Cambiar fecha |
Cambiar descripción |
---|---|
10 de marzo de 2024 |
Se revisó la escala de tiempo mensual para agregar más protección al contenido relacionado y se eliminó la entrada de febrero de 2024 de la escala de tiempo, ya que no se está endureciendo relacionada. |
Introducción
El endurecimiento es un elemento clave de nuestra estrategia de seguridad continua para ayudar a mantener su patrimonio protegido mientras se enfoca en su trabajo. Las ciberdelincuencias cada vez más creativas apuntan a debilidades en cualquier lugar posible, desde el chip a la nube. ¿Has visto nuestras publicaciones sobre protección en el centro de mensajes de Windows? Algunas de las que se han aplicado recientemente incluyen el protección de la autenticación DCOM y Netjoin: el protección de la unión a un dominio. Vamos a revisar las áreas vulnerables que se están endureciendo en los próximos meses.
Nota: Este artículo se actualizará con el paso del tiempo para proporcionar la información más reciente sobre el endurecimiento de los cambios y las escalas de tiempo. Última actualización: 10 de marzo de 2024.
Cambios de endurecimiento de un vistazo
Revise la escala de tiempo visual para centrarse en los cambios específicos que le interesan. Encuentra los detalles de cada fase a continuación.
Figura 1: Una línea de tiempo visual de los cambios de endurecimiento que tienen lugar en 2023.
Figura 2: Una línea de tiempo visual de los cambios de endurecimiento que tienen lugar en 2024.
Cambios de endurecimiento por mes
Consulte los detalles de todos los próximos cambios de protección por mes para ayudarle a planear cada fase y cumplimiento final.
-
Cambios en el protocolo Netlogon KB5021130 | Fase 2
Fase de obligatoriedad inicial. Elimina la capacidad de deshabilitar el sellado RPC estableciendo el valor 0 en la subclave del Registro RequireSeal . -
KB5014754 de autenticación basada en certificados | Fase 2
Quita el modo deshabilitado .
-
Protección de omisión de arranque seguro KB5025885 | Fase 1
Fase de implementación inicial. Windows Novedades publicó el 9 de mayo de 2023 o después soluciona las vulnerabilidades analizadas en CVE-2023-24932, los cambios en los componentes de arranque de Windows y dos archivos de revocación que se pueden aplicar manualmente (una directiva de integridad de código y una lista de desaprobación de arranque seguro (DBX) actualizada).
-
Cambios en el protocolo Netlogon KB5021130 | Fase 3
Obligatoriedad de forma predeterminada. La subclave RequireSeal se moverá al modo de obligatoriedad a menos que la configure explícitamente para que esté en modo de compatibilidad. -
Firmas PAC de Kerberos KB5020805 | Fase 3
Tercera fase de implementación. Quita la capacidad de deshabilitar la adición de firma PAC estableciendo la subclave KrbtgtFullPacSignature en un valor de 0.
-
Cambios en el protocolo Netlogon KB5021130 | Fase 4
Obligatoriedad final. Las actualizaciones de Windows publicadas el 11 de julio de 2023 quitarán la capacidad de establecer el valor 1en larequireSealsubclave del registro. Esto habilita la fase de cumplimiento de CVE-2022-38023. -
Firmas PAC de Kerberos KB5020805 | Fase 4
Modo de aplicación inicial. Quita la capacidad de establecer el valor 1 para la subclave KrbtgtFullPacSignature y pasa al modo de cumplimiento como predeterminado (KrbtgtFullPacSignature = 3), que se puede invalidar con una configuración de auditoría explícita. -
Protección de omisión de arranque seguro KB5025885 | Fase 2
Segunda fase de implementación. Novedades para Windows publicado el 11 de julio de 2023 o después incluyen la implementación automatizada de los archivos de revocación, nuevos eventos del registro de eventos para informar de si la implementación de revocación se realizó correctamente y el paquete de actualización dinámica de SafeOS para WinRE.
-
Firmas PAC de Kerberos KB5020805 | Fase 5
Fase de cumplimiento completa. Quita la compatibilidad con la subclave del Registro KrbtgtFullPacSignature, elimina la compatibilidad con el modo Auditoría y se denegará la autenticación a todos los vales de servicio sin las nuevas firmas PAC.
-
Actualizaciones de permisos de Active Directory (AD) KB5008383 | Fase 5
Fase de implementación final. La fase de implementación final puede comenzar una vez que haya completado los pasos enumerados en la sección "Tomar medidas" de KB5008383. Para pasar al modo de obligatoriedad , siga las instrucciones de la sección "Instrucciones de implementación" para establecer los bits 28 y 29 en el atributo dSHeuristics . A continuación, supervise los eventos 3044-3046. Notifican cuando el modo de obligatoriedad ha bloqueado una operación de agregar o modificar LDAP que anteriormente se podía haber permitido en el modo auditoría .
-
Protección de omisión de arranque seguro KB5025885 | Fase 3
Tercera fase de implementación. Esta fase agregará mitigaciones de administrador de arranque adicionales. Esta fase no comenzará antes del 9 de abril de 2024.
-
Protección de omisión de arranque seguro KB5025885 | Fase 3
Fase de obligatoriedad obligatoria. Las revocaciones (directiva de arranque de integridad de código y lista de no permitir arranque seguro) se aplicarán mediante programación después de instalar las actualizaciones de Windows en todos los sistemas afectados sin ninguna opción que se deshabilite.
Obtener las últimas noticias
Agrega un marcador al Centro de mensajes de Windows para encontrar fácilmente las últimas actualizaciones y avisos. Además, si es un administrador de TI con acceso a la Centro de administración de Microsoft 365, configure Email preferencias en el Centro de administración de Microsoft 365 para recibir notificaciones y actualizaciones importantes.