Käytetään kohteeseen
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Alkuperäinen julkaisupäivä: Huhtikuu 2023

KB-tunnus: 5036534

Päivämäärän muuttaminen

Kuvaus

8.4.2025

  • Lisätty tietoja CVE-2025-26647-haavoittuvuuden suojauksista Kerberos-todennuksella.

19. helmikuuta 2025

  • Korjattu Johdanto-osan sanamuoto.

  • Poisti "Kovettuu yhdellä silmäyksellä" -osan, koska tiedot ovat vanhentuneita.

  • Lisätty Muut windowsin keskeiset muutokset -osio, jossa viitataan ominaisuuksiin ja toimintoihin, joita ei enää kehitetä Windowsissa.

30. tammikuuta 2025

  • Lisäsi tammikuun 2026 tai uudemman merkinnän Hardening changes by month -osioon.

17. tammikuuta 2025

  • Lisäsi huhtikuun 2024, tammikuun 2025 ja huhtikuun 2025 merkinnät Koventaminen kuukausittain -osioon.

10. maaliskuuta 2024

  • Tarkensi kuukausittaista aikajanaa lisäämällä kovettuvaa aiheeseen liittyvää sisältöä ja poisti helmikuun 2024 merkinnän aikajanalta, koska se ei kovenna aiheeseen liittyvää sisältöä.

Johdanto

Hardening on keskeinen osa jatkuvaa turvallisuusstrategiaamme, jonka avulla voit pitää kiinteistösi suojattuna samalla, kun keskityt työhön. Yhä luovemmat kyberuhat kohdistuvat heikkouksiin missä tahansa, sirusta pilveen.

Tässä artikkelissa tarkastellaan haavoittuvia alueita, joihin tehdään windowsin suojauspäivitysten kautta tehtyjä kovettuvia muutoksia. Julkaisemme myös muistutuksia Windowsin viestikeskuksessa ja ilmoitamme IT-järjestelmänvalvojille tärkeiden päivämäärien koventamisesta heidän lähestyessään.  

Huomautus: Tätä artikkelia päivitetään ajan mittaan, jotta saat uusimmat tiedot muutosten ja aikajanojen kovenemisesta. Katso viimeisimmät muutokset Muutosloki-osiosta .

Muutosten koventaminen kuukausittain

Tutustu viimeisimpien ja tulevien kovettuvien muutosten tietoihin kuukausittain, jotta voit suunnitella kunkin vaiheen ja lopullisen toimeenpanon.

  • Netlogon-protokollan muutokset KB5021130 | Vaihe 2 Ensimmäinen pakotusvaihe. Poistaa RPC-tiivistyksen käytöstä määrittämällä arvon 0 RequireSeal-rekisterin aliavaimen arvoksi.

  • Varmennepohjainen todentamisen KB5014754 | Vaihe 2 Poistaa käytöstä poistetun tilan.

  • Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 1 Käyttöönoton ensimmäinen vaihe. Windows Päivitykset julkaistu 9. toukokuuta 2023 tai sen jälkeen korjattuja tietoturva-aukkoja, joista on keskusteltu päivityksessä CVE-2023-24932, Windowsin käynnistysosien muutoksista ja kahdesta kumoustiedostosta, joita voidaan käyttää manuaalisesti (koodin eheyskäytäntö ja päivitetty suojatun käynnistyksen estoluettelo (DBX)).

  • Netlogon-protokollan muutokset KB5021130 | Vaihe 3 Pakotus oletusarvoisesti. RequireSeal-aliavain siirretään pakotustilaan, ellet erikseen määritä sitä yhteensopivuustilaan.

  • Kerberos PAC Signatures KB5020805 | Vaihe 3 Kolmas käyttöönottovaihe. Poistaa PAC-allekirjoituksen lisäämisen käytöstä määrittämällä KrbtgtFullPacSignature-aliavaimen arvoksi 0.

  • Netlogon-protokollan muutokset KB5021130 | Vaihe 4 Lopullinen täytäntöönpano. 11. heinäkuuta 2023 julkaistut Windows-päivitykset poistavat mahdollisuuden määrittää arvoksi 1RequireSeal registry -aliavain. Tämä mahdollistaa CVE-2022-38023:n täytäntöönpanovaiheen.

