Avaldamise algne kuupäev: 29. august 2025
KB ID: 5066470
Sissejuhatus
Selles artiklis kirjeldatakse hiljutisi ja eelseisvaid muudatusi Windows 11 versioonides 24H2 ja Windows Server 2025, keskendudes NTLMv1-tuletatud krüptograafia blokeerimise auditeerimisele ja lõplikule jõustamisele. Need muudatused on osa Microsofti laiemast algatusest NTLM-i järkjärguliseks kõrvaldamiseks.
Taust
Microsoft on eemaldanud NTLMv1-protokolli (vt Eemaldatud funktsioonid) Windows 11 versioonist 24H2 ja Windows Server 2025 ja uuematest versioonidest. Kuigi NTLMv1-protokoll eemaldatakse, on NTLMv1 krüptograafia jäänused mõnel juhul endiselt olemas , näiteks juhul, kui kasutatakse MS-CHAPv2 domeeniga ühendatud keskkonnas.
Credential Guard pakub nii NTLMv1 pärandkrüptimise kui ka paljude muude ründepindade täielikku kaitset ning seetõttu soovitab Microsoft tungivalt juurutada ja lubada, kui Credential Guardi nõuded on täidetud. Eelseisvad muudatused mõjutavad ainult seadmeid, kus credential guard on keelatud; kui Seadmes on lubatud Windows Credential Guard, ei jõustu selles artiklis kirjeldatud muudatused.
Eesmärk
NTLM-protokolli kasutuselt kõrvaldamise (vt Taunitud funktsioonid) ja NTLMv1-protokolli eemaldamisega tegeleb Microsoft NTLMv1 keelamise lõpuleviimisega, keelates NTLMv1-põhine identimisteave.
Eelseisvad muudatused
Sellesse värskendusse on kaasatud kaks uut muudatust, uue registrivõtme ja uute sündmuselogide kasutuselevõtt. Nende muudatuste ajaskaala leiate jaotisest Muudatuste avaldamine .
Uus registrivõti
Kasutusele võetakse uus registrivõti, mis näitab, kas muudatused on auditirežiimis või jõustamisrežiimis.
|
Registri asukoht |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value (Väärtus) |
BlockNtlmv1SSO |
|
Tüüp |
REG_DWORD |
|
Data (Andmed) |
|
Uued auditeerimisvõimalused
-
Auditeerimissätete (vaikesäte) kasutamisel
Sündmuste logi
Microsoft-Windows-NTLM/Operational
Sündmuse tüüp
Hoiatus
Sündmuse allikas
NTLM
Sündmuse ID
4024
Sündmuse tekst
Ühekordse sisselogimise jaoks NTLMv1-tuletatud identimisteabe kasutamise katse auditeerimine Sihtserver: <domain_name> Esitatud kasutaja: <user_name> Esitatud domeen: <domain_name> Kliendiprotsessi PID: <process_identifier> Kliendiprotsessi nimi: <process_name> Kliendiprotsessi LUID: <locally_unique_identifier> Kliendiprotsessi kasutajaidentiteet: <user_name> Kliendiprotsessi kasutajaidentiteedi domeeninimi: <domain_name> Mehhanismi OID: <object_identifier> Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2321802.
-
Jõustamissätete kasutamine
Sündmuste logi
Microsoft-Windows-NTLM/Operational
Sündmuse tüüp
Tõrge
Sündmuse allikas
NTLM
Sündmuse ID
4025
Sündmuse tekst
Katse kasutada ühe Sign-On jaoks NTLMv1-tuletatud identimisteavet blokeeriti poliitika tõttu.Sihtserver: <domain_name> Esitatud kasutaja: <user_name> Esitatud domeen: <domain_name> Kliendiprotsessi PID: <process_identifier> Kliendiprotsessi nimi: <process_name> Kliendiprotsessi LUID: <locally_unique_identifier> Kliendiprotsessi kasutajaidentiteet: <user_name> Kliendiprotsessi kasutajaidentiteedi domeeninimi: <domain_name> Mehhanismi OID: <object_identifier> Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2321802.
Lisateavet muude audititäiustuste kohta leiate teemast NTLM-auditi täiustuste ülevaade Windows 11 versioonides 24H2 ja Windows Server 2025.
Muudatuste avaldamine
2025. aasta septembris ja uuemates värskendustes tehakse muudatused Windows 11 versioonile 24H2 ja uuemale kliendi operatsioonisüsteemile auditirežiimis. Selles režiimis logitakse sündmuse ID: 4024 iga kord, kui kasutatakse NTLMv1-tuletatud identimisteavet, kuid autentimine jätkub. Väljalaske Windows Server 2025. aasta lõpuks.
2026. aasta oktoobris määrab Microsoft registrivõtme BlockNTLMv1SSO vaikeväärtuseks 0 (Auditi) asemel väärtuse 1 (Jõusta), kui registrivõtit BlockNTLMv1SSO pole seadmes kasutusele võetud.
Ajaskaala
|
Kuupäev |
Muudatus |
|
2025. aasta augusti lõpus |
NTLMv1 kasutuse auditilogid on lubatud Windows 11 versioonis 24H2 ja uuemates klientrakendustes. |
|
November 2025 |
Alustage versiooni Windows Server 2025 muudatuste kättesaadavaks tegemist. |
|
Oktoober 2026 |
Registrivõtme BlockNtlmv1SSO vaikeväärtust muudetakse auditirežiimist (0) jõustamisrežiimiks (1) tulevase Windowsi värskenduse kaudu, tugevdades NTLMv1 piiranguid. See vaikesätete muudatus jõustub ainult juhul, kui registrivõtit BlockNtlmv1SSO pole kasutusele võetud. |
Märkus Need kuupäevad on ebalevad ja võidakse muuta.
Korduma kippuvad küsimused (KKK)
Microsoft kasutab järk-järgulist väljalaskemeetodit väljalaske värskenduse levitamiseks teatud aja jooksul, mitte korraga. See tähendab, et kasutajad saavad värskendusi eri aegadel ja see ei pruugi kõigile kasutajatele kohe saadaval olla.
NTLMv1-tuletatud identimisteavet kasutatakse teatud kõrgema taseme protokollides ühe Sign-On jaoks; Näiteks Wi-Fi, Etherneti ja VPN-i juurutused, mis kasutavad MS-CHAPv2 autentimist. Sarnaselt sellega, kui Credential Guard on lubatud, ei tööta ka nende protokollide ühe Sign-On vood, kuid identimisteabe käsitsi sisestamine töötab ka jõustamisrežiimis . Lisateavet ja häid tavasid leiate teemast Kaalutlused ja teadaolevad probleemid Credential Guardi kasutamisel.
Ainus sarnasus selle värskenduse ja Credential Guardi vahel on kaitse NTLMv1-tuletatud krüptograafia kasutaja identimisteabe ümber. See värskendus ei paku Credential Guardi laialdast ja töökindlat kaitset; Microsoft soovitab Credential Guardi lubamist kõigil toetatud platvormidel.
