Käytetään kohteeseen
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 8.4.2025

KB-tunnus: 5057784

Päivämäärän muuttaminen

Muuta kuvausta

22. heinäkuuta 2025

  • Päivitetty rekisteriavaimen tiedot -kohdan kappale Rekisteriasetukset ja tapahtumalokit -osassa.Alkuteksti: Seuraava rekisteriavain mahdollistaa haavoittuvassa asemassa olevien skenaarioiden valvonnan ja muutoksen käyttöönoton, kun haavoittuvassa asemassa olevat varmenteet on korjattu. Rekisteriavainta ei luoda automaattisesti. Käyttöjärjestelmän toiminta, kun rekisteriavainta ei ole määritetty, riippuu siitä, missä käyttöönoton vaiheessa se on.Muokattu teksti: Seuraava rekisteriavain mahdollistaa haavoittuvassa asemassa olevien skenaarioiden valvonnan ja muutoksen käyttöönoton, kun haavoittuvassa asemassa olevat varmenteet on korjattu. Rekisteriavainta ei lisätä automaattisesti. Jos haluat muuttaa toimintaa, sinun on luotava rekisteriavain manuaalisesti ja määritettävä tarvittava arvo. Huomaa, että käyttöjärjestelmän toiminta, kun rekisteriavainta ei ole määritetty, riippuu sen käyttöönoton vaiheesta.

  • Päivitetty "Rekisteriasetukset ja tapahtumalokit" -osan AllowNtAuthPolicyBypass-kohdan kommentit.Alkuteksti:AllowNtAuthPolicyBypass-rekisteriasetus on määritettävä vain Windowsin KDCs-tietokoneissa, kuten toimialueen ohjauskoneissa, jotka ovat asentaneet toukokuussa 2025 tai sen jälkeen julkaistut Windows-päivitykset.Muokattu teksti:AllowNtAuthPolicyBypass-rekisteriasetus tulisi määrittää vain Windowsin KDC-tietokoneissa, jotka ovat asentaneet huhtikuussa 2025 tai sen jälkeen julkaistut Windows-päivitykset.

9. toukokuuta 2025

  • Korvasi termin "privileged account" sanalla "security principal using certificate-based authentication" "Summary" (Yhteenveto) -osiossa.

  • Voit selventää NTAuth-säilössä olevien viranomaisten myöntämien kirjautumisvarmenteiden käyttöä ottamalla käyttöön Ota käyttöön -vaiheen uudelleen.Alkuperäinen teksti:OTA pakotustila käyttöön, kun ympäristösi ei enää käytä NTAuth-säilössä olevien viranomaisten myöntämiä kirjautumisvarmenteita.

  • "8. huhtikuuta 2025: Ensimmäinen käyttöönottovaihe – valvontatila" -osassa tehtiin laajoja muutoksia korostamalla, että tietyt ehdot on oltava olemassa, ennen kuin tämän päivityksen tarjoamat suojaukset otetaan käyttöön... tätä päivitystä on sovellettava kaikkiin toimialueen ohjauskoneisiin ja varmistettava, että viranomaisten antamat kirjautumisvarmenteet ovat NTAuth-säilössä. Lisätty vaiheet pakotustilaan siirtymiseksi ja lisätty poikkeushuomautus siirron viivyttämiseksi, kun sinulla on toimialueen ohjauskoneita, jotka käyttävät itse allekirjoitettua varmennepohjaista todentamista useissa tilanteissa.Alkuteksti: Jotta voit ottaa uuden toiminnan käyttöön ja olla turvassa haavoittuvuudelta, varmista, että kaikki Windows-toimialueen ohjauskoneet päivitetään ja Että AllowNtAuthPolicyBypass-rekisteriavaimen asetuksena on 2.

  • Lisätty lisäsisältöä Rekisteriavaintiedot- ja Valvontatapahtumat-osien Kommentteihin.

  • Lisätty Tunnettu ongelma -osa.

Tässä artikkelissa

Yhteenveto

8. huhtikuuta 2025 tai sen jälkeen julkaistut Windowsin suojauspäivitykset sisältävät suojauksia Kerberos-todennuksen haavoittuvuudelle. Tämä päivitys muuttaa toimintaa, kun suojauspäähenkilön varmennepohjaisessa todennuksessa käytettävän varmenteen myöntäjä (CBA) on luotettu, mutta ei NTAuth-säilössä, ja SUBJECT Key Identifier (SKI) -määritys on suojauspääobjektin altSecID-määritteessä varmennepohjaisen todentamisen avulla. Lisätietoja tästä haavoittuvuudesta on artikkelissa CVE-2025-26647.

Toimi

Ympäristön suojaamiseksi ja käyttökatkojen estämiseksi suosittelemme seuraavia ohjeita:

  1. PÄIVITÄ kaikki toimialueen ohjauskoneet 8. huhtikuuta 2025 tai sen jälkeen julkaistulla Windows-päivityksellä.

  2. VALVO uusia tapahtumia, jotka näkyvät toimialueen ohjauskoneissa, jotta voit tunnistaa varmenteiden myöntäjät, joita ongelma koskee.

  3. OTTAA KÄYTTÖÖN Pakotustila ympäristön jälkeen käyttää nyt vain NTAuth-kaupassa olevien viranomaisten myöntämiä kirjautumisvarmenteita.

altSecID-määritteet

Seuraavassa taulukossa on lueteltu kaikki vaihtoehtoisen suojauksen tunnisteet (altSecID) -määritteet ja altSecID-tunnukset, joihin tämä muutos vaikuttaa.

Luettelo varmenteen määritteistä, jotka voidaan yhdistää altSecID-tunnuksiin 

AltSecID-tunnukset, jotka edellyttävät vastaavaa varmennetta NTAuth-säilöön yhdistämistä varten

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Muutosten aikajana

8. huhtikuuta 2025: Ensimmäinen käyttöönottovaihe – valvontatila

Käyttöönoton ensimmäinen vaihe (valvontatila ) alkaa 8. huhtikuuta 2025 julkaistuilla päivityksillä. Nämä päivitykset muuttavat toimintaa, joka havaitsee CVE-2025-26647 -versiossa kuvatun käyttöoikeushaavoittuvuuden nousun, mutta ei aluksi pakota sitä.

Valvontatilassa tapahtumatunnus 45 kirjataan toimialueen ohjauskoneeseen, kun se vastaanottaa Kerberos-todennuspyynnön, jossa on epäluotettava varmenne. Todennuspyyntö sallitaan eikä asiakasvirheitä odoteta.

Jotta voit ottaa toiminnan muutoksen käyttöön ja olla turvassa haavoittuvuudelta, varmista, että kaikki Windows-toimialueen ohjauskoneet päivitetään Windows-päivityksen julkaisulla 8. huhtikuuta 2025 tai sen jälkeen, ja AllowNtAuthPolicyBypass-rekisteriavaimen asetuksena on 2, jotta voit määrittää pakotustilan.

Jos toimialueen ohjauskone vastaanottaa pakotustilassa Kerberos-todennuspyynnön, jossa on epäluotettava varmenne, se kirjaa vanhan tapahtumatunnuksen 21 ja hylkää pyynnön.

Voit ottaa tämän päivityksen tarjoamat suojaukset käyttöön seuraavasti:

  1. Ota käyttöön 8. huhtikuuta 2025 tai sen jälkeen julkaistu Windows-päivitys kaikkiin ympäristösi toimialueen ohjauskoneisiin. Päivityksen käyttöönoton jälkeen AllowNtAuthPolicyBypass-asetuksen oletusarvo on 1 (valvonta ), joka ottaa käyttöön NTAuth-tarkistuksen ja valvontalokin varoitustapahtumat.TÄRKEÄ Jos et ole valmis jatkamaan tämän päivityksen tarjoamien suojausten käyttöönottoa, määritä rekisteriavaimen arvoksi 0 , jos haluat poistaa tämän muutoksen tilapäisesti käytöstä. Lisätietoja on Rekisteriavaimen tiedot -osassa.

  2. Seuraa uusia tapahtumia, jotka näkyvät toimialueen ohjauskoneissa, ja tunnista varmenneviranomaiset, jotka eivät kuulu NTAuth-säilöön. Seurattava tapahtumatunnus on tapahtumatunnus 45. Katso lisätietoja näistä tapahtumista Valvontatapahtumat-osiosta .

  3. Varmista, että kaikki asiakasvarmenteet ovat kelvollisia ja että ne on ketjutettu luotettuun myöntäjään NTAuth-kaupassa.

  4. Kun kaikki tapahtumatunnus: 45 tapahtumaa on ratkaistu, voit siirtyä pakotustilaan . Voit tehdä tämän määrittämällä AllowNtAuthPolicyBypass-rekisteriarvoksi2. Lisätietoja on Rekisteriavaimen tiedot -osassa.Muistiinpano Suosittelemme, että määrität AllowNtAuthPolicyBypass = 2 tilapäisesti, kunnes toukokuun 2025 jälkeen julkaistu Windows-päivitys on otettu käyttöön toimialueen ohjauskoneissa, jotka käyttävät itse allekirjoitettua varmennepohjaista todennusta useissa skenaarioissa. Tämä sisältää toimialueen ohjauskoneet, jotka palvelevat Windows Hello yrityksille Avainten luottamus ja Toimialueeseen liitetty laitteen julkisen avaimen todennus.

Heinäkuu 2025: Pakotettu oletusarvoisesti

heinäkuussa 2025 tai sen jälkeen julkaistut Päivitykset valvovat oletusarvoisesti NTAuth-kaupan tarkistusta. AllowNtAuthPolicyBypass-rekisteriavaimen asetuksen avulla asiakkaat voivat edelleen tarvittaessa siirtyä takaisin valvontatilaan. Tämän suojauspäivityksen poistaminen kokonaan käytöstä kuitenkin poistetaan.

Lokakuu 2025: Pakotustila

Päivitykset julkaistu lokakuussa 2025 tai sen jälkeen lopettaa Microsoftin tuen AllowNtAuthPolicyBypass-rekisteriavaimelle. Tässä vaiheessa kaikkien varmenteiden on oltava NTAuth-myymälään kuuluvien viranomaisten myöntämiä. 

Rekisteriasetukset ja tapahtumalokit

Rekisteriavaimen tiedot

Seuraava rekisteriavain mahdollistaa haavoittuvassa asemassa olevien skenaarioiden valvonnan ja muutoksen käyttöönoton, kun haavoittuvassa asemassa olevat varmenteet on korjattu. Rekisteriavainta ei lisätä automaattisesti. Jos haluat muuttaa toimintaa, sinun on luotava rekisteriavain manuaalisesti ja määritettävä tarvittava arvo. Huomaa, että käyttöjärjestelmän toiminta, kun rekisteriavainta ei ole määritetty, riippuu sen käyttöönoton vaiheesta.

AllowNtAuthPolicyBypasss

Rekisterin aliavain

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Arvo

AllowNtAuthPolicyBypasss

Tietotyyppi

REG_DWORD

Arvotiedot

0

Poistaa muutoksen kokonaan käytöstä.

1

Suorittaa NTAuth-tarkistus- ja lokivaroitustapahtuman, joka ilmaisee varmenteen, jonka on myöntänyt viranomainen, joka ei kuulu NTAuth-säilöön (valvontatila). (Oletustoiminta 8. huhtikuuta 2025 alkaen.)

2

Suorita NTAuth-tarkistus, ja jos se epäonnistuu, älä salli kirjautumista. Kirjaa normaalitapahtumat (aiemmin luodut) AS-REQ-virheeseen virhekoodilla, joka ilmaisee NTAuth-tarkistuksen epäonnistuneen (pakotettu tila).

Kommentit

AllowNtAuthPolicyBypass-rekisteriasetus tulisi määrittää vain Windowsin KDC-tietokoneissa, jotka ovat asentaneet huhtikuussa 2025 tai sen jälkeen julkaistut Windows-päivitykset.