  • Kerberos PAC Signatures KB5020805 | Vaihe 4 Alkuperäinen pakotustila. Poistaa KrbtgtFullPacSignature-aliavaimen arvon 1 ja siirtyy pakotustilaan oletusarvoisesti (KrbtgtFullPacSignature = 3), jonka voit ohittaa eksplisiittisellä Valvonta-asetuksella. 

  • Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 2 Toinen käyttöönottovaihe. Päivitykset Windowsille, joka julkaistiin 11. heinäkuuta 2023 tai sen jälkeen, ovat kumoustiedostojen automaattinen käyttöönotto, uudet tapahtumalokitapahtumat, joiden avulla raportoidaan, onnistuiko peruuttaminen, ja SafeOS Dynamic Update -paketti WinRE:lle.

  • Kerberos PAC Signatures KB5020805 | Vaihe 5

    Täysi täytäntöönpanovaihe. Poistaa rekisterin aliavaimen KrbtgtFullPacSignature tuen, poistaa valvontatilan tuen ja kaikki palveluliput, joilla ei ole uusia PAC-allekirjoituksia, eivät voi todentaa.

  • Active Directory (AD) -käyttöoikeudet päivitykset KB5008383 | Vaihe 5 Viimeinen käyttöönottovaihe. Lopullinen käyttöönottovaihe voi alkaa, kun olet suorittanut vaiheet, jotka on lueteltu KB5008383 :n Suorita toimenpide -osassa. Voit siirtyä pakotustilaan määrittämällä dSHeuristics-määritteen 28. ja 29. bittiä käyttöönoton ohjeet -osiossa. Seuraa sitten tapahtumia 3044-3046. He ilmoittavat, kun pakotustila on estänyt LDAP:n lisäämis- tai muokkaustoiminnon, joka on ehkä aiemmin sallittu valvontatilassa

  • Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 3 Kolmas käyttöönottovaihe. Tämä vaihe lisää käynnistyksen hallinnan lisävähennyksiä. Tämä vaihe alkaa aikaisintaan 9. huhtikuuta 2024.

  • PAC-kelpoisuustarkistuksen muutokset KB5037754 | Yhteensopivuustilan vaihe

    Ensimmäinen käyttöönottovaihe alkaa 9. huhtikuuta 2024 julkaistuilla päivityksillä. Tämä päivitys lisää uuden toiminnan, joka estää CVE-2024-26248:ssa ja CVE-2024-29056:ssa kuvattujen käyttöoikeushaavoittuvuuksien laajentamisen, mutta ei pakota sitä, ellei sekä Windowsin toimialueen ohjauskoneita että Windows-asiakkaita päivitetä ympäristössä.

    Jotta voit ottaa uuden toiminnan käyttöön ja lieventää tietoturva-aukkoja, varmista, että koko Windows-ympäristösi (mukaan lukien sekä toimialueen ohjauskoneet että asiakkaat) päivitetään. Valvontatapahtumat kirjataan, jotta tunnistat laitteet, joita ei ole päivitetty.

  • Suojatun käynnistyksen ohitussuojaukset KB5025885 | Vaihe 3 Pakollinen pakotusvaihe. Peruutukset (koodin eheyden käynnistyskäytäntö ja suojatun käynnistyksen estämisluettelo) otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windowsin päivitykset on asennettu kaikkiin järjestelmiin, joita ongelma koskee, eikä niitä voi poistaa käytöstä.

  • PAC-kelpoisuustarkistuksen muutokset KB5037754 | Pakotus oletusarvoisesti

    tammikuussa 2025 tai sen jälkeen julkaistut Päivitykset siirtävät kaikki windowsin toimialueen ohjauskoneet ja asiakkaat pakotettuun tilaan. Tämä tila ottaa oletusarvoisesti käyttöön suojatun toiminnan. Aiemmin määritetyt rekisteriavainasetukset korvaavat tämän oletustoimintamuutoksen.

    Järjestelmänvalvoja voi ohittaa pakotetun tilan oletusasetukset, jos haluat palata yhteensopivuustilaan.

  • Varmennepohjainen todentamisen KB5014754 | Vaihe 3 Täysi pakotustila. Jos varmennetta ei voi määrittää vahvasti, todennus hylätään.

  • PAC-kelpoisuustarkistuksen muutokset KB5037754 | Pakotusvaihe Huhtikuussa 2025 tai sen jälkeen julkaistut Windowsin suojauspäivitykset poistavat rekisterin aliavainten PacSignatureValidationLevel ja CrossDomainFilteringLevel tuen ja pakottavat uuden suojatun toiminnan. Yhteensopivuustilaa ei tueta huhtikuun 2025 päivityksen asentamisen jälkeen.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Valvontatila Ensimmäinen käyttöönottovaihe alkaa 8. huhtikuuta 2025 julkaistuilla päivityksillä. Nämä päivitykset lisäävät uutta toimintaa, joka havaitsee CVE-2025-26647 -versiossa kuvatun käyttöoikeushaavoittuvuuden nousun, mutta ei pakota sitä. Jotta voit ottaa uuden toiminnan käyttöön ja olla turvassa haavoittuvuudelta, varmista, että kaikki Windows-toimialueen ohjauskoneet päivitetään ja Että AllowNtAuthPolicyBypass-rekisteriavaimen asetuksena on 2.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Oletusarvoisesti pakotettu Päivitykset julkaistu heinäkuussa 2025 tai sen jälkeen, ottaa NTAuth-kaupan tarkistuksen oletusarvoisesti käyttöön. AllowNtAuthPolicyBypass-rekisteriavaimen asetuksen avulla asiakkaat voivat edelleen tarvittaessa siirtyä takaisin valvontatilaan. Tämän suojauspäivityksen poistaminen kokonaan käytöstä kuitenkin poistetaan.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Pakotustila ​​​​​​​Päivitykset julkaistu lokakuussa 2025 tai sen jälkeen, lopettaa Microsoftin tuen AllowNtAuthPolicyBypass-rekisteriavaimelle. Tässä vaiheessa kaikkien varmenteiden on oltava NTAuth-myymälään kuuluvien viranomaisten myöntämiä.

  • Suojatun käynnistyksen ohitussuojaukset KB5025885 | Pakotusvaihe Täytäntöönpanovaihe ei ala ennen tammikuuta 2026, ja annamme vähintään kuusi kuukautta ennakkovaroitusta tässä artikkelissa ennen tämän vaiheen alkamista. Kun pakotusvaiheeseen julkaistaan päivityksiä, ne sisältävät seuraavat:

    • Windows Production PCA 2011 -varmenne kumotaan automaattisesti lisäämällä se suojatun käynnistyksen UEFI-kiellettyjen luetteloon (DBX) kyvykkäissä laitteissa. Nämä päivitykset otetaan käyttöön ohjelmallisesti sen jälkeen, kun Windows-päivitykset on asennettu kaikkiin järjestelmiin, joita ongelma koskee, eikä niitä voi poistaa käytöstä.

Muut Windowsin tärkeimmät muutokset

Jokainen Windows-asiakasohjelman ja Windows Server versio lisää uusia ominaisuuksia ja toimintoja. Joskus myös uudet versiot poistavat ominaisuuksia ja toimintoja, koska uudempi vaihtoehto on olemassa. Seuraavissa artikkeleissa on lisätietoja ominaisuuksista ja toiminnoista, joita ei enää kehitetä Windowsissa.

Asiakasohjelma

Palvelin

Hanki uusimmat uutiset

Merkitse Windowsin viestikeskus kirjanmerkillä, jotta löydät helposti uusimmat päivitykset ja muistutukset. Jos olet IT-järjestelmänvalvoja ja voit käyttää Microsoft 365 -hallintakeskus, määritä sähköpostiasetukset Microsoft 365 -hallintakeskus tärkeiden ilmoitusten ja päivitysten vastaanottamista varten.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus