חל על
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

תאריך פרסום מקורי: 2023 באפריל 2023

מזהה KB: 5036534

שנה תאריך

תיאור

8 באפריל, 2025

  • נוסף מידע אודות הגנות עבור פגיעות באימות Kerberos עבור CVE-2025-26647.

(יום שלישי 19 פברואר 2025)

  • תיקנו את הסעיף מבוא.

  • הסרת את המקטע 'הקשת שינויים במבט מהיר' מכיוון שהמידע אינו מעודכן.

  • נוספה הסעיף "שינויים עיקריים אחרים ב- Windows" לקבלת הפניות לתכונות ולפונקציונליות שאינם מפותחים עוד ב- Windows.

(יום שלישי 30 ינואר 2025)

  • נוסף הערך מינואר 2026 או מאוחר יותר תחת המקטע "הקשת שינויים לפי חודש".

ה-17 בינואר 2025

  • נוספו הערכים מאפריל 2024, ינואר 2025 ואפריל 2025 תחת המקטע "הקשת שינויים לפי חודש".

(יום שלישי 10 מרץ 2024)

  • ציר הזמן החודשי שהשתנה והוספת תוכן קשור מקשה נוסף והוסר הערך של פברואר 2024 מציר הזמן מאחר שהוא אינו מקשה על קשר.

מבוא

Hardening הוא מרכיב מרכזי באסטרטגיית האבטחה המתמשכת שלנו כדי לסייע בשמירה על הרכוש שלך מוגן בזמן שאתה מתמקד בעבודה שלך. איומי סייבר יצירתיים יותר ויותר ממקדים חולשות בכל מקום אפשרי, מהשרבב ועד לענן.

מאמר זה סוקר אזורים פגיעים שעוברים שינויי הקשה המיושמים באמצעות עדכוני האבטחה של Windows. אנו גם תפרסם תזכורות במרכז ההודעות של Windows כדי להתריע למנהלי IT על הקשת תאריכים עיקריים כאשר הם מתקרבים.  

הערה: מאמר זה יעודכן לאורך זמן כדי לספק את המידע העדכני ביותר אודות הקשת שינויים וצירי זמן. עיין במקטע יומן רישום שינויים כדי לעקוב אחר השינויים האחרונים.

הקשת שינויים לפי חודש

עיין בפרטים עבור שינויים אחרונים וצפויים הקשחת לפי חודש כדי לעזור לך לתכנן עבור כל שלב ופעולה של אכיפה סופית.

  • שינויים בפרוטוקול Netlogon KB5021130 | שלב 2 שלב האכיפה הראשוני. הסרת היכולת להפוך את איטום RPC ללא זמין על-ידי הגדרת הערך 0למפתח המשנה של הרישום RequireSeal .

  • אימות מבוסס KB5014754 | שלב 2 הסרת מצב לא זמין.

  • הגנות עקיפת אתחול מאובטח KB5025885 | שלב 1 שלב הפריסה הראשונית. Windows עדכונים פורסם ב- 9 במאי 2023 או לאחר מכן, טופלו פגיעויות המפורטות ב- CVE-2023-24932, שינויים ברכיבי האתחול של Windows ושני קבצי ביטול שניתן להחיל באופן ידני (מדיניות תקינות קוד ורשימה מעודכנת של אי-הזרמת אתחול מאובטח (DBX)).

  • שינויים בפרוטוקול Netlogon KB5021130 | שלב 3 אכיפה כברירת מחדל. מפתח המשנה RequireSeal יועבר למצב אכיפה, אלא אם תגדיר אותו באופן מפורש למצב תאימות.

  • Kerberos PAC Signatures KB5020805 | שלב 3 שלב הפריסה השלישי. הסרת היכולת להפוך את תוספת חתימת PAC ללא זמינה על-ידי הגדרת מפתח המשנה KrbtgtFullPacSignature לערך 0.

