חל על
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

תאריך פרסום מקורי: ה-29 באוגוסט 2025

מזהה KB: 5066470

מבוא

מאמר זה מפרט את השינויים האחרונים והצפויים ב- Windows 11, בגירסה 24H2 וב- Windows Server 2025, ומתמקד בביקורת ובחסימת הצפנה שנגזרה על-ידי NTLMv1. שינויים אלה הם חלק מה היוזמה רחבה יותר של Microsoft לשלב את NTLM.

רקע

Microsoft הסירה את פרוטוקול NTLMv1 (ראה תכונות ופונקציונליות שהוסרו) מ- Windows 11, גירסה 24H2 ו- Windows Server 2025 ואילך. עם זאת, בזמן שפרוטוקול NTLMv1 מוסר, שרידים של קריפטוגרפיה של NTLMv1 עדיין קיימים בתרחישים מסוימים, כגון בעת שימוש ב- MS-CHAPv2 בסביבה המצורפת לתחום.

Credential Guard מספק הגנה מלאה על ההצפנה מדור קודם של NTLMv1 ושל משטחי תקיפה רבים אחרים, ולכן Microsoft ממליצה בחום על הפריסה והזמינה שלה אם דרישות Credential Guard עומדות בדרישות. השינויים הקרובים משפיעים רק על מכשירים שבהם Credential guard אינו זמין; אם Windows Credential Guard זמין במכשיר, השינויים המתוארים במאמר זה אינם ייכנסו לתוקף.

מטרה

עם ההסרה של NTLM (ראה תכונות שהוצאו משימוש ) והסרת פרוטוקול NTLMv1, Microsoft פועלת כדי לסיים את ההבטלה של NTLMv1 על-ידי הפיכת השימוש באישורים הנגזרים מ- NTLMv1 ללא זמין.

שינויים עתידיים

שני שינויים חדשים, המבוא של מפתח רישום חדש ויומנים חדשים של אירועים, כלולים בעדכון זה. לקבלת ציר זמן של שינויים אלה, עיין בסעיף פריסת שינויים .

מפתח רישום חדש

מפתח רישום חדש מוצג, ומציין אם השינויים נמצאים במצב ביקורת או במצב אכוף.

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Value

בלוקNtlmv1SSO

Type

REG_DWORD

Data

  • 0 ( ברירת מחדל) - הבקשה ליצור אישורי NTLMv1 עבור משתמש מחובר מביקורת אך מותרת להצליח. אירועי אזהרה נוצרים. הגדרה זו נקראת גם מצב ביקורת.

  • 1 – הבקשה ליצור אישורי NTLMv1 עבור משתמש מחובר נחסמת. אירועי שגיאה נוצרים. הגדרה זו נקראת גם מצב אכוף.

יכולות ביקורת חדשות

  • בעת שימוש בהגדרות ביקורת (ברירת מחדל)

    ‏‏יומן אירועים

    Microsoft-Windows-NTLM/תפעולי

    סוגי אירוע

    אזהרה

    מקור האירוע

    NTLM

    מזהה האירוע

    4024

    טקסט אירוע

    ביקורת ניסיון להשתמש באישורים הנגזרים מ- NTLMv1 עבור כניסה יחידה שרת יעד: <domain_name> משתמש שסופק: <user_name> תחום שסופק: <domain_name> PID של תהליך הלקוח: <process_identifier> שם תהליך הלקוח: <process_name> מזהה ייחודי (LUID) של תהליך הלקוח: <locally_unique_identifier> זהות המשתמש של תהליך הלקוח: <user_name> שם תחום של זהות המשתמש של תהליך הלקוח: <domain_name> מנגנון OID: <object_identifier> לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=2321802.

  • בעת שימוש בהגדרות אכוף

    ‏‏יומן אירועים

    Microsoft-Windows-NTLM/תפעולי

    סוגי אירוע

    שגיאה

    מקור האירוע

    NTLM

    מזהה האירוע

    4025

    טקסט אירוע

    ניסיון להשתמש באישורים הנגזרים מ- NTLMv1 עבור Sign-On בודדת נחסם עקב מדיניות.שרת יעד: <domain_name> משתמש שסופק: <user_name> תחום שסופק: <domain_name> PID של תהליך הלקוח: <process_identifier> שם תהליך הלקוח: <process_name> מזהה ייחודי (LUID) של תהליך הלקוח: <locally_unique_identifier> זהות המשתמש של תהליך הלקוח: <user_name> שם תחום של זהות המשתמש של תהליך הלקוח: <domain_name> מנגנון OID: <object_identifier> לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=2321802.

לקבלת מידע נוסף אודות שיפורים אחרים בביקורת, ראה מבט כולל על שיפורי ביקורת של NTLM ב- Windows 11, בגירסה 24H2 וב- Windows Server 2025.

פריסת שינויים

בספטמבר 2025 ובעדכונים מאוחרים יותר, השינויים יפרסו ב- Windows 11, בגירסה 24H2 ובמערכת הפעלה מאוחרת יותר של לקוח במצב ביקורת. במצב זה, מזהה אירוע: 4024 יירשם בכל פעם שנעשה שימוש באישורים הנגזרים מ- NTLMv1, אך האימות ימשיך לפעול. הפריסה תגיע ל- Windows Server 2025 בהמשך השנה.

באוקטובר 2026, Microsoft תגדיר את ערך ברירת המחדל של מפתח הרישום BlockNTLMv1SSO ל- 1(אכוף) במקום 0(ביקורת) אם מפתח הרישום BlockNTLMv1SSO לא נפרס במכשיר.

ציר זמן

תאריך

שינוי

בסוף אוגוסט 2025

יומני ביקורת עבור שימוש ב- NTLMv1 זמינים ב- Windows 11, בגירסה 24H2 ובהלקוחות החדשים יותר.

2025 בנובמבר 2025

התחל פריסת שינויים ב- Windows Server 2025.

הפצה ב- 2026

ערך ברירת המחדל של מפתח הרישום BlockNtlmv1SSO משתנה ממצב ביקורת (0) למצב אכוף (1) דרך עדכון Windows עתידי, ומחזק את הגבלות NTLMv1. שינוי זה ברירות המחדל ייכנס לתוקף רק אם מפתח הרישום BlockNtlmv1SSO לא נפרס.

הערה תאריכים אלה אינם סופיים ועשויים להשתנות.

שאלות נפוצות (שאלות נפוצות)

Microsoft משתמשת בפעולת שירות של פריסה הדרגתית כדי להפיץ עדכון הפצה לאורך פרק זמן, ולא ב כולם בבת אחת. משמעות הדבר היא שהמשתמשים מקבלים את העדכונים במועדים שונים, וייתכן שהוא לא יהיה זמין באופן מיידי לכל המשתמשים.

אישורים הנגזרים מ- NTLMv1 משמשים פרוטוקולים מסוימים ברמה גבוהה יותר למטרות Sign-On יחיד; דוגמאות לכך כוללות פריסות Wi-Fi, Ethernet ו- VPN MS-CHAPv2 אימות. בדומה למצב שבו Credential Guard זמין, זרימות Sign-On יחיד עבור פרוטוקולים אלה לא יפעלו, אך הזנה ידנית של אישורים תמשיך לפעול גם במצב אכוף . לקבלת מידע נוסף ושיטות עבודה מומלצות, ראה שיקולים ובעיות ידועות בעת שימוש ב- Credential Guard.

הדמיון היחיד בין עדכון זה ל- Credential Guard הוא הגנות סביב אישורי משתמש מהצפנה הנגזרת מ- NTLMv1. עדכון זה אינו מספק הגנה רחבה ואמינה של Credential Guard; Microsoft ממליצה להפעיל Credential Guard בכל הפלטפורמות הנתמכות.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות