Alkuperäinen julkaisupäivä: 29. elokuuta 2025, klo
KB-tunnus: 5066470
Johdanto
Tässä artikkelissa kerrotaan Windows 11, version 24H2 ja Windows Server 2025 viimeaikaisista ja tulevista muutoksista, joissa keskitytään NTLMv1-johdetun salauksen estämisen valvontaan ja mahdolliseen täytäntöönpanoon. Nämä muutokset ovat osa Microsoftin laajempaa aloitetta poistaa NTLM asteittain.
Tausta
Microsoft on poistanut NTLMv1-protokollan (katso Poistettuja ominaisuuksia ja toimintoja) Windows 11, versiosta 24H2 ja Windows Server 2025 ja uudemmissa versioissa. Vaikka NTLMv1-protokolla poistetaan, NTLMv1-salauksen jäänteet ovat edelleen olemassa joissakin tilanteissa, kuten käytettäessä MS-CHAPv2 toimialueeseen yhdistetyssä ympäristössä.
Credential Guard suojaa sekä vanhan NTLMv1-salauksen että monet muut hyökkäyspinnat täydellisesti, joten Microsoft suosittelee vahvasti sen käyttöönottoa ja käyttöönottoa, jos Credential Guardin vaatimukset täyttyvät. Tulevat muutokset vaikuttavat vain laitteisiin, joissa tunnistetietojen suojaus on poistettu käytöstä. jos Windows credential Guard on otettu käyttöön laitteessa, tässä artikkelissa kuvatut muutokset eivät tule voimaan.
Tavoite
NTLM:n käytöstä poistamisen (katso Käytöstä poistetut ominaisuudet) ja NTLMv1-protokollan poistamisen myötä Microsoft pyrkii viimeistelemään NTLMv1:n käytöstä poistamisen käytöstä NTLMv1-johdettujen tunnistetietojen avulla.
Tulevat muutokset
Tähän päivitykseen sisältyy kaksi uutta muutosta, uuden rekisteriavaimen ja uusien tapahtumalokien käyttöönotto. Näiden muutosten aikajana on kohdassa Muutosten käyttöönotto .
Uusi rekisteriavain
Uusi rekisteriavain otetaan käyttöön, ja se ilmaisee, ovatko muutokset valvontatilassa vai Pakota-tilassa.
|
Rekisterin sijainti |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Arvo |
BlockNtlmv1SSO |
|
Type (Tyyppi) |
REG_DWORD |
|
Tiedot |
|
Uudet valvontaominaisuudet
-
Valvonta-asetuksia (oletusasetuksia) käytettäessä
Tapahtumaloki
Microsoft-Windows-NTLM/Operational
Tapahtumalaji
Varoitus
Tapahtumalähde
NTLM
Tapahtumatunnus
4024
Tapahtuman teksti
Kertakirjautumisen NTLMv1-johdettujen tunnistetietojen valvonta Kohdepalvelin: <domain_name> Toimitettu käyttäjä: <user_name> Toimitettu toimialue: <domain_name> Asiakasprosessin PID: <process_identifier> Asiakasprosessin nimi: <process_name> Asiakasprosessin LUID: <locally_unique_identifier> Asiakasprosessin käyttäjätiedot: <user_name> Asiakasprosessin käyttäjätietojen toimialuenimi: <domain_name> Mechanism OID: <object_identifier> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2321802.
-
Pakota asetukset -toimintoa käytettäessä
Tapahtumaloki
Microsoft-Windows-NTLM/Operational
Tapahtumalaji
Virhe
Tapahtumalähde
NTLM
Tapahtumatunnus
4025
Tapahtuman teksti
Yritys käyttää NTLMv1-johdettuja tunnistetietoja yksittäiselle Sign-On estettiin käytännön vuoksi.Kohdepalvelin: <domain_name> Toimitettu käyttäjä: <user_name> Toimitettu toimialue: <domain_name> Asiakasprosessin PID: <process_identifier> Asiakasprosessin nimi: <process_name> Asiakasprosessin LUID: <locally_unique_identifier> Asiakasprosessin käyttäjätiedot: <user_name> Asiakasprosessin käyttäjätietojen toimialuenimi: <domain_name> Mechanism OID: <object_identifier> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2321802.
Lisätietoja muista valvontaparannuksista on artikkelissa Yleiskatsaus NTLM-valvontaparannuksista Windows 11, versiossa 24H2 ja Windows Server 2025.
Muutosten käyttöönotto
Syyskuussa 2025 ja sitä uudemmissa päivityksissä muutokset otetaan käyttöön Windows 11, versioon 24H2 ja uudempaan asiakaskäyttöjärjestelmään tarkistustilassa. Tässä tilassa tapahtumatunnus 4024 kirjataan aina, kun NTLMv1-johdettuja tunnistetietoja käytetään, mutta todennus toimii edelleen. Käyttöönotto on Windows Server 2025 myöhemmin tänä vuonna.
Lokakuussa 2026 Microsoft määrittää BlockNTLMv1SSO-rekisteriavaimen oletusarvoksi 1 (Pakota) nollan (valvonta) sijaan, jos BlockNTLMv1SSO-rekisteriavainta ei ole otettu käyttöön laitteessa.
Aikajana
|
Päivämäärä |
Muutos |
|
Elokuun loppu 2025 |
NTLMv1-käytön valvontalokit käytössä Windows 11 versiossa 24H2 ja uudemmassa asiakasohjelmassa. |
|
Marraskuu 2025 |
Aloita Windows Server 2025 muutosten käyttöönotto. |
|
Lokakuu 2026 |
BlockNtlmv1SSO-rekisteriavaimen oletusarvo vaihdetaan valvontatilasta (0) Pakota-tilaan (1) tulevan Windows-päivityksen kautta, mikä vahvistaa NTLMv1-rajoituksia. Tämä oletusasetusten muutos tulee voimaan vain, jos BlockNtlmv1SSO-rekisteriavainta ei ole otettu käyttöön. |
Huomautus: Nämä päivämäärät ovat alustavia ja voivat muuttua.
Usein kysytyt kysymykset (usein kysytyt kysymykset)
Microsoft käyttää asteittaista käyttöönottomenetelmää julkaisupäivityksen jakamiseen tietylle ajanjaksolle eikä kaikille kerralla. Tämä tarkoittaa sitä, että käyttäjät saavat päivitykset eri aikoina, eivätkä ne välttämättä ole heti kaikkien käyttäjien käytettävissä.
Tietyt ylemmän tason protokollat käyttävät NTLMv1-johdettuja tunnistetietoja yhden Sign-On tarkoituksiin; Esimerkkejä ovat WLAN-, Ethernet- ja VPN-käyttöönotot MS-CHAPv2 todentamisen avulla. Samoin kuin silloin, kun Credential Guard on käytössä, näiden protokollien yksittäiset Sign-On työnkulut eivät toimineet, mutta tunnistetietojen manuaalinen kirjoittaminen toimii edelleen myös Pakota-tilassa . Lisätietoja ja parhaita käytäntöjä on ohjeaiheessa Huomioitavat ja tunnetut ongelmat Credential Guardia käytettäessä.
Ainoa samankaltaisuus tämän päivityksen ja Credential Guardin välillä on NTLMv1-johdettujen salaustietojen suojaukset. Tämä päivitys ei tarjoa Credential Guardin laajaa ja vankkaa suojausta. Microsoft suosittelee Credential Guardin käyttöönottoa kaikissa tuetuissa ympäristöissä.