  • שינויים בפרוטוקול Netlogon KB5021130 | שלב 4 אכיפה סופית. עדכוני Windows שהופצו ב- 11 ביולי 2023 יסירו את היכולת להגדיר את הערך 1 למפתח המשנה של הרישום RequireSeal. פעולה זו מפעילה את שלב האכיפה של CVE-2022-38023.

  • Kerberos PAC Signatures KB5020805 | שלב 4 מצב אכיפה ראשוני. הסרת היכולת להגדיר את הערך 1 עבור מפתח המשנה KrbtgtFullPacSignature, ועוברת למצב אכיפה כברירת מחדל (KrbtgtFullPacSignature = 3), שניתן לעקוף באמצעות הגדרת ביקורת מפורשת. 

  • הגנות עקיפת אתחול מאובטח KB5025885 | שלב 2 שלב הפריסה השני. עדכונים עבור Windows שפורסמו ב- 11 ביולי 2023 או לאחר מכן כוללים פריסה אוטומטית של קבצי הביטולי, אירועים חדשים של יומן האירועים כדי לדווח אם פריסת הביטוליות הצליחה, והחבילה SafeOS Dynamic Update עבור WinRE.

  • Kerberos PAC Signatures KB5020805 | שלב 5

    שלב אכיפה מלא. הסרת התמיכה במפתח המשנה של הרישום KrbtgtFullPacSignature, מסירה תמיכה במצב ביקורת וכל כרטיסי השירות ללא חתימות PAC החדשים נדחים באימות.

  • עדכוני הרשאות Active Directory (AD) KB5008383 | שלב 5 שלב הפריסה הסופי. שלב הפריסה הסופי יכול להתחיל לאחר השלמת השלבים המפורטים בסעיף "בצע פעולה" של KB5008383. כדי לעבור למצב אכיפה , בצע את ההוראות בסעיף "הדרכת פריסה" כדי להגדיר את הסיביות ה- 28 וה- 29 בתכונה dSHeuristics . לאחר מכן נטר לאירועים 3044-3046. הם מדווחים כאשר מצב אכיפה חסם פעולת הוספה או שינוי של LDAP שייתכן שהותר בעבר במצב ביקורת. 

  • הגנות עקיפת אתחול מאובטח KB5025885 | שלב 3 שלב הפריסה השלישי. שלב זה יוסיף צמצום סיכונים נוסף של מנהל האתחול. שלב זה יתחיל לא לפני ה- 9 באפריל 2024.

  • שינויים באימות PAC KB5037754 | רמה במצב תאימות

    שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 9 באפריל 2024. עדכון זה מוסיף אופן פעולה חדש שמונע העלאה של פגיעויות הרשאה המתוארות ב- CVE-2024-26248 וב- CVE-2024-29056, אך אינו אוכף אותו אלא אם כן גם בקרי התחום של Windows וגם לקוחות Windows בסביבה מעודכנים.

    כדי לאפשר את אופן הפעולה החדש ולצמצם את הפגיעויות, עליך לוודא שסביבת Windows כולה (כולל בקרי התחום והלקוחות) מעודכנת. אירועי ביקורת יירשם כדי לסייע בזיהוי מכשירים שלא עודכנו.

  • הגנות עקיפת אתחול מאובטח KB5025885 | שלב 3 שלב אכיפה הכרחי. ביטולים (מדיניות אתחול תקינות קוד ורשימת אי-ביצוע של אתחול מאובטח) ייאכפו באופן תיכנותי לאחר התקנת עדכונים עבור Windows בכל המערכות המושפעות, ללא אפשרות להפוך ללא זמינה.

  • שינויים באימות PAC KB5037754 | אכיפה כברירת מחדל

    עדכונים שפורסמו בינואר 2025 או לאחר מכן תעביר את כל בקרי התחום והלקוחות של Windows בסביבה למצב נאכף. מצב זה יאכוף אופן פעולה מאובטח כברירת מחדל. הגדרות מפתח רישום קיימות שהגדרות אלה הוגדרו בעבר יעקוף שינוי אופן פעולה זה המהווה ברירת מחדל.

    מנהל מערכת יכול לעקוף את הגדרות ברירת המחדל של מצב 'נאכף' כדי לחזור למצב תאימות.

  • אימות מבוסס-KB5014754 | שלב 3 מצב אכיפה מלא. אם לא ניתן למפות אישור באופן חזק, האימות ידחה.

  • שינויים באימות PAC KB5037754 | שלב האכיפה עדכוני האבטחה של Windows שהופצו באפריל 2025 או לאחר מכן, יסירו את התמיכה במפתחות המשנה של הרישום PacSignatureValidationLevelו- CrossDomainFilteringLevel ולאכוף את אופן הפעולה המאובטח החדש. לא תהיה תמיכה במצב תאימות לאחר התקנת העדכון של אפריל 2025.

  • הגנות אימות Kerberos עבור CVE-2025-26647 KB5057784 | מצב ביקורת שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 8 באפריל 2025. עדכונים אלה מוסיפים אופן פעולה חדש שמאתר את העלאת פגיעות ההרשאה המתוארת ב- CVE-2025-26647 , אך אינו אוכף אותה. כדי לאפשר את אופן הפעולה החדש ולהיי מאובטח מהפגיעות, עליך לוודא שכל בקרי התחום של Windows מעודכנים והגדרת מפתח הרישום AllowNtAuthPolicyBypass מוגדרת ל- 2.

  • הגנות אימות Kerberos עבור CVE-2025-26647 KB5057784 | נאכפת על-ידי שלב ברירת עדכונים שהופצה ביולי 2025 או לאחר מכן, היא אוכפת את בדיקת מאגר NTAuth כברירת מחדל. הגדרת מפתח הרישום AllowNtAuthPolicyBypass עדיין תאפשר ללקוחות לחזור למצב ביקורת במידת הצורך. עם זאת, היכולת להפוך עדכון אבטחה זה ללא זמין לחלוטין תוסר.

  • הגנות אימות Kerberos עבור CVE-2025-26647 KB5057784 | מצב אכיפה ​​​​​​​עדכונים שפורסמו באוקטובר 2025 או לאחר מכן, תפסק את התמיכה של Microsoft עבור מפתח הרישום AllowNtAuthPolicyBypass. בשלב זה, יש להנפיק את כל האישורים על-ידי רשויות שהם חלק מ- NTAuth Store.

  • הגנות עקיפת אתחול מאובטח KB5025885 | שלב האכיפה שלב האכיפה לא יתחיל לפני ינואר 2026, ואנו נספק לפחות שישה חודשים של אזהרה מראש במאמר זה לפני ששלב זה יתחיל. בעת ההפצה של עדכונים עבור שלב האכיפה, הם יכללו את הפריטים הבאים:

    • האישור "Windows Production PCA 2011" יבוטל באופן אוטומטי על-ידי הוספתו לרשימה אסורה של אתחול מאובטח (DBX) במכשירים תומכים. עדכונים אלה ייאכפו באופן תיכנותי לאחר התקנת עדכונים עבור Windows בכל המערכות המושפעות ללא אפשרות להפוך ללא זמינים.

שינויים עיקריים אחרים ב- Windows

כל גירסה של לקוח Windows Windows Server מוסיפה תכונות ופונקציונליות חדשות. לעתים, גירסאות חדשות מסירות גם תכונות ופונקציונליות, לעתים קרובות מכיוון שיש אפשרות חדשה יותר. עיין במאמרים הבאים לקבלת פרטים על התכונות והפונקציונליות שאינם מפותחים עוד ב- Windows.

לקוח

שרת

קבל את החדשות האחרונות

הוסף סימניה למרכז ההודעות של Windows כדי למצוא בקלות את העדכונים והתזכורות האחרונים. ואם אתה מנהל IT עם גישה מרכז הניהול של Microsoft 365, הגדר את העדפות הדואר האלקטרוני מרכז הניהול של Microsoft 365 לקבל הודעות ועדכונים חשובים.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות