Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Avaldamise algne kuupäev: Aprill 2023

KB ID: 5036534

Muuda kuupäeva

Kirjeldus

8. aprill 2025

  • Lisatud on teave Kerberose autentimisega seotud nõrkuste kaitse kohta CVE-2025-26647 jaoks.

19. veebruar 2025

  • Parandatud on jaotise Sissejuhatus sõnastust.

  • Eemaldati jaotis "Kiirpilgul tehtud muudatused", kuna teave on aegunud.

  • Lisati jaotis "Muud Windowsi põhimuudatused", et viidata funktsioonidele ja funktsioonidele, mida Windowsis enam ei arendata.

30. jaanuar 2025

  • Lisati 2026. aasta jaanuari või hilisema kirje jaotisesse "Püsimuudatused kuude kaupa".

17. jaanuar 2025

  • Lisati 2024. aasta aprillis, jaanuaris 2025 ja aprillis 2025 kirjed jaotisesse "Püsimuudatused kuude kaupa".

10. märts 2024

  • Parandas igakuise ajaskaala, lisades sellega seotud raskendavama sisu, ja eemaldas ajaskaalalt 2024. aasta veebruari kirje, kuna see pole tugevdav.

Sissejuhatus

Hardening on meie käimasoleva turbestrateegia põhielement, mis aitab kaitsta teie pärandvara, keskendudes samal ajal oma töökohale. Üha loovamad küberohtud sihivad nõrkusi kõikjal, mis võimalik, alates kiibist kuni pilveni.

Selles artiklis antakse ülevaade haavatavatest piirkondadest, kus Windowsi turbevärskenduste kaudu tehakse karmistavaid muudatusi. Samuti postitame Windowsi sõnumikeskusesse meeldetuletusi, et teavitada IT-administraatoreid lähenedes olulisemate kuupäevade karmistamisest.  

Märkus.: Seda artiklit värskendatakse aja jooksul, et pakkuda uusimat teavet muudatuste ja ajaskaalade karmistamise kohta. Uusimate muudatuste jälitamiseks lugege jaotist Muudatustelogi .

Muudatuste karmistamine kuude kaupa

Iga etapi ja lõpliku jõustamise kavandamisel saate täpsemat teavet viimaste ja eelseisvate muudatuste kohta kuus.

  • Netlogoni protokolli muudatused KB5021130 | Faas 2 Algne jõustamisetapp. Eemaldab võimaluse keelata RPC tihendus, määrates väärtuse 0 registri alamvõtmeks RequireSeal .

  • Serdipõhine autentimine KB5014754 | Faas 2 Eemaldab keelatud režiimi.

  • Secure Booti möödumise kaitse KB5025885 | Faas 1 Algjuurutuse faas. Windows Teabevärskendused välja antud 9. mail 2023 või hiljem CVE-2023-24932 arutatud nõrkuste, Windowsi algkäivituse komponentide muudatuste ja kahe tühistusfailiga, mida saab käsitsi rakendada (kooditervikluse poliitika ja värskendatud turvalise algkäivituse keelamise loend (DBX)).

  • Netlogoni protokolli muudatused KB5021130 | Faas 3 Jõustamine vaikimisi. RequireSeal alamvõti teisaldatakse jõustamisrežiimi, kui te pole seda konkreetselt ühilduvusrežiimis konfigureerinud.

  • Kerberos PAC signatures KB5020805 | Faas 3 Kolmas juurutamise etapp. Eemaldab VÕIMALUSE KEELATA PAC-allkirja lisamise, määrates alamvõtme KrbtgtFullPacSignature väärtuseks 0.

  • Netlogoni protokolli muudatused KB5021130 | Faas 4 Lõplik jõustamine. 11. juulil 2023 välja antud Windowsi värskendused eemaldavad võimaluse seada väärtuse 1 registri alamvõtmele RequireSeal. See võimaldab CVE-2022-38023 jõustamisfaasi.

  • Kerberos PAC signatures KB5020805 | Faas 4 Algne jõustamisrežiim. Eemaldab alamvõtme KrbtgtFullPacSignature väärtuse 1 määramise võimaluse ja liigub vaikerežiimile (KrbtgtFullPacSignature = 3), mille saab otseste auditisätetega alistada. 

  • Secure Booti möödumise kaitse KB5025885 | Faas 2 Teine juurutamise etapp. Teabevärskendused Windowsi jaoks, mis anti välja 11. juulil 2023 või hiljem, hõlmavad tühistamisfailide automaatset juurutamist, uusi sündmuselogi sündmusi, mis annavad teada, kas tühistamine oli edukas, ja SafeOS-i dünaamilise värskenduse pakett WinRE jaoks.

  • Kerberos PAC allkirjad KB5020805 | Faas 5

    Täieliku jõustamise etapp. Eemaldab registri alamvõtme KrbtgtFullPacSignature toe, eemaldab auditirežiimi toe ja kõigi uue PAC-allkirjata teenusepiletite autentimine keelatakse.

  • Active Directory (AD) õiguste värskendused KB5008383 | Faas 5 Lõplik juurutusetapp. Lõplik juurutamise etapp võib alata, kui olete täitnud KB5008383 jaotises "Toiming" loetletud toimingud. Jõustamisrežiimi aktiveerimiseks järgige jaotises "Juurutusjuhised" toodud juhiseid, et määrata atribuudi dSHeuristics 28. ja 29. bitt. Seejärel jälgige sündmusi 3044-3046. Need annavad teada, kui jõustamisrežiim on blokeerinud toimingu LDAP Add or Modify , mis võis varem olla auditirežiimis lubatud. 