Valvontatapahtumat

Tapahtumatunnus: 45 | NT-todennussäilön tarkistustapahtuma

Järjestelmänvalvojien tulee seurata seuraavaa tapahtumaa, joka on lisätty 8. huhtikuuta 2025 tai sen jälkeen julkaistujen Windows-päivitysten asennuksen yhteydessä. Jos se on olemassa, se tarkoittaa, että varmenteen on myöntänyt viranomainen, joka ei kuulu NTAuth-säilöön.

Tapahtumaloki

Lokijärjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Kerberos-Key-Distribution-Center

Tapahtumatunnus

45

Tapahtuman teksti

Key Distribution Center (KDC) kohtasi asiakasvarmenteen, joka oli kelvollinen mutta ei ketjutettu pääkansioon NTAuth-säilössä. Tuki varmenteille, jotka eivät toimi ketjutettuina NTAuth-säilöön, on poistettu käytöstä.

Muiden kuin NTAuth-myymälöiden varmenteiden ketjutuksen tuki on vanhentunut ja epävarma.Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2300705 .

 Käyttäjä: <UserName->  Varmenteen aihe: <varmenteen aihe>  Varmenteen myöntäjä: <varmenteen myöntäjä>  Varmenteen sarjanumero: <cert-sarjanumero>  Varmenteen peukalonjälki: < CertThumbprint>

Kommentit

  • Tulevat Windows-päivitykset optimoivat CVE-2025-26647-suojattuihin toimialueen ohjauskoneisiin kirjattujen tapahtumien 45-määrän.

  • Järjestelmänvalvojat voivat ohittaa Kerberos-Key-Distribution-Center -tapahtuman 45 kirjaamisen seuraavissa tilanteissa:

    • Windows Hello yrityksille (WHfB) käyttäjän kirjautumiset, joissa varmenteiden aihe ja myöntäjä vastaavat muotoa: <SID>/<UID>/login.windows.net/<Vuokraajatunnus>/<käyttäjä UPN->

    • Ensimmäisen todentamisen (PKINIT) tietokonetunnuksen salaus, jossa käyttäjä on tietokonetili (jonka lopussa on $-merkki)), aihe ja myöntäjä ovat samaa tietokonetta ja sarjanumero on 01.

Tapahtumatunnus: 21 | AS-REQ-virhetapahtuma

Kun olet käsitellyt Kerberos-Key-Distribution-Center -tapahtumaa 45, tämän yleisen, vanhan tapahtuman kirjaaminen osoittaa, että asiakasvarmenne ei ole edelleenkään luotettu. Tämä tapahtuma voidaan kirjata useista syistä, joista yksi on se, että kelvollista asiakasvarmennetta EI ole ketjutettu myöntäjälle NTAuth-myymälässä.

Tapahtumaloki

Lokijärjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Kerberos-Key-Distribution-Center

Tapahtumatunnus

21

Tapahtuman teksti

Käyttäjän< Domain\UserName> asiakasvarmenne ei ole kelvollinen, ja se on johtanut epäonnistuneeseen älykorttikirjautumiseen.

Ota yhteyttä käyttäjään saadaksesi lisätietoja varmenteeseen, jota hän yrittää käyttää älykorttikirjautumiseen.

Ketjun tila oli : Oikein käsitelty sertifiointiketju, mutta käytännön toimittaja ei luota yhteen varmenteiden myöntäjän varmenteista.

Kommentit

  • Tapahtumatunnus: 21, joka viittaa "käyttäjä" tai "tietokone" -tiliin, kuvaa Kerberos-todennuksen aloittava suojauspäämies.

  • Windows Hello yrityksille (WHfB) kirjautumiset viittaavat käyttäjätiliin.

  • Machine Public Key Cryptography for Initial Authentication (PKINIT) viittaa tietokonetiliin.

Tunnettu ongelma

Asiakkaat ilmoittivat ongelmista, jotka liittyvät tapahtumatunnukseen: 45 ja tapahtumatunnukseen: 21, jonka käynnisti varmennepohjainen todennus käyttämällä itse allekirjoitettuja varmenteita. Lisätietoja on Windowsin julkaisukuntoon dokumentoidussa tunnetussa ongelmassa:

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus