Rakenduskoht
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Avaldamise algne kuupäev: 8. aprill 2025

KB ID: 5057784

Muuda kuupäeva

Muuda kirjeldust

22. juuli 2025

  • Värskendati jaotise "Registrisätted ja sündmuselogid" lõiku "Registrivõtme teave".Algtekst: Järgmine registrivõti võimaldab haavatavaid stsenaariume auditeerida ja seejärel jõustada muudatuse, kui haavatavad serdid on adresseeritud. Registrivõtit ei looda automaatselt. Operatsioonisüsteemi käitumine, kui registrivõti on konfigureerimata, sõltub sellest, millises juurutuse etapis see on.Muudetud tekst: Järgmine registrivõti võimaldab haavatavaid stsenaariume auditeerida ja seejärel jõustada muudatuse, kui haavatavad serdid on adresseeritud. Registrivõtit ei lisata automaatselt. Kui teil on vaja käitumist muuta, peate registrivõtme käsitsi looma ja määrama soovitud väärtuse. Pange tähele, et operatsioonisüsteemi käitumine, kui registrivõti on konfigureerimata, sõltub sellest, millises juurutusetapis see on.

  • Värskendatud on jaotise "Registrisätted ja sündmuselogid" jaotises "AllowNtAuthPolicyBypass" olevaid kommentaare.Algtekst: Registrisätet AllowNtAuthPolicyBypass tuleks konfigureerida ainult Windowsi KDCdes (nt domeenikontrollerid), mis on installinud 2025. aasta mais või hiljem välja antud Windowsi värskendused.Muudetud tekst: Registrisätet AllowNtAuthPolicyBypass tuleks konfigureerida ainult Windowsi KDCdes, kuhu on installitud 2025. aasta aprillis või hiljem välja antud Windowsi värskendused.

9. mai 2025

  • Asendas jaotises "Kokkuvõte" termini "õigustega konto" terminiga "serdipõhist autentimist kasutav turbesubjekt".

  • Kirjutas jaotises "Võta toiming" ümber etapi "Luba", et selgitada NTAuth-salves olevate asutuste välja antud sisselogimissertide kasutamist.Algne tekst:LUBAGE jõustamisrežiim, kui teie keskkond ei kasuta enam nende asutuste välja antud sisselogimisserte, mis pole NTAuth-salves.

  • Jaotises "8. aprill 2025: Algne juurutusetapp – auditirežiim" on tehtud põhjalikke muudatusi, rõhutades, et enne selle värskendusega pakutavate kaitsete lubamist peavad olema teatud tingimused... see värskendus tuleb rakendada kõigile domeenikontrolleritele JA tagama, et ametivõimude välja antud sisselogimisserdid oleksid NTAuth-salves. Lisati jõustamisrežiimile liikumise juhised ja lisati erandi märkus, mis viivitab teisaldamisega, kui teil on domeenikontrollerid, millist teenuse iseallkirjastatud serdipõhist autentimist kasutatakse mitmes stsenaariumis.Algtekst: Uue käitumise lubamiseks ja nõrkuse eest turvalisuse tagamiseks peate tagama kõigi Windowsi domeenikontrollerite värskendamise ja registrivõtme AllowNtAuthPolicyBypass sätte väärtuseks on seatud 2.

  • Lisati lisasisu jaotiste "Registrivõtme teave" ja "Auditisündmused" kommentaaridele.

  • Lisati jaotis "Teadaolev probleem".

Selle artikli teemad

Kokkuvõte

Windowsi turbevärskendused, mis anti välja 8. aprillil 2025 või hiljem, sisaldavad kaitset Kerberose autentimise nõrkuste eest. See värskendus muudab käitumist, kui turbesubjekti serdipõhise autentimise (CBA) jaoks kasutatava serdi väljaandev asutus on usaldusväärne, kuid mitte NTAuthi salves, ja serdipõhist autentimist kasutavas turbesubjekti atribuudis altSecID on olemas teemavõtme identifikaatori (SKI) vastendus. Lisateavet selle nõrkuse kohta leiate teemast CVE-2025-26647.

Toiming

Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.

  1. Värskendage kõiki domeenikontrollereid Windowsi värskendusega, mis on välja antud 8. aprillil 2025 või hiljem.

  2. Jälgige uusi sündmusi, mis kuvatakse domeenikontrollerites mõjutatud sertimiskeskuse tuvastamiseks.

  3. LUBA Jõustamisrežiim pärast teie keskkonda kasutab nüüd ainult NTAuthi poes olevate asutuste välja antud sisselogimisserte.

altSecID atribuudid

Järgmises tabelis on loetletud kõik alternatiivsete turbeidentifikaatorite (altSecID) atribuudid ja altSecID-d, mida see muudatus mõjutab.

Loendi serdiatribuutidest, mida saab vastendada atribuutidega altSecID 

AltSecID-id, mis nõuavad NTAuthi salve aheldamiseks vastavat serti

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Muudatuste ajaskaala

8. aprill 2025: algne juurutamise etapp – auditirežiim

Algne juurutusetapp (auditirežiim ) algab 8. aprillil 2025 välja antud värskendustega. Need värskendused muudavad käitumist, mis tuvastab õiguste kõrguse nõrkuse, mida on kirjeldatud versioonis CVE-2025-26647 , kuid ei jõusta seda algselt.

Auditirežiimis logitakse sündmuse ID: 45 domeenikontrollerisse, kui see saab Ebaturvalise serdiga Kerberose autentimistaotluse. Autentimistaotlus on lubatud ja klienditõrkeid ei eeldata.

Käitumise muutuse lubamiseks ja nõrkuse eest turvalisuse tagamiseks peate tagama, et kõik Windowsi domeenikontrollerid värskendatakse Windowsi värskenduse väljaandega 8. aprillil 2025 või pärast seda ja registrivõtme AllowNtAuthPolicyBypass säte on jõustamisrežiimi konfigureerimiseks seatud väärtusele 2.

Kui jõustamisrežiimis saab domeenikontroller Ebaturvalise serdiga Kerberose autentimistaotluse, logib see pärandsündmuse ID: 21 ja lükkab taotluse tagasi.

Selle värskendusega pakutavate kaitsete sisselülitamiseks tehke järgmist.

  1. Rakendage 8. aprillil 2025 või hiljem välja antud Windowsi värskendus kõigile teie keskkonna domeenikontrolleritele. Pärast värskenduse rakendamist on sätte AllowNtAuthPolicyBypass vaikeväärtus 1 (Audit), mis lubab NTAuthi kontrolli ja auditilogi hoiatussündmused.TÄHTIS Kui te pole valmis selle värskenduse pakutavate kaitsete rakendamist jätkama, määrake selle muudatuse ajutiseks keelamiseks registrivõtme väärtuseks 0 . Lisateavet leiate jaotisest Registrivõtme teave .

  2. Jälgige uusi sündmusi, mis on nähtavad domeenikontrollerites, et tuvastada mõjutatud sertimiskeskused, mis ei kuulu NTAuth-salve. Sündmuse ID, mida peate jälgima, on sündmuse ID: 45. Lisateavet nende sündmuste kohta leiate jaotisest Auditisündmused .

  3. Veenduge, et kõik kliendiserdid oleksid kehtivad ja aheldatud NTAuth-i salve usaldusväärse väljalaske-CA-ga.

  4. Pärast kogu sündmuse ID: 45 sündmuse lahendamist saate jätkata jõustamisrežiimiga. Selleks määrake registriväärtuse AllowNtAuthPolicyBypass väärtuseks 2. Lisateavet leiate jaotisest Registrivõtme teave .Märkus Soovitame ajutiselt edasi lükata sätte AllowNtAuthPolicyBypass = 2 määramise kuni pärast 2025. aasta mai välja antud Windowsi värskenduse rakendamist domeenikontrolleritele, mida teenuse iseallkirjastatud serdipõhine autentimine kasutab mitmes stsenaariumis. See hõlmab domeenikontrollereid, mis Windows Hello äriklientidele võtmeusaldusteenus ja domeeniga liitunud seadme avaliku võtme autentimine.

Juuli 2025: vaikimisi jõustatud faas

Teabevärskendused, mis on välja antud 2025. aasta juulis või hiljem, jõustab vaikimisi NTAuthi poe kontrolli. Registrivõtme AllowNtAuthPolicyBypass säte võimaldab klientidel vajaduse korral auditirežiimi naasta. Siiski eemaldatakse võimalus see turbevärskendus täielikult keelata.

Oktoober 2025: Jõustamisrežiim

Teabevärskendused, mis anti välja oktoobris 2025 või hiljem, lõpetab Microsofti toe registrivõtme AllowNtAuthPolicyBypass jaoks. Selles etapis peavad kõik serdid olema välja antud NTAuth-salve kuuluvate asutuste poolt. 

Registrisätted ja sündmuselogid

Registrivõtme teave

Järgmine registrivõti võimaldab haavatavaid stsenaariume auditeerida ja seejärel jõustada muudatuse, kui haavatavad serdid on adresseeritud. Registrivõtit ei lisata automaatselt. Kui teil on vaja käitumist muuta, peate registrivõtme käsitsi looma ja määrama soovitud väärtuse. Pange tähele, et operatsioonisüsteemi käitumine, kui registrivõti on konfigureerimata, sõltub sellest, millises juurutusetapis see on.

AllowNtAuthPolicyBypass

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

AllowNtAuthPolicyBypass

Andmetüüp

REG_DWORD

Väärtuseandmed

0

Keelab muudatuse täielikult.

1

Sooritab NTAuthi kontrollimis- ja logihoiatussündmuse, mis näitab serti, mille on väljastanud asutus, mis ei kuulu NTAuth-salve (auditirežiim). (Vaikekäitumine alates 8. aprillist 2025.)

2

Tehke NTAuthi kontroll ja kui see nurjub, siis sisselogimist ei lubata. Logige AS-REQ tõrke tavasündmused (olemasolevad ) tõrkekoodiga, mis näitab NTAuthi kontrolli nurjumist (jõustatud režiim).

Kommentaarid

Registrisätet AllowNtAuthPolicyBypass tuleks konfigureerida ainult Windowsi KDCdes, kuhu on installitud 2025. aasta aprillis või hiljem välja antud Windowsi värskendused.

Auditisündmused

Sündmuse ID: 45 | NT autentimissalve kontrolli auditisündmus

Administraatorid peaksid jälgima järgmist sündmust, mille on lisanud 8. aprillil 2025 või hiljem välja antud Windowsi värskenduste installimine. Kui see on olemas, tähendab see, et serdi on välja andnud asutus, mis ei kuulu NTAuth-salve.

Sündmuste logi

Logisüsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Kerberos-Key-Distribution-Center

Sündmuse ID

45

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kliendisert, mis oli kehtiv, kuid mitte NTAuth-salve juurserdiga ühendatud. Selliste sertide tugi, mis ei ahelda NTAuth-salve, on iganenud.

Sertide aheldamise tugi mitte-NTAuth-kauplustes on iganenud ja ebaturvaline.Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2300705 .

 Kasutaja: <UserName>  Serdi teema: <serdi teema>  Serdi väljaandja: <serdi väljaandja>  Serdi seerianumber: serdi<seerianumber>  Serdi sõrmejälg: < CertThumbprint>

Kommentaarid

  • Tulevased Windowsi värskendused optimeerivad CVE-2025-26647 kaitstud domeenikontrolleritesse logitud sündmuse 45 sündmuste arvu.

  • Administraatorid võivad Kerberos-Key-Distribution-Centeri sündmuse 45 logimist ignoreerida järgmistel juhtudel.

    • Windows Hello äriklientidele (WHfB) kasutaja sisselogimisandmed, kus sertide teema ja väljaandja vastavad järgmisele vormingule: <SID>/<UID>/login.windows.net/<Rentniku ID>/<kasutaja UPN-i>

    • Seadme avaliku võtme krüptograafia algse autentimise (PKINIT) sisselogimiseks, kus kasutaja on arvutikonto (lõpeb lõpuga $ märgiga)), teema ja väljaandja on sama arvuti ning seerianumber on 01.

Sündmuse ID: 21 | AS-REQ tõrkesündmus

Pärast Kerberos-Key-Distribution-Center sündmuse 45 adresseerimist näitab selle üldise pärandsündmuse logimine, et kliendi sert pole ikka veel usaldusväärne. See sündmus võib olla logitud mitmel põhjusel, millest üks on see, et kehtiv kliendisert POLE ahelas NTAuthi salve väljaandva CA-ga.

Sündmuste logi

Logisüsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Kerberos-Key-Distribution-Center

Sündmuse ID

21

Sündmuse tekst

Kasutaja kliendisert <Domain\UserName> ei sobi ja selle tulemuseks on kiipkaardi sisselogimine nurjunud.

Kiipkaardi sisselogimiseks kasutatava serdi kohta lisateabe saamiseks pöörduge kasutaja poole.

Ahela olek oli : õigesti töödeldud sertimisahel, kuid poliitikapakkuja ei usalda ühte CA serti.

Kommentaarid

  • Sündmuse ID: 21, mis viitab "kasutaja" või "arvuti" kontole, kirjeldab Kerberose autentimise käivitamise turbesubjekti.

  • Windows Hello äriklientidele (WHfB) sisselogimised viitavad kasutajakontole.

  • Arvuti avaliku võtme krüptograafia algautentimiseks (PKINIT) viitab arvutikontole.

Teadaolev probleem

Kliendid teatasid probleemidest sündmuse ID-ga 45 ja sündmuse ID-ga: 21, mille käivitas serdipõhine autentimine iseallkirjastatud sertide abil. Lisateavet leiate Windowsi väljaande seisundi kohta dokumenteeritud teadaolevast probleemist.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus