חל על
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

תאריך פרסום מקורי: 8 באפריל, 2025

מזהה KB: 5057784

שנה תאריך

שינוי תיאור

ה-22 ביולי 2025

  • הפיסקה עודכנה תחת 'פרטי מפתח רישום' במקטע 'הגדרות רישום ויומנים של אירועים'.טקסט מקורי: מפתח הרישום הבא מאפשר ביקורת של תרחישים פגיעים ולאחר מכן אוכף את השינוי לאחר טופלו אישורים פגיעים. מפתח הרישום לא ייווצר באופן אוטומטי. אופן הפעולה של מערכת ההפעלה כאשר מפתח הרישום אינו מוגדר יהיה תלוי בשלב הפריסה שבו הוא נמצא.טקסט מתוקן: מפתח הרישום הבא מאפשר ביקורת של תרחישים פגיעים ולאחר מכן אוכף את השינוי לאחר טופלו אישורים פגיעים. מפתח הרישום אינו נוסף באופן אוטומטי. אם עליך לשנות את אופן הפעולה, עליך ליצור את מפתח הרישום באופן ידני ולהגדיר את הערך הדרוש. שים לב כי אופן הפעולה של מערכת ההפעלה כאשר מפתח הרישום אינו מוגדר יהיה תלוי בשלב הפריסה שבו הוא נמצא.

  • עודכן ההערות תחת "AllowNtAuthPolicyBypass" במקטע "הגדרות רישום ויומנים של אירועים".טקסט מקורי: יש לקבוע את התצורה של הגדרת הרישום AllowNtAuthPolicyBypass רק במחשבי KDC של Windows, כגון בקרי תחום שהתקיןו את עדכוני Windows שהופצו במאי 2025 או לאחר מכן.טקסט מתוקן: יש לקבוע את התצורה של הגדרת הרישום AllowNtAuthPolicyBypass רק במחשבי ה- KDC של Windows שהתקיןו את עדכוני Windows שהופצו באפריל 2025 או לאחר מכן.

ה-9 במאי 2025

  • הוחלף המונח "חשבון הרשאות" ב"מנהל אבטחה באמצעות אימות מבוסס אישורים" במקטע "סיכום".

  • סעיף "הפוך לזמין" שבסעיף "בצע פעולה" כדי להבהיר כיצד להשתמש באישורים לכניסה שהונפקו על-ידי הרשויות שבמאגר NTAuth.טקסט מקורי:הפוך מצב אכיפה לזמין לאחר שהסביבה שלך כבר לא משתמשת באישורים לכניסה שהונפקו על-ידי רשויות שלא נמצאות במאגר NTAuth.

  • בסעיף "8 באפריל 2025: שלב הפריסה ההתחלתית – מצב ביקורת", ביצע שינויים נרחבים על-ידי הדגשה שתנאים מסוימים חייבים להתקיים לפני הפיכת הגנות המוצעות על-ידי עדכון זה לזמינים... יש להחיל עדכון זה על כל בקרי התחום וגם לוודא שאישורי הכניסה שהונפקו על-ידי הרשויות נמצאים במאגר NTAuth. נוספו שלבים למעבר למצב אכיפה והוספת הערת חריגה כדי להשהות את המעבר כאשר יש לך בקרי תחום שבהם נעשה שימוש באימות מבוסס אישור בחתימה עצמית של שירות בתרחישים מרובים.טקסט מקורי: כדי לאפשר את אופן הפעולה החדש ולהיי מאובטח מהפגיעות, עליך לוודא שכל בקרי התחום של Windows מעודכנים והגדרת מפתח הרישום AllowNtAuthPolicyBypass מוגדרת ל- 2.

  • נוסף תוכן נוסף ל"הערות" של המקטעים "פרטי מפתח רישום" ו"אירועי ביקורת".

  • נוספה סעיף "בעיה ידועה".

במאמר זה

סיכום

עדכוני האבטחה של Windows שהופצו ב- 8 באפריל 2025 או לאחר מכן, מכילים הגנות עבור פגיעות באימות Kerberos. עדכון זה מספק שינוי באופן הפעולה כאשר הרשות הנפקת של האישור המשמשת לאימות מבוסס-אישור (CBA) של מנהל אבטחה מהימן, אך לא במאגר NTAuth, ומיפוי מזהה מפתח נושא (SKI) קיים בתכונה altSecID של מנהל האבטחה באמצעות אימות מבוסס-אישורים. לקבלת מידע נוסף על פגיעות זו, ראה CVE-2025-26647.

בצע פעולה

כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ לבצע את השלבים הבאים:

  1. עדכן את כל בקרי התחום באמצעות עדכון Windows שפורסם ב- 8 באפריל 2025 או לאחר מכן.

  2. נטר אירועים חדשים שיוצגו בבקרי תחום כדי לזהות רשויות אישורים מושפעות.

  3. לאפשר מצב אכיפה לאחר שהסביבה שלך משתמשת כעת רק באישורים לכניסה שהונפקו על-ידי רשויות במאגר NTAuth.

תכונות altSecID

הטבלה הבאה מפרטת את כל התכונות של מזהי אבטחה חלופיים (altSecID) ואת מזהי AltSecID המושפעים משינוי זה.

רשימה של תכונות אישור שניתן למפות ל- altSecIDs 

AltSecIDs הדורשים אישור תואם לשרשרת במאגר NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509ציבורימפתח בלבד

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

ציר זמן של שינויים

8 באפריל 2025: שלב הפריסה הראשונית – מצב ביקורת

שלב הפריסה הראשונית (מצב ביקורת) מתחיל בעדכונים שהופצו ב- 8 באפריל, 2025. עדכונים אלה משנה את אופן הפעולה שמאתר את העלאת הפגיעות של הרשאות המתוארות ב- CVE-2025-26647 , אך בתחילה אינו אוכף אותו.

במצב ביקורת , מזהה אירוע: 45 יירשם בבקר התחום כאשר הוא יקבל בקשת אימות Kerberos עם אישור לא בטוח. בקשת האימות תהיה מותרת ולא צפויות שגיאות לקוח.

כדי לאפשר את השינוי באופן הפעולה ולהיכנס למצב מאובטח מפני הפגיעות, עליך לוודא שכל בקרי התחום של Windows מעודכנים בהפצה של Windows Update ב- 8 באפריל 2025 או לאחר מכן, והגדרת מפתח הרישום AllowNtAuthPolicyBypass מוגדרת ל- 2 כדי לקבוע את תצורתו עבור מצב אכיפה.

כאשר אתה נמצא במצב אכיפה, אם בקר התחום מקבל בקשת אימות Kerberos עם אישור לא בטוח, הוא ירשום מזהה אירוע מדור קודם: 21 וידחה את הבקשה.

כדי להפעיל את הגנות המוצעות על-ידי עדכון זה, בצע את הפעולות הבאות:

  1. החל את עדכון Windows שפורסם ב- 8 באפריל 2025 או לאחר מכן, על כל בקרי התחום בסביבה שלך. לאחר החלת העדכון, הגדרת AllowNtAuthPolicyBypass המוגדרת כברירת מחדל ל- 1 (ביקורת) המאפשרת את בדיקת NTAuth ואת אירועי האזהרה של יומן הביקורת.חשוב אם אינך מוכן להמשיך להחיל את הגנות המוצעות על-ידי עדכון זה, הגדר את מפתח הרישום ל- 0 כדי להפוך שינוי זה ללא זמין באופן זמני. עיין בסעיף פרטי מפתח רישום לקבלת מידע נוסף.

  2. נטר אירועים חדשים אשר יהיו גלויים בבקרי תחום כדי לזהות רשויות אישורים מושפעות שאינם חלק מאחסון NTAuth. מזהה האירוע שעליך לנטר הוא מזהה אירוע: 45. עיין בסעיף אירועי ביקורת לקבלת מידע נוסף אודות אירועים אלה.

  3. ודא שכל אישורי הלקוח חוקיים ומשרשרים לרשות אישורים מנפקת מהימנה במאגר NTAuth.

  4. לאחר שכל מזהה האירוע: 45 אירועים נפתרים, תוכל להמשיך למצב אכיפה . לשם כך, הגדר את ערך הרישום AllowNtAuthPolicyBypass ל- 2. עיין בסעיף פרטי מפתח רישום לקבלת מידע נוסף.הערה מומלץ להשהות באופן זמני את הגדרת AllowNtAuthPolicyBypass = 2 עד לאחר החלת העדכון של Windows שפורסם לאחר מאי 2025 על בקרי תחום שבהם נעשה שימוש באימות מבוסס-אישור בחתימה עצמית של השירות בתרחישים מרובים. הדבר כולל בקרי תחום שבהם שירות Windows Hello לעסקים באימות מפתח של מפתח ואימות מפתח ציבורי של מכשיר המצורף לתחום.

יולי 2025: נאכפת על-ידי שלב ברירת המחדל

עדכונים שפורסמו ביולי 2025 או לאחר מכן, יאכפו את בדיקת ה- NTAuth Store כברירת מחדל. הגדרת מפתח הרישום AllowNtAuthPolicyBypass עדיין תאפשר ללקוחות לחזור למצב ביקורת במידת הצורך. עם זאת, היכולת להפוך עדכון אבטחה זה ללא זמין לחלוטין תוסר.

אוקטובר 2025: מצב אכיפה

עדכונים שפורסם באוקטובר 2025 או לאחר מכן, התמיכה של Microsoft עבור מפתח הרישום AllowNtAuthPolicyBypass תפסק. בשלב זה, יש להנפיק את כל האישורים על-ידי רשויות שהם חלק מ- NTAuth Store. 

הגדרות רישום ויומנים של אירועים

פרטי מפתח רישום

מפתח הרישום הבא מאפשר ביקורת של תרחישים פגיעים ולאחר מכן אוכף את השינוי לאחר טופלו אישורים פגיעים. מפתח הרישום אינו נוסף באופן אוטומטי. אם עליך לשנות את אופן הפעולה, עליך ליצור את מפתח הרישום באופן ידני ולהגדיר את הערך הדרוש. שים לב כי אופן הפעולה של מערכת ההפעלה כאשר מפתח הרישום אינו מוגדר יהיה תלוי בשלב הפריסה שבו הוא נמצא.

AllowNtAuthPolicyBypass

מפתח משנה של רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

‏‏ערך

AllowNtAuthPolicyBypass

סוג נתונים

REG_DWORD

נתוני ערך

0

הפיכת השינוי ללא זמין לחלוטין.

1

ביצוע אירוע האזהרה של בדיקת NTAuth ואירוע אזהרה ביומן המציין אישור שהונפק על-ידי רשות שאינו מהווה חלק מאחסון NTAuth (מצב ביקורת). (אופן הפעולה המהווה ברירת מחדל החל מההפצה ב- 8 באפריל 2025.)

2

בצע את בדיקת NTAuth ואם היא נכשלת, לא תאפשר את הכניסה. רשום אירועים רגילים (קיימים) עבור כשל AS-REQ עם קוד שגיאה המציין שבדיקת NTAuth נכשלה (מצב נאכף ).

הערות

יש לקבוע את התצורה של הגדרת הרישום AllowNtAuthPolicyBypass רק במחשבי ה- KDC של Windows שהתקיןו את עדכוני Windows שהופצו באפריל 2025 או לאחר מכן.

אירועי ביקורת

מזהה אירוע: 45 | אירוע ביקורת של בדיקת מאגר אימות NT

מנהלי מערכת צריכים לצפות באירוע הבא שנוסף על-ידי התקנת עדכוני Windows שהופצו ב- 8 באפריל 2025 או לאחר מכן. אם הוא קיים, הוא מציין שאישור הונפק על-ידי רשות שאינו מהווה חלק מאחסון NTAuth.

‏‏יומן אירועים

מערכת יומן רישום

סוג אירוע

שלט אזהרה

מקור האירוע

Kerberos-Key-Distribution-Center

מזהה האירוע

45

טקסט אירוע

מרכז התפלגות המפתח (KDC) נתקל באישור לקוח שהיה חוקי אך לא משורשר לבסיס במאגר NTAuth. התמיכה באישורים שאינם שרשרת אל מאגר NTAuth אינה נמצאת עוד בשימוש.

התמיכה בשלשלאות אישורים לחנויות שאינן NTAuth אינה נמצאת עוד בשימוש ולא מאובטחת.ראה https://go.microsoft.com/fwlink/?linkid=2300705 למידע נוסף.

 משתמש: <UserName>  נושא אישור: <נושא האישור>  Issuer certificate issuer: <Cert Issuer>  מספר סידורי של אישור:<המספר הסידורי של אישור>  טביעת אצבע של אישור:< CertThumbprint>

הערות

  • עדכונים עתידיים של Windows ימוטב את מספר אירועי 45 המחוברים בבקרי תחום המוגנים באמצעות CVE-2025-26647.

  • מנהלי מערכת עשויים להתעלם מהרישום של אירוע 45 של Kerberos-Key-Distribution-Center בנסיבות הבאות:

    • Windows Hello לעסקים משתמשים (WHfB) שבהן הנושא והנפפיק של האישורים תואמים לתבנית: <SID>/<UID>/login.windows.net/<Tenant ID>/<user UPN>

    • הצפנה של מפתח ציבורי של מחשב עבור כניסות אימות התחלתי (PKINIT) שבהן המשתמש הוא חשבון מחשב (המסתיים בתו $ נגרר)), הנושא והנפפיק הם אותו מחשב והמספר הסידורי הוא 01.

מזהה אירוע: 21 | אירוע כשל AS-REQ

לאחר טופלה אירוע 45 של Kerberos-Key-Distribution-Center, הרישום של אירוע מדור קודם כללי זה מציין שאישור הלקוח עדיין אינו מהימן. אירוע זה עשוי להיות רשום מסיבות מרובות, אחת מהאפשרויות היא שאישור לקוח חוקי אינו משרשר לרשות אישורים מנפקת במאגר NTAuth.

‏‏יומן אירועים

מערכת יומן רישום

סוג אירוע

שלט אזהרה

מקור האירוע

Kerberos-Key-Distribution-Center

מזהה האירוע

21

טקסט אירוע

אישור הלקוח עבור המשתמש< Domain\UserName> חוקי והתוצאה היא כניסה באמצעות כרטיס חכם שנכשלה.

פנה אל המשתמש לקבלת מידע נוסף אודות האישור שבו הוא מנסה להשתמש לכניסה באמצעות כרטיס חכם.

מצב השרשרת היה: שרשרת אישורים שעובדה כראוי, אך ספק המדיניות אינו מהימן אחד מאישורי רשות האישורים.

הערות

  • מזהה אירוע: 21 המפנה לחשבון "משתמש" או "מחשב" מתאר את מנהל האבטחה שיזם אימות Kerberos.

  • Windows Hello לעסקים (WHfB) יפנה לחשבון משתמש.

  • הצפנה של מפתח ציבורי של מחשב עבור אימות התחלתי (PKINIT) מפנה לחשבון מחשב.

בעיה מוכרת

לקוחות דיווחו על בעיות במזהה אירוע: 45 ומזהה אירוע: 21 המופעל על-ידי אימות מבוסס-אישור באמצעות אישורים בחתימה עצמית. כדי לראות מידע נוסף, עיין בבעיה המוכרת שמתווקנה בתקינות ההפצה של Windows:

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות