S’applique à
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Date de publication d’origine : 8 avril 2025

ID de la base de connaissances : 5057784

Modifier la date

Modifier la description

22 juillet 2025

  • Mise à jour du paragraphe sous « Informations sur la clé de Registre » dans la section « Paramètres du Registre et journaux des événements ».Texte d’origine : La clé de Registre suivante permet d’auditer les scénarios vulnérables, puis d’appliquer la modification une fois les certificats vulnérables traités. La clé de Registre n’est pas créée automatiquement. Le comportement du système d’exploitation lorsque la clé de Registre n’est pas configurée dépend de la phase du déploiement dans laquelle il se trouve.Texte révisé : La clé de Registre suivante permet d’auditer les scénarios vulnérables, puis d’appliquer la modification une fois les certificats vulnérables traités. La clé de Registre n’est pas ajoutée automatiquement. Si vous devez modifier le comportement, vous devez créer manuellement la clé de Registre et définir la valeur dont vous avez besoin. Notez que le comportement du système d’exploitation lorsque la clé de Registre n’est pas configurée dépend de la phase du déploiement dans laquelle il se trouve.

  • Mise à jour des commentaires sous « AllowNtAuthPolicyBypass » dans la section « Paramètres du Registre et journaux des événements ».Texte d’origine : Le paramètre de Registre AllowNtAuthPolicyBypass ne doit être configuré que sur les KDC Windows, tels que les contrôleurs de domaine qui ont installé les mises à jour Windows publiées en mai 2025 ou après.Texte révisé : Le paramètre de Registre AllowNtAuthPolicyBypass doit être configuré uniquement sur les KDC Windows qui ont installé les mises à jour Windows publiées en avril 2025 ou après cette date.

9 mai 2025

  • Remplacement du terme « compte privilégié » par « principal de sécurité utilisant l’authentification basée sur les certificats » dans la section « Résumé ».

  • Reformulé l’étape « Activer » dans la section « Agir » pour clarifier l’utilisation des certificats d’ouverture de session émis par les autorités qui se trouvent dans le magasin NTAuth.Texte d’origine :ACTIVEZ le mode d’application une fois que votre environnement n’utilise plus les certificats d’ouverture de session émis par les autorités qui ne se trouvent pas dans le magasin NTAuth.

  • Dans la section « 8 avril 2025 : Phase de déploiement initiale – Mode Audit », vous avez apporté des modifications importantes en soulignant que certaines conditions doivent exister avant d’activer les protections offertes par cette mise à jour... Cette mise à jour doit être appliquée à tous les contrôleurs de domaine et vérifier que les certificats d’ouverture de session émis par les autorités se trouvent dans le magasin NTAuth. Ajout d’étapes pour passer en mode d’application et ajout d’une note d’exception pour retarder le déplacement lorsque vous avez des contrôleurs de domaine qui service l’authentification basée sur un certificat auto-signé utilisée dans plusieurs scénarios.Texte d’origine : Pour activer le nouveau comportement et être sécurisé contre la vulnérabilité, vous devez vous assurer que tous les contrôleurs de domaine Windows sont mis à jour et que le paramètre de clé de Registre AllowNtAuthPolicyBypass est défini sur 2.

  • Ajout de contenu supplémentaire aux sections « Commentaires » des sections « Informations sur la clé de Registre » et « Événements d’audit ».

  • Ajout d’une section « Problème connu ».

Dans cet article

Résumé

Les mises à jour de sécurité Windows publiées le ou après le 8 avril 2025 contiennent des protections contre une vulnérabilité avec l’authentification Kerberos. Cette mise à jour apporte un changement de comportement lorsque l’autorité émettrice du certificat utilisé pour l’authentification basée sur le certificat (CBA) d’un principal de sécurité est approuvée, mais pas dans le magasin NTAuth, et qu’un mappage SKI (Subject Key Identifier) est présent dans l’attribut altSecID du principal de sécurité à l’aide de l’authentification basée sur un certificat. Pour en savoir plus sur cette vulnérabilité, consultez CVE-2025-26647.

Procédure à suivre

Pour protéger votre environnement et éviter les pannes, nous vous recommandons les étapes suivantes :

  1. METTRE À JOUR tous les contrôleurs de domaine avec une mise à jour Windows publiée le ou après le 8 avril 2025.

  2. SURVEILLEZ les nouveaux événements qui seront visibles sur les contrôleurs de domaine pour identifier les autorités de certification affectées.

  3. ACTIVER Le mode d’application après que votre environnement utilise désormais uniquement les certificats d’ouverture de session émis par les autorités qui se trouvent dans le magasin NTAuth.

Attributs altSecID

Le tableau suivant répertorie tous les attributs d’identificateurs de sécurité alternatifs (altSecID) et les altSecID qui sont affectés par cette modification.

Liste des attributs de certificat qui peuvent être mappés à altSecIDs 

AltSecID qui nécessitent un certificat correspondant pour la chaîne au magasin NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Chronologie des modifications

8 avril 2025 : Phase de déploiement initiale – Mode Audit

La phase de déploiement initiale (mode Audit ) commence par les mises à jour publiées le 8 avril 2025. Ces mises à jour modifient le comportement qui détecte la vulnérabilité d’élévation de privilège décrite dans CVE-2025-26647 , mais qui ne l’applique pas initialement.

En mode Audit , l’ID d’événement : 45 est enregistré sur le contrôleur de domaine lorsqu’il reçoit une demande d’authentification Kerberos avec un certificat non sécurisé. La demande d’authentification est autorisée et aucune erreur client n’est attendue.

Pour activer le changement de comportement et être sécurisé contre la vulnérabilité, vous devez vous assurer que tous les contrôleurs de domaine Windows sont mis à jour avec une mise à jour Windows à partir du 8 avril 2025 et que le paramètre de clé de Registre AllowNtAuthPolicyBypass est défini sur 2 pour configurer le mode d’application .

En mode Application , si le contrôleur de domaine reçoit une demande d’authentification Kerberos avec un certificat non sécurisé, il enregistre l’ID d’événement hérité : 21 et refuse la demande.

Pour activer les protections offertes par cette mise à jour, procédez comme suit :

  1. Appliquez la mise à jour Windows publiée le ou après le 8 avril 2025 à tous les contrôleurs de domaine de votre environnement. Après l’application de la mise à jour, le paramètre AllowNtAuthPolicyBypass est défini par défaut sur 1 (Audit), ce qui active l’case activée NTAuth et les événements d’avertissement du journal d’audit.IMPORTANT Si vous n’êtes pas prêt à appliquer les protections offertes par cette mise à jour, définissez la clé de Registre sur 0 pour désactiver temporairement cette modification. Pour plus d’informations, consultez la section Informations sur la clé de Registre .

  2. Surveillez les nouveaux événements qui seront visibles sur les contrôleurs de domaine pour identifier les autorités de certification affectées qui ne font pas partie du magasin NTAuth. L’ID d’événement que vous devez surveiller est ID d’événement : 45. Pour plus d’informations sur ces événements, consultez la section Événements d’audit.

  3. Vérifiez que tous les certificats clients sont valides et chaînés à une autorité de certification émettrice approuvée dans le magasin NTAuth.

  4. Une fois que tous les ID d’événement : 45 événements sont résolus, vous pouvez passer au mode d’application . Pour ce faire, définissez la valeur de Registre AllowNtAuthPolicyBypass sur 2. Pour plus d’informations, consultez la section Informations sur la clé de Registre .Note Nous vous recommandons de retarder temporairement la définition de AllowNtAuthPolicyBypass = 2 jusqu’à ce qu’après avoir appliqué la mise à jour Windows publiée après mai 2025 aux contrôleurs de domaine qui utilisent l’authentification basée sur un certificat auto-signé utilisée dans plusieurs scénarios. Cela inclut les contrôleurs de domaine qui Windows Hello Entreprise l’approbation de clé et l’authentification par clé publique d’appareil jointe au domaine.

Juillet 2025 : Appliqué par la phase par défaut

Mises à jour publiée en juillet 2025 ou après cette date appliqueront la case activée NTAuth Store par défaut. Le paramètre de clé de Registre AllowNtAuthPolicyBypass permet toujours aux clients de revenir en mode Audit si nécessaire. Toutefois, la possibilité de désactiver complètement cette mise à jour de sécurité sera supprimée.

Octobre 2025 : Mode d’application

Mises à jour publiée en octobre 2025 ou après cessera la prise en charge par Microsoft de la clé de Registre AllowNtAuthPolicyBypass. À ce stade, tous les certificats doivent être émis par les autorités qui font partie du magasin NTAuth. 

Paramètres du Registre et journaux des événements

Informations sur la clé de Registre

La clé de Registre suivante permet d’auditer les scénarios vulnérables, puis d’appliquer la modification une fois les certificats vulnérables traités. La clé de Registre n’est pas ajoutée automatiquement. Si vous devez modifier le comportement, vous devez créer manuellement la clé de Registre et définir la valeur dont vous avez besoin. Notez que le comportement du système d’exploitation lorsque la clé de Registre n’est pas configurée dépend de la phase du déploiement dans laquelle il se trouve.

AllowNtAuthPolicyBypass

Sous-clé de Registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valeur

AllowNtAuthPolicyBypass

Type de données

REG_DWORD

Données de valeur

0

Désactive entièrement la modification.

1

Exécute l’événement d’avertissement de case activée et de journal NTAuth indiquant le certificat émis par une autorité qui ne fait pas partie du magasin NTAuth (mode Audit). (Comportement par défaut à compter de la version du 8 avril 2025.)

2

Effectuez l’case activée NTAuth et, en cas d’échec, n’autorisez pas l’ouverture de session. Journaliser les événements normaux (existants) d’une défaillance AS-REQ avec un code d’erreur indiquant que le case activée NTAuth a échoué (mode Appliqué).

Commentaires

Le paramètre de Registre AllowNtAuthPolicyBypass doit être configuré uniquement sur les KDC Windows qui ont installé les mises à jour Windows publiées en avril 2025 ou après cette date.

Événements d’audit

ID d’événement : 45 | NT Auth Store Check Audit Event

Les administrateurs doivent watch pour l’événement suivant ajouté par l’installation des mises à jour Windows publiées à partir du 8 avril 2025. S’il existe, cela implique qu’un certificat a été émis par une autorité qui ne fait pas partie du magasin NTAuth.

Journal des événements

Système de journaux

Type d’événement

Avertissement

Source de l’événement

Kerberos-Key-Distribution-Center

ID d’événement

45

Texte de l’événement

Le centre de distribution de clés (KDC) a rencontré un certificat client qui était valide mais qui n’était pas chaîné à une racine dans le magasin NTAuth. La prise en charge des certificats qui ne sont pas liés au magasin NTAuth est déconseillée.

La prise en charge du chaînage de certificats vers des magasins non-NTAuth est déconseillée et non sécurisée.Pour en savoir plus , consultez https://go.microsoft.com/fwlink/?linkid=2300705 .

 Utilisateur : <> UserName  Objet du certificat : <>de l’objet du certificat  Émetteur de certificat : <>de l’émetteur de certificat  Numéro de série du certificat : <numéro de série du certificat>  Empreinte du certificat : <>CertThumbprint

Commentaires

  • Les futures mises à jour windows optimiseront le nombre de contrôleurs de domaine protégés par l’événement 45 connectés à CVE-2025-26647.

  • Les administrateurs peuvent ignorer la journalisation de l’événement Kerberos-Key-Distribution-Center 45 dans les circonstances suivantes :

    • Ouvertures de session utilisateur Windows Hello Entreprise (WHfB) où l’objet et l’émetteur des certificats correspondent au format : <SID>/<UID>/login.windows.net/<ID de locataire>/<>

    • Ouvertures de session PKINIT (Machine Public Key Cryptography for Initial Authentication) où l’utilisateur est un compte d’ordinateur (terminé par un caractère $ de fin)), l’objet et l’émetteur sont les mêmes ordinateurs, et le numéro de série est 01.

ID d’événement : 21 | Événement d’échec AS-REQ

Après avoir abordé l’événement Kerberos-Key-Distribution-Center 45, la journalisation de cet événement générique hérité indique que le certificat client n’est toujours pas approuvé. Cet événement peut être journalisé pour plusieurs raisons, notamment le fait qu’un certificat client valide n’est PAS chaîné à une autorité de certification émettrice dans le magasin NTAuth.

Journal des événements

Système de journaux

Type d’événement

Avertissement

Source de l’événement

Kerberos-Key-Distribution-Center

ID d’événement

21

Texte de l’événement

Le certificat client de l’utilisateur <>Domaine\NomUtilisateur n’est pas valide et a entraîné l’échec de l’ouverture de session par carte à puce.

Contactez l’utilisateur pour plus d’informations sur le certificat qu’il tente d’utiliser pour l’ouverture de session par carte à puce.

La chaîne status était : Chaîne de certification traitée correctement, mais l’un des certificats d’autorité de certification n’est pas approuvé par le fournisseur de stratégie.

Commentaires

  • Un ID d’événement : 21 qui fait référence à un compte « utilisateur » ou « ordinateur » décrit le principal de sécurité qui lance l’authentification Kerberos.

  • les connexions Windows Hello Entreprise (WHfB) référencent un compte d’utilisateur.

  • Le chiffrement à clé publique de l’ordinateur pour l’authentification initiale (PKINIT) fait référence à un compte d’ordinateur.

Problème connu

Les clients ont signalé des problèmes avec l’ID d’événement : 45 et l’ID d’événement : 21 déclenchés par l’authentification basée sur les certificats à l’aide de certificats auto-signés. Pour plus d’informations, reportez-vous au problème connu documenté sur l’intégrité des versions de Windows :

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité