|
שנה תאריך |
שינוי תיאור |
|---|---|
|
(יום שלישי 10 מרץ 2024) |
ציר הזמן החודשי שהשתנה והוספת תוכן קשור מקשה נוסף והוסר הערך של פברואר 2024 מציר הזמן מאחר שהוא אינו מקשה על קשר. |
מבוא
Hardening הוא מרכיב מרכזי באסטרטגיית האבטחה המתמשכת שלנו כדי לסייע בשמירה על הרכוש שלך מוגן בזמן שאתה מתמקד בעבודה שלך. איומי סייבר יצירתיים יותר ויותר ממקדים חולשות בכל מקום אפשרי, מהשרבב ועד לענן. האם ראית את הפרסומים שלנו על הקשיים במרכז ההודעות של Windows? חלק מהרכיבים שנאכפו לאחרונה כוללים הקשחת אימות DCOM והקשחת Netjoin: הצטרפות לתחום. בוא נעיין באזורים פגיעים שעוברים הקשיים בחודשים הקרובים.
הערה: מאמר זה יעודכן לאורך זמן כדי לספק את המידע העדכני ביותר אודות הקשת שינויים וצירי זמן. עדכון אחרון: 10 במרץ 2024.
הקשת שינויים במבט מהיר
סקור את ציר הזמן החזותי כדי להתמקד בשינויים הספציפיים שמעניינים אותך. חפש את הפרטים עבור כל שלב להלן.
איור 1: ציר זמן חזותי של שינויי הקששה שבוצעו ב- 2023.
איור 2: ציר זמן חזותי של שינויי הקששה שבוצעו ב- 2024.
הקשת שינויים לפי חודש
עיין בפרטים עבור כל שינויי הקשחת הצפויים לפי חודש כדי לסייע לך לתכנן עבור כל שלב ופעולה סופית של האכיפה.
-
שינויים בפרוטוקול Netlogon KB5021130 | שלב 2
שלב האכיפה הראשוני. הסרת היכולת להפוך את איטום RPC ללא זמין על-ידי הגדרת הערך 0למפתח המשנה של הרישום RequireSeal . -
אימות מבוסס KB5014754 | שלב 2
הסרת מצב לא זמין.
-
הגנות עקיפת אתחול מאובטח KB5025885 | שלב 1
שלב הפריסה הראשונית. Windows עדכונים פורסם ב- 9 במאי 2023 או לאחר מכן, טופלו פגיעויות המפורטות ב- CVE-2023-24932, שינויים ברכיבי האתחול של Windows ושני קבצי ביטול שניתן להחיל באופן ידני (מדיניות תקינות קוד ורשימה מעודכנת של אי-הזרמת אתחול מאובטח (DBX)).
-
שינויים בפרוטוקול Netlogon KB5021130 | שלב 3
אכיפה כברירת מחדל. מפתח המשנה RequireSeal יועבר למצב אכיפה, אלא אם תגדיר אותו באופן מפורש למצב תאימות. -
Kerberos PAC Signatures KB5020805 | שלב 3
שלב הפריסה השלישי. הסרת היכולת להפוך את תוספת חתימת PAC ללא זמינה על-ידי הגדרת מפתח המשנה KrbtgtFullPacSignature לערך 0.
-
שינויים בפרוטוקול Netlogon KB5021130 | שלב 4
אכיפה סופית. עדכוני Windows שהופצו ב- 11 ביולי 2023 יסירו את היכולת להגדיר את הערך 1 למפתח המשנה של הרישום RequireSeal. פעולה זו מפעילה את שלב האכיפה של CVE-2022-38023. -
Kerberos PAC Signatures KB5020805 | שלב 4
מצב אכיפה ראשוני. הסרת היכולת להגדיר את הערך 1 עבור מפתח המשנה KrbtgtFullPacSignature, ועוברת למצב אכיפה כברירת מחדל (KrbtgtFullPacSignature = 3), שניתן לעקוף באמצעות הגדרת ביקורת מפורשת. -
הגנות עקיפת אתחול מאובטח KB5025885 | שלב 2
שלב הפריסה השני. עדכונים עבור Windows שפורסמו ב- 11 ביולי 2023 או לאחר מכן כוללים פריסה אוטומטית של קבצי הביטולי, אירועים חדשים של יומן האירועים כדי לדווח אם פריסת הביטוליות הצליחה, והחבילה SafeOS Dynamic Update עבור WinRE.
-
Kerberos PAC Signatures KB5020805 | שלב 5
שלב אכיפה מלא. הסרת התמיכה במפתח המשנה של הרישום KrbtgtFullPacSignature, מסירה תמיכה במצב ביקורת וכל כרטיסי השירות ללא חתימות PAC החדשים נדחים באימות.
-
עדכוני הרשאות Active Directory (AD) KB5008383 | שלב 5
שלב הפריסה הסופי. שלב הפריסה הסופי יכול להתחיל לאחר השלמת השלבים המפורטים בסעיף "בצע פעולה" של KB5008383. כדי לעבור למצב אכיפה , בצע את ההוראות בסעיף "הדרכת פריסה" כדי להגדיר את הסיביות ה- 28 וה- 29 בתכונה dSHeuristics . לאחר מכן נטר לאירועים 3044-3046. הם מדווחים כאשר מצב אכיפה חסם פעולת הוספה או שינוי של LDAP שייתכן שהותר בעבר במצב ביקורת.
-
הגנות עקיפת אתחול מאובטח KB5025885 | שלב 3
שלב הפריסה השלישי. שלב זה יוסיף צמצום סיכונים נוסף של מנהל האתחול. שלב זה יתחיל לא לפני ה- 9 באפריל 2024.
-
הגנות עקיפת אתחול מאובטח KB5025885 | שלב 3
שלב אכיפה הכרחי. ביטולים (מדיניות אתחול תקינות קוד ורשימת אי-ביצוע של אתחול מאובטח) ייאכפו באופן תיכנותי לאחר התקנת עדכונים עבור Windows בכל המערכות המושפעות, ללא אפשרות להפוך ללא זמינה.
קבל את החדשות האחרונות
הוסף סימניה למרכז ההודעות של Windows כדי למצוא בקלות את העדכונים והתזכורות האחרונים. ואם אתה מנהל IT עם גישה מרכז הניהול של Microsoft 365, הגדר את העדפות הדואר האלקטרוני מרכז הניהול של Microsoft 365 לקבל הודעות ועדכונים חשובים.
