Päivämäärän muuttaminen |
Muuta kuvausta |
---|---|
10. maaliskuuta 2024 |
Tarkensi kuukausittaista aikajanaa lisäämällä kovettuvaa aiheeseen liittyvää sisältöä ja poisti helmikuun 2024 merkinnän aikajanalta, koska se ei kovenna aiheeseen liittyvää sisältöä. |
Johdanto
Hardening on keskeinen osa jatkuvaa turvallisuusstrategiaamme, jonka avulla voit pitää kiinteistösi suojattuna samalla, kun keskityt työhön. Yhä luovemmat kyberuhat kohdistuvat heikkouksiin missä tahansa, sirusta pilveen. Oletko nähnyt julkaisujamme, jotka koskevat windowsin viestikeskuksen koventamista? Äskettäin pakotettuja ovat muun muassa DCOM-todennuksen hardening ja Netjoin: domain join hardening. Tarkastellaanpa haavoittuvia alueita, jotka ovat kovettuvat tulevina kuukausina.
Huomautus: Tätä artikkelia päivitetään ajan mittaan, jotta saat uusimmat tiedot muutosten ja aikajanojen kovenemisesta. Päivitetty viimeksi: 10. maaliskuuta 2024.
Muutosten kovetttaminen yhdellä silmäyksellä
Tarkastele visuaalista aikajanaa ja keskity sinua kiinnostaviin muutoksiin. Lisätietoja kustakin vaiheesta on alla.
Kuva 1: Visuaalinen aikajana vuonna 2023 tapahtuvasta kovettumisesta.
Kuva 2: Visuaalinen aikajana vuonna 2024 tapahtuvasta kovettumisesta.
Muutosten koventaminen kuukausittain
Tutustu kaikkien tulevien kovettuvien muutosten tietoihin kuukausittain, jotta voit suunnitella kunkin vaiheen ja lopullisen toimeenpanon.
-
Netlogon-protokollan muutokset KB5021130 | Vaihe 2
Ensimmäinen pakotusvaihe. Poistaa RPC-tiivistyksen käytöstä määrittämällä arvon 0 RequireSeal-rekisterin aliavaimen arvoksi. -
Varmennepohjainen todentamisen KB5014754 | Vaihe 2
Poistaa käytöstä poistetun tilan.
-
Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 1
Käyttöönoton ensimmäinen vaihe. Windows Päivitykset julkaistu 9. toukokuuta 2023 tai sen jälkeen korjattuja tietoturva-aukkoja, joista on keskusteltu päivityksessä CVE-2023-24932, Windowsin käynnistysosien muutoksista ja kahdesta kumoustiedostosta, joita voidaan käyttää manuaalisesti (koodin eheyskäytäntö ja päivitetty suojatun käynnistyksen estoluettelo (DBX)).
-
Netlogon-protokollan muutokset KB5021130 | Vaihe 3
Pakotus oletusarvoisesti. RequireSeal-aliavain siirretään pakotustilaan, ellet erikseen määritä sitä yhteensopivuustilaan. -
Kerberos PAC Signatures KB5020805 | Vaihe 3
Kolmas käyttöönottovaihe. Poistaa PAC-allekirjoituksen lisäämisen käytöstä määrittämällä KrbtgtFullPacSignature-aliavaimen arvoksi 0.
-
Netlogon-protokollan muutokset KB5021130 | Vaihe 4
Lopullinen täytäntöönpano. 11. heinäkuuta 2023 julkaistut Windows-päivitykset poistavat mahdollisuuden määrittää arvoksi 1RequireSeal registry -aliavain. Tämä mahdollistaa CVE-2022-38023:n täytäntöönpanovaiheen. -
Kerberos PAC Signatures KB5020805 | Vaihe 4
Alkuperäinen pakotustila. Poistaa KrbtgtFullPacSignature-aliavaimen arvon 1 ja siirtyy pakotustilaan oletusarvoisesti (KrbtgtFullPacSignature = 3), jonka voit ohittaa eksplisiittisellä Valvonta-asetuksella. -
Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 2
Toinen käyttöönottovaihe. Päivitykset Windowsille, joka julkaistiin 11. heinäkuuta 2023 tai sen jälkeen, ovat kumoustiedostojen automaattinen käyttöönotto, uudet tapahtumalokitapahtumat, joiden avulla raportoidaan, onnistuiko peruuttaminen, ja SafeOS Dynamic Update -paketti WinRE:lle.
-
Kerberos PAC Signatures KB5020805 | Vaihe 5
Täysi täytäntöönpanovaihe. Poistaa rekisterin aliavaimen KrbtgtFullPacSignature tuen, poistaa valvontatilan tuen ja kaikki palveluliput, joilla ei ole uusia PAC-allekirjoituksia, eivät voi todentaa.
-
Active Directory (AD) -käyttöoikeudet päivitykset KB5008383 | Vaihe 5
Viimeinen käyttöönottovaihe. Lopullinen käyttöönottovaihe voi alkaa, kun olet suorittanut vaiheet, jotka on lueteltu KB5008383 :n Suorita toimenpide -osassa. Voit siirtyä pakotustilaan määrittämällä dSHeuristics-määritteen 28. ja 29. bittiä käyttöönoton ohjeet -osiossa. Seuraa sitten tapahtumia 3044-3046. He ilmoittavat, kun pakotustila on estänyt LDAP:n lisäämis- tai muokkaustoiminnon, joka on ehkä aiemmin sallittu valvontatilassa.
-
Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 3
Kolmas käyttöönottovaihe. Tämä vaihe lisää käynnistyksen hallinnan lisävähennyksiä. Tämä vaihe alkaa aikaisintaan 9. huhtikuuta 2024.
-
Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 3
Pakollinen pakotusvaihe. Peruutukset (koodin eheyden käynnistyskäytäntö ja suojatun käynnistyksen estämisluettelo) otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windowsin päivitykset on asennettu kaikkiin järjestelmiin, joita ongelma koskee, eikä niitä voi poistaa käytöstä.
-
Varmennepohjainen todentamisen KB5014754 | Vaihe 3
Täysi pakotustila. Jos varmennetta ei voi määrittää vahvasti, todennus hylätään.
Hanki uusimmat uutiset
Merkitse Windowsin viestikeskus kirjanmerkillä, jotta löydät helposti uusimmat päivitykset ja muistutukset. Jos olet IT-järjestelmänvalvoja ja voit käyttää Microsoft 365 -hallintakeskus, määritä sähköpostiasetukset Microsoft 365 -hallintakeskus tärkeiden ilmoitusten ja päivitysten vastaanottamista varten.