριστικό μισθωτή>/<upn χρήστη>

    • Συνδέσεις Machine Public Key Cryptography for Initial Authentication (PKINIT) όπου ο χρήστης είναι ένας λογαριασμός υπολογιστή (που τερματίζεται από έναν τελικό χαρακτήρα $ )), το θέμα και ο εκδότης είναι ο ίδιος υπολογιστής και ο σειριακός αριθμός είναι 01.

Αναγνωριστικό συμβάντος: 21 | Συμβάν αποτυχίας AS-REQ

Μετά την αντιμετώπιση του συμβάντος Kerberos-Key-Distribution-Center 45, η καταγραφή αυτού του γενικού συμβάντος παλαιού τύπου υποδεικνύει ότι το πιστοποιητικό προγράμματος-πελάτη εξακολουθεί να μην θεωρείται αξιόπιστο. Αυτό το συμβάν μπορεί να καταγραφεί για πολλούς λόγους, ένας εκ των οποίων είναι ότι ένα έγκυρο πιστοποιητικό προγράμματος-πελάτη ΔΕΝ είναι συνδεδεμένο με μια αρχή έκδοσης CA στο χώρο αποθήκευσης NTAuth.

Αρχείο καταγραφής συμβάντων

Σύστημα καταγραφής

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Kerberos-Key-Distribution-Center

Αναγνωριστικό συμβάντος

21

Κείμενο συμβάντος

Το πιστοποιητικό προγράμματος-πελάτη για το χρήστη <Domain\UserName> δεν είναι έγκυρο και είχε ως αποτέλεσμα την αποτυχία σύνδεσης έξυπνης κάρτας.

Επικοινωνήστε με το χρήστη για περισσότερες πληροφορίες σχετικά με το πιστοποιητικό που προσπαθεί να χρησιμοποιήσει για σύνδεση έξυπνης κάρτας.

Η κατάσταση της αλυσίδας ήταν: Μια αλυσίδα πιστοποίησης που υποβάλλεται σε σωστή επεξεργασία, αλλά ένα από τα πιστοποιητικά CA δεν θεωρείται αξιόπιστο από την υπηρεσία παροχής πολιτικής.

Σχόλια

  • Ένα αναγνωριστικό συμβάντος: 21 που αναφέρεται σε ένα λογαριασμό "χρήστη" ή "υπολογιστή" περιγράφει την κύρια αρχή ασφαλείας που ξεκινά τον έλεγχο ταυτότητας Kerberos.

  • οι συνδέσεις Windows Hello για επιχειρήσεις (WHfB) θα αναφέρονται σε ένα λογαριασμό χρήστη.

  • Το Machine Public Key Cryptography for Initial Authentication (PKINIT) αναφέρεται σε ένα λογαριασμό υπολογιστή.

Γνωστό πρόβλημα

Οι πελάτες ανέφεραν προβλήματα με το αναγνωριστικό συμβάντος: 45 και το αναγνωριστικό συμβάντος: 21 ενεργοποιήθηκαν από έλεγχο ταυτότητας βάσει πιστοποιητικού με χρήση αυτο-υπογεγραμμένων πιστοποιητικών. Για να δείτε περισσότερες πληροφορίες, ανατρέξτε στο γνωστό πρόβλημα που τεκμηριώνεται στην εύρυθμη λειτουργία εκδόσεων των Windows:

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας