Τελευταίες οδηγίες θωρμολόγησης των Windows και βασικές ημερομηνίες

Το πρωτόκολλο Netlogon αλλάζει KB5021130 | Φάση 2

Φάση αρχικής ενεργοποίησης. Καταργεί τη δυνατότητα απενεργοποίησης της σφράγισης RPC ορίζοντας την τιμή 0 στο δευτερεύον κλειδί μητρώου RequireSeal .

KB5014754 ελέγχου ταυτότητας βάσει πιστοποιητικού | Φάση 2

Καταργεί τη λειτουργία απενεργοποίησης.

Προστασία από παράκαμψη ασφαλούς εκκίνησης KB5025885 | Φάση 1

Φάση αρχικής ανάπτυξης. Τα Windows Ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 9 Μαΐου 2023, αναφέρονται οι ευπάθειες διευθύνσεων που αναφέρονται στο CVE-2023-24932, οι αλλαγές στα στοιχεία εκκίνησης των Windows και δύο αρχεία ανάκλησης που μπορούν να εφαρμοστούν με μη αυτόματο τρόπο (μια πολιτική ακεραιότητας κώδικα και μια ενημερωμένη λίστα μη παρακολούθησης ασφαλούς εκκίνησης (DBX)).

Το πρωτόκολλο Netlogon αλλάζει KB5021130 | Φάση 3

Επιβολή από προεπιλογή. Το δευτερεύον κλειδί RequireSeal θα μετακινηθεί σε λειτουργία επιβολής, εκτός εάν ρυθμίσετε ρητά τις παραμέτρους του ώστε να βρίσκεται σε κατάσταση λειτουργίας συμβατότητας.

Kerberos PAC Signatures KB5020805 | Φάση 3

Τρίτη φάση ανάπτυξης. Καταργεί τη δυνατότητα απενεργοποίησης της προσθήκης υπογραφής PAC, ορίζοντας το δευτερεύον κλειδί KrbtgtFullPacSignature σε τιμή 0.

Το πρωτόκολλο Netlogon αλλάζει KB5021130 | Φάση 4

Τελική επιβολή. Οι ενημερώσεις των Windows που κυκλοφόρησαν στις 11 Ιουλίου 2023 θα καταργήσουν τη δυνατότητα ρύθμισης της τιμής 1 στο δευτερεύον κλειδί μητρώου RequireSeal. Αυτό ενεργοποιεί τη φάση επιβολής του CVE-2022-38023.

Kerberos PAC Signatures KB5020805 | Φάση 4

Λειτουργία αρχικής ενεργοποίησης. Καταργεί τη δυνατότητα ορισμού της τιμής 1 για το δευτερεύον κλειδί KrbtgtFullPacSignature και μετακινείται στη λειτουργία επιβολής ως προεπιλογή (KrbtgtFullPacSignature = 3), την οποία μπορείτε να παρακάμψετε με μια ρητή ρύθμιση Ελέγχου. 

Προστασία από παράκαμψη ασφαλούς εκκίνησης KB5025885 | Φάση 2

Δεύτερη φάση ανάπτυξης. Ενημερώσεις για Τα Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023 περιλαμβάνουν αυτοματοποιημένη ανάπτυξη των αρχείων ανάκλησης, νέα συμβάντα αρχείου καταγραφής συμβάντων για να αναφέρετε εάν η ανάπτυξη ανάκλησης ολοκληρώθηκε με επιτυχία και πακέτο δυναμικής ενημέρωσης SafeOS για WinRE.

Kerberos PAC Signatures KB5020805 | Φάση 5

Φάση πλήρους επιβολής. Καταργεί την υποστήριξη για το δευτερεύον κλειδί μητρώου KrbtgtFullPacSignature, καταργεί την υποστήριξη για τη λειτουργία ελέγχου και δεν θα επιτρέπεται ο έλεγχος ταυτότητας για όλα τα δελτία υπηρεσίας χωρίς τις νέες υπογραφές PAC.

Ενημερώσεις δικαιωμάτων υπηρεσίας καταλόγου Active Directory (AD) KB5008383 | Φάση 5

Τελική φάση ανάπτυξης. Η τελική φάση ανάπτυξης μπορεί να ξεκινήσει μόλις ολοκληρώσετε τα βήματα που αναφέρονται στην ενότητα "Ανάληψη ενέργειας" του KB5008383. Για να μετακινηθείτε στη λειτουργία επιβολής , ακολουθήστε τις οδηγίες στην ενότητα "Οδηγίες ανάπτυξης" για να ορίσετε το 28ο και το 29ο bit στο χαρακτηριστικό dSHeuristics . Στη συνέχεια, παρακολουθήστε τα συμβάντα 3044-3046. Αναφέρουν πότε η λειτουργία επιβολής έχει αποκλείσει μια λειτουργία προσθήκης ή τροποποίησης LDAP που μπορεί να είχε προηγουμένως επιτραπεί στη λειτουργία ελέγχου . 

Προστασία από παράκαμψη ασφαλούς εκκίνησης KB5025885 | Φάση 3

Τρίτη φάση ανάπτυξης. Αυτή η φάση θα προσθέσει επιπλέον μετριασμούς διαχείρισης εκκίνησης. Αυτή η φάση θα ξεκινήσει το αργότερο στις 9 Απριλίου 2024.

Η επικύρωση PAC αλλάζει KB5037754 | Φάση κατάστασης λειτουργίας συμβατότητας

Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 9 Απριλίου 2024. Αυτή η ενημέρωση προσθέτει νέα συμπεριφορά που αποτρέπει την αναβάθμιση των ευπαθειών δικαιωμάτων που περιγράφονται στις εκδόσεις CVE-2024-26248 και CVE-2024-29056, αλλά δεν την επιβάλλει, εκτός εάν ενημερωθούν τόσο οι ελεγκτές τομέα των Windows όσο και τα προγράμματα-πελάτες Windows στο περιβάλλον.

Για να ενεργοποιήσετε τη νέα συμπεριφορά και να μετριάσετε τις ευπάθειες, πρέπει να βεβαιωθείτε ότι ολόκληρο το περιβάλλον των Windows (συμπεριλαμβανομένων των ελεγκτών τομέα και των πελατών) είναι ενημερωμένο. Τα συμβάντα ελέγχου θα καταγράφονται για τον προσδιορισμό των συσκευών που δεν έχουν ενημερωθεί.

Προστασία από παράκαμψη ασφαλούς εκκίνησης KB5025885 | Φάση 3

Φάση υποχρεωτικής επιβολής. Οι ανακλήσεις (πολιτική εκκίνησης ακεραιότητας κώδικα και λίστα απενεργοποίησης ασφαλούς εκκίνησης) θα επιβάλλονται μέσω προγραμματισμού μετά την εγκατάσταση ενημερώσεων για τα Windows σε όλα τα συστήματα που επηρεάζονται χωρίς επιλογή απενεργοποίησης.

Η επικύρωση PAC αλλάζει KB5037754 | Επιβολή από προεπιλογή

Ενημερώσεις που θα κυκλοφορήσει τον Ιανουάριο του 2025 ή μετά θα μετακινήσει όλους τους ελεγκτές τομέα και τους υπολογιστές-πελάτες των Windows στο περιβάλλον σε Ισχύουσα λειτουργία. Αυτή η λειτουργία θα επιβάλει ασφαλή συμπεριφορά από προεπιλογή. Οι υπάρχουσες ρυθμίσεις κλειδιών μητρώου που έχουν οριστεί προηγουμένως θα παρακάμψουν αυτήν την προεπιλεγμένη αλλαγή συμπεριφοράς.

Οι προεπιλεγμένες ρυθμίσεις της ισχύουσας κατάστασης λειτουργίας μπορούν να παρακαμφθούν από ένα διαχειριστή για επαναφορά στην κατάσταση λειτουργίας συμβατότητας.

KB5014754 ελέγχου ταυτότητας βάσει πιστοποιητικού | Φάση 3

Λειτουργία πλήρους επιβολής. Εάν δεν είναι δυνατή η αντιστοίχιση ενός πιστοποιητικού, ο έλεγχος ταυτότητας δεν θα είναι δυνατός.

Η επικύρωση PAC αλλάζει KB5037754 | Φάση

επιβολής Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν τον Απρίλιο του 2025 ή μετά, θα καταργήσουν την υποστήριξη για τα δευτερεύοντα κλειδιά μητρώου PacSignatureValidationLevel και CrossDomainFilteringLevel και θα επιβάλουν τη νέα ασφαλή συμπεριφορά. Δεν θα υπάρχει υποστήριξη για τη λειτουργία συμβατότητας μετά την εγκατάσταση της ενημέρωσης Απριλίου 2025.

Προστασία από έλεγχο ταυτότητας Kerberos για CVE-2025-26647 KB5057784 | Λειτουργία

ελέγχου Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 8 Απριλίου 2025. Αυτές οι ενημερώσεις προσθέτουν νέα συμπεριφορά που εντοπίζει την ευπάθεια ανύψωσης δικαιωμάτων που περιγράφεται στο CVE-2025-26647 , αλλά δεν την επιβάλλει. Για να ενεργοποιήσετε τη νέα συμπεριφορά και να είστε ασφαλείς από την ευπάθεια, πρέπει να βεβαιωθείτε ότι όλοι οι ελεγκτές τομέα των Windows έχουν ενημερωθεί και ότι η ρύθμιση κλειδιού μητρώου AllowNtAuthPolicyBypass έχει οριστεί σε 2.

Προστασία από έλεγχο ταυτότητας Kerberos για CVE-2025-26647 KB5057784 | Η φάση

επιβάλλεται από προεπιλογή Ενημερώσεις που θα κυκλοφορήσει τον Ιούλιο του 2025 ή μετά, θα επιβάλει τον έλεγχο του NTAuth Store από προεπιλογή. Η ρύθμιση κλειδιού μητρώου AllowNtAuthPolicyBypass θα εξακολουθεί να επιτρέπει στους πελάτες να επιστρέψουν στη λειτουργία ελέγχου, εάν είναι απαραίτητο. Ωστόσο, η δυνατότητα πλήρης απενεργοποίησης αυτής της ενημέρωσης ασφαλείας θα καταργηθεί.

Προστασία από έλεγχο ταυτότητας Kerberos για CVE-2025-26647 KB5057784 | Λειτουργία επιβολής μέτρων

​​​​​​​Ενημερώσεις που θα κυκλοφορήσει τον Οκτώβριο του 2025 ή μετά, θα διακόψει την υποστήριξη της Microsoft για το κλειδί μητρώου AllowNtAuthPolicyBypass. Σε αυτό το στάδιο, όλα τα πιστοποιητικά πρέπει να εκδίδονται από τις αρχές που αποτελούν μέρος του χώρου αποθήκευσης NTAuth.

Προστασία από παράκαμψη ασφαλούς εκκίνησης KB5025885 | Φάση

επιβολής Η φάση επιβολής δεν θα ξεκινήσει πριν από τον Ιανουάριο του 2026 και θα δώσουμε τουλάχιστον έξι μήνες προειδοποίησης σε αυτό το άρθρο πριν ξεκινήσει αυτή η φάση. Όταν κυκλοφορήσουν ενημερώσεις για τη φάση επιβολής κυρώσεων, θα περιλαμβάνουν τα εξής:

• Το πιστοποιητικό "Windows Production PCA 2011" θα ανακληθεί αυτόματα με την προσθήκη του στη Λίστα απαγορευμένων δικαιωμάτων Ασφαλούς εκκίνησης UEFI (DBX) σε συσκευές με δυνατότητα. Αυτές οι ενημερώσεις θα επιβάλλονται μέσω προγραμματισμού μετά την εγκατάσταση ενημερώσεων για τα Windows σε όλα τα συστήματα που επηρεάζονται χωρίς επιλογή απενεργοποίησης.