Avaldamise algne kuupäev: Aprill 2023
KB ID: 5036534
Muuda kuupäeva |
Kirjeldus |
---|---|
8. aprill 2025 |
|
19. veebruar 2025 |
|
30. jaanuar 2025 |
|
17. jaanuar 2025 |
|
10. märts 2024 |
|
Sissejuhatus
Hardening on meie käimasoleva turbestrateegia põhielement, mis aitab kaitsta teie pärandvara, keskendudes samal ajal oma töökohale. Üha loovamad küberohtud sihivad nõrkusi kõikjal, mis võimalik, alates kiibist kuni pilveni.
Selles artiklis antakse ülevaade haavatavatest piirkondadest, kus Windowsi turbevärskenduste kaudu tehakse karmistavaid muudatusi. Samuti postitame Windowsi sõnumikeskusesse meeldetuletusi, et teavitada IT-administraatoreid lähenedes olulisemate kuupäevade karmistamisest.
Märkus.: Seda artiklit värskendatakse aja jooksul, et pakkuda uusimat teavet muudatuste ja ajaskaalade karmistamise kohta. Uusimate muudatuste jälitamiseks lugege jaotist Muudatustelogi .
Muudatuste karmistamine kuude kaupa
Iga etapi ja lõpliku jõustamise kavandamisel saate täpsemat teavet viimaste ja eelseisvate muudatuste kohta kuus.
-
Secure Booti möödumise kaitse KB5025885 | Faas 1 Algjuurutuse faas. Windows Teabevärskendused välja antud 9. mail 2023 või hiljem CVE-2023-24932 arutatud nõrkuste, Windowsi algkäivituse komponentide muudatuste ja kahe tühistusfailiga, mida saab käsitsi rakendada (kooditervikluse poliitika ja värskendatud turvalise algkäivituse keelamise loend (DBX)).
-
Netlogoni protokolli muudatused KB5021130 | Faas 3 Jõustamine vaikimisi. RequireSeal alamvõti teisaldatakse jõustamisrežiimi, kui te pole seda konkreetselt ühilduvusrežiimis konfigureerinud.
-
Kerberos PAC signatures KB5020805 | Faas 3 Kolmas juurutamise etapp. Eemaldab VÕIMALUSE KEELATA PAC-allkirja lisamise, määrates alamvõtme KrbtgtFullPacSignature väärtuseks 0.
-
Netlogoni protokolli muudatused KB5021130 | Faas 4 Lõplik jõustamine. 11. juulil 2023 välja antud Windowsi värskendused eemaldavad võimaluse seada väärtuse 1 registri alamvõtmele RequireSeal. See võimaldab CVE-2022-38023 jõustamisfaasi.
-
Kerberos PAC signatures KB5020805 | Faas 4 Algne jõustamisrežiim. Eemaldab alamvõtme KrbtgtFullPacSignature väärtuse 1 määramise võimaluse ja liigub vaikerežiimile (KrbtgtFullPacSignature = 3), mille saab otseste auditisätetega alistada.
-
Secure Booti möödumise kaitse KB5025885 | Faas 2 Teine juurutamise etapp. Teabevärskendused Windowsi jaoks, mis anti välja 11. juulil 2023 või hiljem, hõlmavad tühistamisfailide automaatset juurutamist, uusi sündmuselogi sündmusi, mis annavad teada, kas tühistamine oli edukas, ja SafeOS-i dünaamilise värskenduse pakett WinRE jaoks.
-
Kerberos PAC allkirjad KB5020805 | Faas 5
Täieliku jõustamise etapp. Eemaldab registri alamvõtme KrbtgtFullPacSignature toe, eemaldab auditirežiimi toe ja kõigi uue PAC-allkirjata teenusepiletite autentimine keelatakse.
-
Active Directory (AD) õiguste värskendused KB5008383 | Faas 5 Lõplik juurutusetapp. Lõplik juurutamise etapp võib alata, kui olete täitnud KB5008383 jaotises "Toiming" loetletud toimingud. Jõustamisrežiimi aktiveerimiseks järgige jaotises "Juurutusjuhised" toodud juhiseid, et määrata atribuudi dSHeuristics 28. ja 29. bitt. Seejärel jälgige sündmusi 3044-3046. Need annavad teada, kui jõustamisrežiim on blokeerinud toimingu LDAP Add or Modify , mis võis varem olla auditirežiimis lubatud.
-
Secure Booti möödumise kaitse KB5025885 | Faas 3 Kolmas juurutamise etapp. See faas lisab täiendavaid käivitushalduri leevendusi. See etapp algab mitte varem kui 9. aprillil 2024.
-
PAC valideerimise muudatused KB5037754 | Ühilduvusrežiimi faas
Algne juurutusetapp algab 9. aprillil 2024 välja antud värskendustega. See värskendus lisab uue käitumise, mis takistab õiguste nõrkuste tõstmist, mida on kirjeldatud versioonides CVE-2024-26248 ja CVE-2024-29056, kuid ei jõusta seda, välja arvatud juhul, kui värskendatakse nii Windowsi domeenikontrollereid kui ka Keskkonna Windowsi kliente.
Uue käitumise lubamiseks ja nõrkuste leevendamiseks peate veenduma, et kogu Windowsi keskkond (sh nii domeenikontrollerid kui ka kliendid) oleks värskendatud. Auditisündmused logitakse, et aidata tuvastada seadmeid, mida ei värskendata.
-
Secure Booti möödumise kaitse KB5025885 | Faas 3 Kohustuslik jõustamise etapp. Tühistamisi (kooditervikluse algkäivituse poliitika ja turvalise algkäivituse keelamise loend) jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigisse mõjutatud süsteemidesse, kus keelamise võimalust pole.
-
PAC valideerimise muudatused KB5037754 | Jõustamine vaikimisi
Teabevärskendused, mis anti välja 2025. aasta jaanuaris või hiljem, teisaldab kõik keskkonnas kuvatavad Windowsi domeenikontrollerid ja kliendid jõustatud režiimi. See režiim jõustab vaikimisi turvalise käitumise. Olemasolevad registrivõtmesätted, mis on varem määratud, alistavad selle vaikekäitumise muutuse.
Administraator saab jõustatud režiimi vaikesätted ühilduvusrežiimi ennistamiseks alistada.
-
Serdipõhine autentimine KB5014754 | Faas 3 Täielik jõustamisrežiim. Kui serti ei saa tugevalt vastendada, keelatakse autentimine.
-
PAC valideerimise muudatused KB5037754 | Jõustamise etapp Aprillis 2025 või pärast seda välja antud Windowsi turbevärskendused eemaldavad registri alamvõtmete PacSignatureValidationLevel ja CrossDomainFilteringLevel toe ning jõustavad uue turvalise käitumise. Pärast 2025. aasta aprilli värskenduse installimist ühilduvusrežiimi ei toetata.
-
Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Auditirežiim Algne juurutusetapp algab 8. aprillil 2025 välja antud värskendustega. Need värskendused lisavad uut käitumist, mis tuvastab õiguste kõrguse nõrkuse, mida on kirjeldatud versioonis CVE-2025-26647 , kuid ei jõusta seda. Uue käitumise lubamiseks ja nõrkuse eest turvalisuse tagamiseks peate tagama kõigi Windowsi domeenikontrollerite värskendamise ja registrivõtme AllowNtAuthPolicyBypass sätte väärtuseks on seatud 2.
-
Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Vaikefaas jõustab Teabevärskendused mis anti välja 2025. aasta juulis või hiljem, jõustab VAIKIMISI NTAuthi poe kontrolli. Registrivõtme AllowNtAuthPolicyBypass säte võimaldab klientidel vajaduse korral auditirežiimi naasta. Siiski eemaldatakse võimalus see turbevärskendus täielikult keelata.
-
Kerberose autentimiskaitse CVE-2025-26647 KB5057784 | Jõustamisrežiim Teabevärskendused, mis anti välja 2025. aasta oktoobris või hiljem, lõpetab Microsofti toe registrivõtme AllowNtAuthPolicyBypass jaoks. Selles etapis peavad kõik serdid olema välja antud NTAuth-salve kuuluvate asutuste poolt.
-
Secure Booti möödumise kaitse KB5025885 | Jõustamisfaas Jõustamisetapp ei alga enne 2026. aasta jaanuari ja me hoiatame selles artiklis vähemalt kuus kuud ette enne selle etapi algust. Kui jõustamisetapi jaoks antakse välja värskendused, sisaldavad need järgmist.
-
Sert "Windows Production PCA 2011" tühistatakse automaatselt, lisades turvalist algkäivituse UEFI keelatud loendisse (DBX) toega seadmetes. Need värskendused jõustatakse programmiliselt pärast Windowsi värskenduste installimist kõigile mõjutatud süsteemidele, ilma et oleks võimalik neid keelata.
-
Muud Windowsi põhimuudatused
Iga Windowsi klientrakenduse ja Windows Server versioon lisab uusi funktsioone ja funktsioone. Vahel eemaldavad ka uued versioonid funktsioone ja funktsioone, sageli seetõttu, et olemas on mõni uuem suvand. Lisateavet funktsioonide ja funktsioonide kohta, mida Windowsis enam ei arendata, leiate järgmistest artiklitest.
Klient
Server
-
versioonis Windows Server 2016 eemaldatud või taunitud funktsioonid
-
Alates versioonist Windows Server 2019 on funktsioonid eemaldatud või neid ei arendata enam
-
Alates versioonist Windows Server 2022 on funktsioonid eemaldatud või neid ei arendata enam
-
Alates versioonist Windows Server 2025 on funktsioonid eemaldatud või neid ei arendata enam
Värskeimad uudised
Uusimate värskenduste ja meeldetuletuste hõlpsaks leidmiseks lisage Windowsi sõnumikeskus järjehoidjasse. Kui olete IT-administraator, kellel on juurdepääs Microsoft 365 halduskeskus, häälestage oluliste teatiste ja värskenduste saamiseks Microsoft 365 halduskeskus meilieelistused.