  • Secure Booti möödumise kaitse KB5025885 | Faas 3 Kolmas juurutamise etapp. See faas lisab täiendavaid käivitushalduri leevendusi. See etapp algab mitte varem kui 9. aprillil 2024.

  • PAC valideerimise muudatused KB5037754 | Ühilduvusrežiimi faas

    Algne juurutusetapp algab 9. aprillil 2024 välja antud värskendustega. See värskendus lisab uue käitumise, mis takistab õiguste nõrkuste tõstmist, mida on kirjeldatud versioonides CVE-2024-26248 ja CVE-2024-29056, kuid ei jõusta seda, välja arvatud juhul, kui värskendatakse nii Windowsi domeenikontrollereid kui ka Keskkonna Windowsi kliente.

    Uue käitumise lubamiseks ja nõrkuste leevendamiseks peate veenduma, et kogu Windowsi keskkond (sh nii domeenikontrollerid kui ka kliendid) oleks värskendatud. Auditisündmused logitakse, et aidata tuvastada seadmeid, mida ei värskendata.

  • Secure Booti möödumise kaitse KB5025885 | Faas 3 Kohustuslik jõustamise etapp. Tühistamisi (kooditervikluse algkäivituse poliitika ja turvalise algkäivituse keelamise loend) jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigisse mõjutatud süsteemidesse, kus keelamise võimalust pole.

  • PAC valideerimise muudatused KB5037754 | Jõustamine vaikimisi

    Teabevärskendused, mis anti välja 2025. aasta jaanuaris või hiljem, teisaldab kõik keskkonnas kuvatavad Windowsi domeenikontrollerid ja kliendid jõustatud režiimi. See režiim jõustab vaikimisi turvalise käitumise. Olemasolevad registrivõtmesätted, mis on varem määratud, alistavad selle vaikekäitumise muutuse.

    Administraator saab jõustatud režiimi vaikesätted ühilduvusrežiimi ennistamiseks alistada.

  • Serdipõhine autentimine KB5014754 | Faas 3 Täielik jõustamisrežiim. Kui serti ei saa tugevalt vastendada, keelatakse autentimine.

  • PAC valideerimise muudatused KB5037754 | Jõustamise etapp Aprillis 2025 või pärast seda välja antud Windowsi turbevärskendused eemaldavad registri alamvõtmete PacSignatureValidationLevel ja CrossDomainFilteringLevel toe ning jõustavad uue turvalise käitumise. Pärast 2025. aasta aprilli värskenduse installimist ühilduvusrežiimi ei toetata.

  • Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Auditirežiim Algne juurutusetapp algab 8. aprillil 2025 välja antud värskendustega. Need värskendused lisavad uut käitumist, mis tuvastab õiguste kõrguse nõrkuse, mida on kirjeldatud versioonis CVE-2025-26647 , kuid ei jõusta seda. Uue käitumise lubamiseks ja nõrkuse eest turvalisuse tagamiseks peate tagama kõigi Windowsi domeenikontrollerite värskendamise ja registrivõtme AllowNtAuthPolicyBypass sätte väärtuseks on seatud 2.

  • Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Vaikefaas jõustab Teabevärskendused mis anti välja 2025. aasta juulis või hiljem, jõustab VAIKIMISI NTAuthi poe kontrolli. Registrivõtme AllowNtAuthPolicyBypass säte võimaldab klientidel vajaduse korral auditirežiimi naasta. Siiski eemaldatakse võimalus see turbevärskendus täielikult keelata.

  • Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Jõustamisrežiim ​​​​​​​Teabevärskendused, mis anti välja 2025. aasta oktoobris või hiljem, lõpetab Microsofti toe registrivõtme AllowNtAuthPolicyBypass jaoks. Selles etapis peavad kõik serdid olema välja antud NTAuth-salve kuuluvate asutuste poolt.

  • Secure Booti möödumise kaitse KB5025885 | Jõustamisfaas Jõustamisetapp ei alga enne 2026. aasta jaanuari ja me hoiatame selles artiklis vähemalt kuus kuud ette enne selle etapi algust. Kui jõustamisetapi jaoks antakse välja värskendused, sisaldavad need järgmist.

    • Sert "Windows Production PCA 2011" tühistatakse automaatselt, lisades turvalist algkäivituse UEFI keelatud loendisse (DBX) toega seadmetes. Need värskendused jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigile mõjutatud süsteemidele, ilma et oleks võimalik neid keelata.

Muud Windowsi põhimuudatused

Iga Windowsi klientrakenduse ja Windows Server versioon lisab uusi funktsioone ja funktsioone. Vahel eemaldavad ka uued versioonid funktsioone ja funktsioone, sageli seetõttu, et olemas on mõni uuem suvand. Lisateavet funktsioonide ja funktsioonide kohta, mida Windowsis enam ei arendata, leiate järgmistest artiklitest.

Klient

Server

Värskeimad uudised

Uusimate värskenduste ja meeldetuletuste hõlpsaks leidmiseks lisage Windowsi sõnumikeskus järjehoidjasse. Kui olete IT-administraator, kellel on juurdepääs Microsoft 365 halduskeskus, häälestage oluliste teatiste ja värskenduste saamiseks Microsoft 365 halduskeskus meilieelistused.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.