Windowsi uusimad karastusjuhised ja peamised kuupäevad

Netlogoni protokolli muudatused KB5021130 | Faas 2

Algne jõustamisetapp. Eemaldab võimaluse keelata RPC tihendus, määrates väärtuse 0 registri alamvõtmeks RequireSeal .

Serdipõhine autentimine KB5014754 | Faas 2

Eemaldab keelatud režiimi.

Secure Booti möödumise kaitse KB5025885 | Faas 1

Algjuurutuse faas. Windows Teabevärskendused välja antud 9. mail 2023 või hiljem CVE-2023-24932 arutatud nõrkuste, Windowsi algkäivituse komponentide muudatuste ja kahe tühistusfailiga, mida saab käsitsi rakendada (kooditervikluse poliitika ja värskendatud turvalise algkäivituse keelamise loend (DBX)).

Netlogoni protokolli muudatused KB5021130 | Faas 3

Jõustamine vaikimisi. RequireSeal alamvõti teisaldatakse jõustamisrežiimi, kui te pole seda konkreetselt ühilduvusrežiimis konfigureerinud.

Kerberos PAC signatures KB5020805 | Faas 3

Kolmas juurutamise etapp. Eemaldab VÕIMALUSE KEELATA PAC-allkirja lisamise, määrates alamvõtme KrbtgtFullPacSignature väärtuseks 0.

Netlogoni protokolli muudatused KB5021130 | Faas 4

Lõplik jõustamine. 11. juulil 2023 välja antud Windowsi värskendused eemaldavad võimaluse seada väärtuse 1 registri alamvõtmele RequireSeal. See võimaldab CVE-2022-38023 jõustamisfaasi.

Kerberos PAC signatures KB5020805 | Faas 4

Algne jõustamisrežiim. Eemaldab alamvõtme KrbtgtFullPacSignature väärtuse 1 määramise võimaluse ja liigub vaikerežiimile (KrbtgtFullPacSignature = 3), mille saab otseste auditisätetega alistada. 

Secure Booti möödumise kaitse KB5025885 | Faas 2

Teine juurutamise etapp. Teabevärskendused Windowsi jaoks, mis anti välja 11. juulil 2023 või hiljem, hõlmavad tühistamisfailide automaatset juurutamist, uusi sündmuselogi sündmusi, mis annavad teada, kas tühistamine oli edukas, ja SafeOS-i dünaamilise värskenduse pakett WinRE jaoks.

Kerberos PAC allkirjad KB5020805 | Faas 5

Täieliku jõustamise etapp. Eemaldab registri alamvõtme KrbtgtFullPacSignature toe, eemaldab auditirežiimi toe ja kõigi uue PAC-allkirjata teenusepiletite autentimine keelatakse.

Active Directory (AD) õiguste värskendused KB5008383 | Faas 5

Lõplik juurutusetapp. Lõplik juurutamise etapp võib alata, kui olete täitnud KB5008383 jaotises "Toiming" loetletud toimingud. Jõustamisrežiimi aktiveerimiseks järgige jaotises "Juurutusjuhised" toodud juhiseid, et määrata atribuudi dSHeuristics 28. ja 29. bitt. Seejärel jälgige sündmusi 3044-3046. Need annavad teada, kui jõustamisrežiim on blokeerinud toimingu LDAP Add or Modify , mis võis varem olla auditirežiimis lubatud. 

Secure Booti möödumise kaitse KB5025885 | Faas 3

Kolmas juurutamise etapp. See faas lisab täiendavaid käivitushalduri leevendusi. See etapp algab mitte varem kui 9. aprillil 2024.

PAC valideerimise muudatused KB5037754 | Ühilduvusrežiimi faas

Algne juurutusetapp algab 9. aprillil 2024 välja antud värskendustega. See värskendus lisab uue käitumise, mis takistab õiguste nõrkuste tõstmist, mida on kirjeldatud versioonides CVE-2024-26248 ja CVE-2024-29056, kuid ei jõusta seda, välja arvatud juhul, kui värskendatakse nii Windowsi domeenikontrollereid kui ka Keskkonna Windowsi kliente.

Uue käitumise lubamiseks ja nõrkuste leevendamiseks peate veenduma, et kogu Windowsi keskkond (sh nii domeenikontrollerid kui ka kliendid) oleks värskendatud. Auditisündmused logitakse, et aidata tuvastada seadmeid, mida ei värskendata.

Secure Booti möödumise kaitse KB5025885 | Faas 3

Kohustuslik jõustamise etapp. Tühistamisi (kooditervikluse algkäivituse poliitika ja turvalise algkäivituse keelamise loend) jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigisse mõjutatud süsteemidesse, kus keelamise võimalust pole.

PAC valideerimise muudatused KB5037754 | Jõustamine vaikimisi

Teabevärskendused, mis anti välja 2025. aasta jaanuaris või hiljem, teisaldab kõik keskkonnas kuvatavad Windowsi domeenikontrollerid ja kliendid jõustatud režiimi. See režiim jõustab vaikimisi turvalise käitumise. Olemasolevad registrivõtmesätted, mis on varem määratud, alistavad selle vaikekäitumise muutuse.

Administraator saab jõustatud režiimi vaikesätted ühilduvusrežiimi ennistamiseks alistada.

Serdipõhine autentimine KB5014754 | Faas 3

Täielik jõustamisrežiim. Kui serti ei saa tugevalt vastendada, keelatakse autentimine.

PAC valideerimise muudatused KB5037754 | Jõustamise etapp

Aprillis 2025 või pärast seda välja antud Windowsi turbevärskendused eemaldavad registri alamvõtmete PacSignatureValidationLevel ja CrossDomainFilteringLevel toe ning jõustavad uue turvalise käitumise. Pärast 2025. aasta aprilli värskenduse installimist ühilduvusrežiimi ei toetata.

Secure Booti möödumise kaitse KB5025885 | Jõustamisfaas

Jõustamisetapp ei alga enne 2026. aasta jaanuari ja me hoiatame selles artiklis vähemalt kuus kuud ette enne selle etapi algust. Kui jõustamisetapi jaoks antakse välja värskendused, sisaldavad need järgmist.

• Sert "Windows Production PCA 2011" tühistatakse automaatselt, lisades turvalist algkäivituse UEFI keelatud loendisse (DBX) toega seadmetes. Need värskendused jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigile mõjutatud süsteemidele, ilma et oleks võimalik neid keelata.