Ισχύει για
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Αρχική ημερομηνία δημοσίευσης: 9 Απριλίου 2024

KB ID: 5037754

Η υποστήριξη για Windows 10 θα λήξει τον Οκτώβριο του 2025

Μετά τις 14 Οκτωβρίου 2025, η Microsoft δεν θα παρέχει πλέον δωρεάν ενημερώσεις λογισμικού από το Windows Update, τεχνική βοήθεια ή επιδιορθώσεις ασφαλείας για Windows 10. Ο υπολογιστής σας θα εξακολουθεί να λειτουργεί, αλλά σας συνιστούμε να μετακινηθείτε στα Windows 11.

Μάθετε περισσότερα

Αλλαγή ημερομηνίας

Περιγραφή

9 Ιανουαρίου 2025

Στην ενότητα "Ιανουάριος 2025: Επιβάλλεται από προεπιλογή" στην ενότητα "Λωρίδα χρόνου αλλαγών", τόνισε ότι οι υπάρχουσες ρυθμίσεις κλειδιού μητρώου θα παρακάμψουν την προεπιλεγμένη συμπεριφορά των ενημερώσεων που κυκλοφόρησαν τον Ιανουάριο του 2025 ή μετά.

1 Οκτωβρίου 2024

Άλλαξε η φάση Επιβολή από προεπιλογή από τον Οκτώβριο του 2024 έως τον Ιανουάριο του 2025.

Σύνοψη

Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024 αντιμετωπίζουν ευπάθειες αναβάθμισης δικαιωμάτων με το πρωτόκολλο επικύρωσης PAC Kerberos. Το Πιστοποιητικό χαρακτηριστικού προνομίων (PAC) είναι μια επέκταση στα δελτία υπηρεσίας Kerberos. Περιέχει πληροφορίες σχετικά με τον χρήστη που έχει πραγματοποιήσει έλεγχο ταυτότητας και τα δικαιώματά του. Αυτή η ενημέρωση διορθώνει μια ευπάθεια όπου ο χρήστης της διαδικασίας μπορεί να πλαστογραφήσει την υπογραφή για την παράκαμψη των ελέγχων ασφαλείας επικύρωσης υπογραφής PAC που προστίθενται στο KB5020805: Πώς μπορείτε να διαχειριστείτε τις αλλαγές πρωτοκόλλου Kerberos που σχετίζονται με το CVE-2022-37967.

Επιπλέον, αυτή η ενημέρωση αντιμετωπίζει μια ευπάθεια σε ορισμένα σενάρια μεταξύ δασών. Για να μάθετε περισσότερα σχετικά με αυτές τις ευπάθειες, επισκεφθείτε τις ευπάθειες CVE-2024-26248 και CVE-2024-29056.

Ανάληψη δράσης

ΣΗΜΑΝΤΙΚΌΣΒήμα 1 για την εγκατάσταση της ενημέρωσης που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024 ΔΕΝ θα αντιμετωπίσει πλήρως τα προβλήματα ασφαλείας στο CVE-2024-26248 και το CVE-2024-29056 από προεπιλογή. Για να μετριάσετε πλήρως το πρόβλημα ασφάλειας για όλες τις συσκευές, πρέπει να μεταβείτε στην ισχύουσα λειτουργία (όπως περιγράφεται στο βήμα 3) μόλις το περιβάλλον σας ενημερωθεί πλήρως.

Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τις διακοπές λειτουργίας, συνιστάται να ακολουθήσετε τα παρακάτω βήματα:

  1. ΕΝΗΜΕΡΏΝΩ: Οι ελεγκτές τομέα των Windows και τα προγράμματα-πελάτες των Windows πρέπει να ενημερωθούν με μια ενημέρωση ασφαλείας των Windows που θα κυκλοφορήσει στις ή μετά τις 9 Απριλίου 2024.

  2. ΟΘΌΝΗ: Τα συμβάντα ελέγχου θα είναι ορατά σε κατάσταση λειτουργίας συμβατότητας για τον προσδιορισμό συσκευών που δεν έχουν ενημερωθεί.

  3. ΕΝΕΡΓΟΠΟΙΏ: Μετά την πλήρη ενεργοποίηση της λειτουργίας επιβολής στο περιβάλλον σας, θα μετριαστούν οι ευπάθειες που περιγράφονται στα CVE-2024-26248 και CVE-2024-29056 .

Ιστορικό

Όταν ένας σταθμός εργασίας των Windows εκτελεί επικύρωση PAC σε μια εισερχόμενη ροή ελέγχου ταυτότητας Kerberos, εκτελεί μια νέα αίτηση (Σύνδεση δελτίου δικτύου) για την επικύρωση του δελτίου υπηρεσίας. Η αίτηση προωθείται αρχικά σε έναν ελεγκτή τομέα (DC) του τομέα Workstations μέσω του Netlogon.

Εάν ο λογαριασμός υπηρεσίας και ο λογαριασμός υπολογιστή ανήκουν σε διαφορετικούς τομείς, η αίτηση μεταφέρεται στις απαραίτητες αξιόπιστες υπηρεσίες μέσω του Netlogon μέχρι να φτάσει στον τομέα υπηρεσιών. διαφορετικά, ο ελεγκτής τομέα στους υπολογιστές του τομέα λογαριασμών εκτελεί την επικύρωση. Στη συνέχεια, ο ελεγκτής τομέα καλεί το Κέντρο διανομής κλειδιών (KDC) για να επικυρώσει τις υπογραφές PAC του δελτίου υπηρεσίας και στέλνει πληροφορίες χρηστών και συσκευών πίσω στο σταθμό εργασίας.

Εάν η αίτηση και η απάντηση προωθούνται σε μια αξιοπιστία (στην περίπτωση όπου ο λογαριασμός υπηρεσίας και ο λογαριασμός σταθμού εργασίας ανήκουν σε διαφορετικούς τομείς), κάθε ελεγκτής τομέα στην αξιοπιστία φιλτράρει τα δεδομένα εξουσιοδότησης που σχετίζονται με αυτόν.

Λωρίδα χρόνου αλλαγών

Ενημερώσεις κυκλοφορούν ως εξής. Λάβετε υπόψη ότι αυτό το χρονοδιάγραμμα κυκλοφορίας ενδέχεται να αναθεωρηθεί ανάλογα με τις ανάγκες.

Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 9 Απριλίου 2024. Αυτή η ενημέρωση προσθέτει νέα συμπεριφορά που αποτρέπει την αναβάθμιση των ευπαθειών δικαιωμάτων που περιγράφονται στις εκδόσεις CVE-2024-26248 και CVE-2024-29056 , αλλά δεν την επιβάλλει, εκτός εάν ενημερωθούν τόσο οι ελεγκτές τομέα των Windows όσο και τα προγράμματα-πελάτες Windows στο περιβάλλον.

Για να ενεργοποιήσετε τη νέα συμπεριφορά και να μετριάσετε τις ευπάθειες, πρέπει να βεβαιωθείτε ότι ολόκληρο το περιβάλλον των Windows (συμπεριλαμβανομένων των ελεγκτών τομέα και των πελατών) είναι ενημερωμένο. Τα συμβάντα ελέγχου θα καταγράφονται για τον προσδιορισμό των συσκευών που δεν έχουν ενημερωθεί.

Ενημερώσεις που θα κυκλοφορήσει τον Ιανουάριο του 2025 ή μετά θα μετακινήσει όλους τους ελεγκτές τομέα και τους υπολογιστές-πελάτες των Windows στο περιβάλλον σε Ισχύουσα λειτουργία. Αυτή η λειτουργία θα επιβάλει ασφαλή συμπεριφορά από προεπιλογή. Οι υπάρχουσες ρυθμίσεις κλειδιών μητρώου που έχουν οριστεί προηγουμένως θα παρακάμψουν αυτήν την προεπιλεγμένη αλλαγή συμπεριφοράς.

Οι προεπιλεγμένες ρυθμίσεις της ισχύουσας κατάστασης λειτουργίας μπορούν να παρακαμφθούν από ένα διαχειριστή για επαναφορά στην κατάσταση λειτουργίας συμβατότητας .

Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν τον Απρίλιο του 2025 ή μετά, θα καταργήσουν την υποστήριξη για τα δευτερεύοντα κλειδιά μητρώου PacSignatureValidationLevel και CrossDomainFilteringLevel και θα επιβάλουν τη νέα ασφαλή συμπεριφορά. Δεν θα υπάρχει υποστήριξη για τη λειτουργία συμβατότητας μετά την εγκατάσταση της ενημέρωσης Απριλίου 2025.

Πιθανά ζητήματα και μετριασμούς

Ενδέχεται να προκύψουν προβλήματα, όπως αποτυχία επικύρωσης PAC και φιλτραρίσματος μεταξύ δασών. Η ενημέρωση ασφαλείας της 9ης Απριλίου 2024 περιλαμβάνει εναλλακτική λογική και ρυθμίσεις μητρώου, για να μετριάσει αυτά τα προβλήματα

Ρυθμίσεις μητρώου

Αυτή η ενημέρωση ασφαλείας προσφέρεται σε συσκευές Windows (συμπεριλαμβανομένων των ελεγκτών τομέα). Τα ακόλουθα κλειδιά μητρώου που ελέγχουν τη συμπεριφορά πρέπει να αναπτυχθούν μόνο στο διακομιστή Kerberos που αποδέχεται τον εισερχόμενο έλεγχο ταυτότητας Kerberos και την εκτέλεση επικύρωσης PAC.

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Τιμή

PacSignatureValidationLevel

Τύπος δεδομένων

REG_DWORD

Δεδομένα

2

Προεπιλογή (Συμβατότητα με μη ενημερωμένο περιβάλλον)

3

Επιβάλλω

Απαιτείται επανεκκίνηση;

Όχι

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Τιμή

CrossDomainFilteringLevel

Τύπος δεδομένων

REG_DWORD

Δεδομένα

2

Προεπιλογή (Συμβατότητα με μη ενημερωμένο περιβάλλον)

4

Επιβάλλω

Απαιτείται επανεκκίνηση;

Όχι

Αυτό το κλειδί μητρώου μπορεί να αναπτυχθεί τόσο στους διακομιστές των Windows που αποδέχονται εισερχόμενο έλεγχο ταυτότητας Kerberos, όσο και σε οποιονδήποτε ελεγκτή τομέα των Windows που επικυρώνει τη νέα ροή σύνδεσης δελτίου δικτύου στην πορεία.

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Τιμή

AuditKerberosTicketLogonEvents

Τύπος δεδομένων

REG_DWORD

Δεδομένα

1

Προεπιλογή – καταγραφή κρίσιμων συμβάντων

2

Καταγραφή όλων των συμβάντων Netlogon

0

Να μην γίνει σύνδεση συμβάντων Netlogon

Απαιτείται επανεκκίνηση;

Όχι

Αρχεία καταγραφής συμβάντων

Τα ακόλουθα συμβάντα ελέγχου Kerberos θα δημιουργηθούν στο διακομιστή Kerberos που δέχεται εισερχόμενο έλεγχο ταυτότητας Kerberos. Αυτός ο διακομιστής Kerberos θα πραγματοποιήσει επικύρωση PAC, η οποία χρησιμοποιεί τη νέα ροή σύνδεσης δελτίου δικτύου.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Ενημερωτικό

Προέλευση συμβάντος

Security-Kerberos

Αναγνωριστικό συμβάντος

21

Κείμενο συμβάντος

Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, το δελτίο υπηρεσίας για το λογαριασμό <λογαριασμού> από το domain <domain> πραγματοποίησε τις ακόλουθες ενέργειες από το> ελεγκτή τομέα DC <. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558.> ενεργειών <

Αυτό το συμβάν εμφανίζεται όταν ένας ελεγκτής τομέα έλαβε μια μη θανατηφόρα ενέργεια κατά τη διάρκεια μιας ροής σύνδεσης δελτίου δικτύου. Προς το παρόν, καταγράφονται οι ακόλουθες ενέργειες:

  • Τα SID χρηστών φιλτράρονταν.

  • Οι κάρτες SID συσκευής έχουν φιλτραριστεί.

  • Η σύνθετη ταυτότητα καταργήθηκε λόγω φιλτραρίσματος SID που δεν επιτρέπει την ταυτότητα της συσκευής.

  • Η σύνθετη ταυτότητα καταργήθηκε λόγω φιλτραρίσματος SID που δεν επιτρέπει το όνομα τομέα της συσκευής.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Security-Kerberos

Αναγνωριστικό συμβάντος

22

Κείμενο συμβάντος

Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, το δελτίο υπηρεσίας για <λογαριασμό> από το domain <domain> απορρίφθηκε από την DC <dc> για τους παρακάτω λόγους. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558.Αιτία: <αιτία> Κωδικός σφάλματος: <κωδικός σφάλματος>

Αυτό το συμβάν εμφανίζεται όταν ένας ελεγκτής τομέα απέρριψε την αίτηση σύνδεσης δελτίου δικτύου για τους λόγους που εμφανίζονται στην εκδήλωση. ​​​​​​

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση ή σφάλμα

Προέλευση συμβάντος

Security-Kerberos

Αναγνωριστικό συμβάντος

23

Κείμενο συμβάντος

Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, δεν ήταν δυνατή η προώθηση του δελτίου υπηρεσίας για <account_name> λογαριασμού από τον τομέα <domain_name> σε ελεγκτή τομέα για την εξυπηρέτηση της αίτησης. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558.

  • Αυτό το συμβάν εμφανίζεται ως προειδοποίηση εάν η ρύθμιση PacSignatureValidationLevel AND CrossDomainFilteringLevel δεν έχει οριστεί σε Επιβολή ή αυστηρότερη. Όταν καταγράφηκε ως προειδοποίηση, το συμβάν υποδεικνύει ότι η ροή σύνδεσης δελτίου δικτύου επικοινώνησε με έναν ελεγκτή τομέα ή μια ισοδύναμη συσκευή που δεν κατανόησε τον νέο μηχανισμό. Ο έλεγχος ταυτότητας είχε τη δυνατότητα να επιστρέψει σε προηγούμενη συμπεριφορά.

  • Αυτό το συμβάν εμφανίζεται ως σφάλμα εάν η ρύθμιση PacSignatureValidationLevel OR CrossDomainFilteringLevel έχει οριστεί σε Επιβολή ή αυστηρότερη. Αυτό το συμβάν ως "σφάλμα" υποδεικνύει ότι η ροή σύνδεσης δελτίου δικτύου επικοινώνησε με έναν ελεγκτή τομέα ή μια αντίστοιχη συσκευή που δεν κατανόησε τον νέο μηχανισμό. Ο έλεγχος ταυτότητας απορρίφθηκε και δεν ήταν δυνατή η επαναφορά σε προηγούμενη συμπεριφορά.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Netlogon

Αναγνωριστικό συμβάντος

5842

Κείμενο συμβάντος

Η υπηρεσία Netlogon αντιμετώπισε ένα μη αναμενόμενο σφάλμα κατά την επεξεργασία μιας αίτησης σύνδεσης δελτίου δικτύου Kerberos. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2261497.

Λογαριασμός δελτίου υπηρεσίας:> λογαριασμού <

Service Ticket Domain:> τομέα <

Όνομα σταθμού εργασίας:> ονόματος υπολογιστή <

Κατάσταση:> κωδικού σφάλματος <

Αυτό το συμβάν δημιουργείται κάθε φορά που το Netlogon αντιμετώπισε ένα μη αναμενόμενο σφάλμα κατά τη διάρκεια μιας αίτησης σύνδεσης δελτίου δικτύου. Αυτό το συμβάν καταγράφεται όταν το AuditKerberosTicketLogonEvents έχει οριστεί σε (1) ή νεότερη έκδοση.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Netlogon

Αναγνωριστικό συμβάντος

5843

Κείμενο συμβάντος

Η υπηρεσία Netlogon απέτυχε να προωθήσει μια αίτηση σύνδεσης δελτίου δικτύου Kerberos στον ελεγκτή τομέα <dc>. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2261497.

Λογαριασμός δελτίου υπηρεσίας:> λογαριασμού <

Service Ticket Domain:> τομέα <

Όνομα σταθμού εργασίας:> ονόματος υπολογιστή <

Αυτό το συμβάν δημιουργείται κάθε φορά που το Netlogon δεν μπορούσε να ολοκληρώσει τη σύνδεση με δελτίο δικτύου, επειδή ένας ελεγκτής τομέα δεν καταλάβαινε τις αλλαγές. Λόγω περιορισμών στο πρωτόκολλο Netlogon, το πρόγραμμα-πελάτης Netlogon δεν είναι σε θέση να προσδιορίσει εάν ο ελεγκτής τομέα στον οποίο συνομιλεί απευθείας το πρόγραμμα-πελάτης Netlogon είναι αυτός που δεν κατανοεί τις αλλαγές ή εάν είναι ένας ελεγκτής τομέα κατά μήκος της αλυσίδας προώθησης που δεν κατανοεί τις αλλαγές.

  • Εάν ο τομέας service ticket είναι ίδιος με τον τομέα του λογαριασμού υπολογιστή, είναι πιθανό ότι ο ελεγκτής τομέα στο αρχείο καταγραφής συμβάντων δεν κατανοεί τη ροή σύνδεσης δελτίου δικτύου.

  • Εάν ο τομέας service ticket είναι διαφορετικός από τον τομέα του λογαριασμού υπολογιστή, ένας από τους ελεγκτές τομέα στην πορεία από τον τομέα του λογαριασμού υπολογιστή στον τομέα του λογαριασμού υπηρεσίας δεν κατάλαβε τη ροή σύνδεσης δελτίου δικτύου

Αυτό το συμβάν είναι απενεργοποιημένο από προεπιλογή. Η Microsoft συνιστά στους χρήστες να ενημερώσουν πρώτα ολόκληρο τον στόλο τους προτού ενεργοποιήσουν την εκδήλωση.

Αυτό το συμβάν καταγράφεται όταν η ρύθμιση AuditKerberosTicketLogonEvents έχει οριστεί σε (2).

Συνήθεις ερωτήσεις (FAQ)

Ένας ελεγκτής τομέα που δεν ενημερώνεται δεν θα αναγνωρίσει αυτήν τη νέα δομή αίτησης. Αυτό θα προκαλέσει την αποτυχία του ελέγχου ασφαλείας. Σε κατάσταση λειτουργίας συμβατότητας, θα χρησιμοποιηθεί η παλιά δομή αίτησης. Αυτό το σενάριο εξακολουθεί να είναι ευάλωτο σε CVE-2024-26248 και CVE-2024-29056.

Ναι. Αυτό συμβαίνει επειδή η νέα ροή σύνδεσης δελτίου δικτύου ενδέχεται να πρέπει να δρομολογηθεί σε πολλούς τομείς για να φτάσει στον τομέα του λογαριασμού υπηρεσίας.

Η επικύρωση PAC ενδέχεται να παραλειφθεί σε ορισμένες περιπτώσεις, συμπεριλαμβανομένων, ενδεικτικά, των ακόλουθων σεναρίων:

  • Εάν η υπηρεσία έχει δικαιώματα TCB. Γενικά, οι υπηρεσίες που εκτελούνται στο περιβάλλον του λογαριασμού SYSTEM (όπως τα κοινόχρηστα στοιχεία αρχείων SMB ή οι διακομιστές LDAP) έχουν αυτό το δικαίωμα.

  • Εάν η υπηρεσία εκτελείται από το Χρονοδιάγραμμα εργασιών.

Διαφορετικά, η επικύρωση PAC εκτελείται σε όλες τις εισερχόμενες ροές ελέγχου ταυτότητας Kerberos.

Αυτά τα CVE περιλαμβάνουν έναν τοπικό προβιβασμό δικαιωμάτων, όπου ένας κακόβουλος ή παραβιασμένος λογαριασμός υπηρεσίας που εκτελείται στο Windows Workstation επιχειρεί να αυξήσει το προνόμιό του για να αποκτήσει δικαιώματα τοπικής διαχείρισης. Αυτό σημαίνει ότι επηρεάζεται μόνο ο έλεγχος ταυτότητας εισερχομένων Kerberos που δέχεται το Windows Workstation.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας