Promjena datuma |
Promjena opisa |
---|---|
10. ožujka 2024. |
Revidirana je mjesečna vremenska crta s dodavanjem više otegnutog povezanog sadržaja i uklonjena je stavka iz veljače 2024. s vremenske crte jer nije povezano s otegnuto. |
Uvod
Hardening je ključni element naše tekuće sigurnosne strategije kako bi zaštitio vaše imanje dok se usredotočite na svoj posao. Sve kreativnije računalne prijetnje ciljaju slabosti gdje god je to moguće, od čipa do oblaka. Jeste li vidjeli naše publikacije o očnjavanja u centru za poruke sustava Windows? Neki od onih koji su nedavno nametnuti uključuju dcom očvrsnuće provjere autentičnosti i Netjoin: domenski pridruživanje očvrsnuće. Pregledajmo ranjiva područja koja se u nadolazećim mjesecima otežu.
Napomena: Ovaj će se članak s vremenom ažurirati radi pružanja najnovijih informacija o očnjavanje promjena i vremenskih crta. Zadnje ažuriranje: 10. ožujka 2024.
Brzi pregled otešavanja promjena
Pregledajte vizualnu vremensku crtu da biste se usredotočili na određene promjene koje vas zanimaju. Pronađite pojedinosti za svaku fazu u nastavku.
Slika 1: Vizualna vremenska crta otešavanja promjena koje se odvijaju 2023.
Slika 2: Vizualna vremenska crta otešavanja promjena koje se odvijaju 2024.
Otegnjavanje promjena po mjesecima
Pogledajte pojedinosti za sve nadolazeće promjene otežujućih po mjesecima da biste lakše isplanirali svaku fazu i konačnu provedbu.
-
Promjene netlogon protokola KB5021130 | Druga faza
Početna faza provođenja. Uklanja mogućnost onemogućivanja RPC brtvljenje postavljanjem vrijednosti 0 na potključ registra RequireSeal . -
Provjera autentičnosti na temelju certifikata KB5014754 | Druga faza
Uklanja način rada Onemogućeno .
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Prva faza
Početna faza implementacije. Windows Ažuriranja objavljen 9. svibnja 2023. ili kasnije rješava slabe točke koje su opisane u članku CVE-2023-24932, promjene komponenti pokretanja sustava Windows i dvije datoteke opoziva koje se mogu ručno primijeniti (pravilnik o integritetu koda i ažurirani popis za onemogućivanje sigurnog pokretanja (DBX)).
-
Promjene netlogon protokola KB5021130 | Faza 3
Provedba prema zadanim postavkama. Podključ RequireSeal premjestit će se u način provedbe, osim ako ga izričito ne konfigurirate u načinu kompatibilnosti. -
Kerberos PAC Signatures KB5020805 | Faza 3
Treća faza implementacije. Uklanja mogućnost onemogućivanja dodavanja PAC potpisa postavljanjem potključa KrbtgtFullPacSignature na vrijednost 0.
-
Promjene netlogon protokola KB5021130 | 4. faza
Konačna provedba. Ažuriranja sustava Windows objavljena 11. srpnja 2023. uklonit će mogućnost postavljanja vrijednosti 1 na potključ registra RequireSeal. To omogućuje fazu provedbe cve-2022-38023. -
Kerberos PAC Signatures KB5020805 | 4. faza
Početni način provođenja. Uklanja mogućnost postavljanja vrijednosti 1 za potključ KrbtgtFullPacSignature i prelazi u način provedbe kao zadani (KrbtgtFullPacSignature = 3), koji možete nadjačati pomoću eksplicitne postavke nadzora. -
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Druga faza
Druga faza implementacije. Ažuriranja za Windows objavljen 11. srpnja 2023. ili kasnije obuhvaćaju automatiziranu implementaciju opomenom datoteka, nove događaje zapisnika događaja radi prijave je li implementacija opoziva bila uspješna i paket safeOS Dynamic Update za WinRE.
-
Kerberos PAC Signatures KB5020805 | 5. faza
Faza potpune provedbe. Uklanja podršku za potključ registra KrbtgtFullPacSignature, uklanja podršku za način rada nadzora i svim servisnim kartama bez novih PAC potpisa bit će odbijena provjera autentičnosti.
-
Ažuriranja dozvola servisa Active Directory (AD) KB5008383 | 5. faza
Završna faza implementacije. Završna faza implementacije može započeti kada dovršite korake navedene u odjeljku "Radnja" u odjeljku KB5008383. Da biste prešli na način provedbe, slijedite upute u odjeljku "Smjernice za implementaciju" da biste postavili 28. i 29. bit na atributu dSHeuristics. Zatim pratite događaje 3044-3046. Oni prijavjuju kada je način provođenja blokirao operaciju dodavanja ili izmjene LDAP-a koja je možda prethodno bila dopuštena u načinu rada nadzora.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Faza 3
Treća faza implementacije. Ta će faza dodati dodatna ublažavanja ublažavanja upravitelja pokretanja. Ova faza počinje ne prije 9. travnja 2024.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Faza 3
Faza obvezne provedbe. Opozivi (pravilnik o pokretanju integriteta koda i popis za onemogućivanje sigurnog pokretanja) programski će se provesti nakon instalacije ažuriranja za Windows na sve zahvaćene sustave bez mogućnosti onemogućivanja.
-
Provjera autentičnosti na temelju certifikata KB5014754 | Faza 3
Način potpunog provođenja. Ako certifikat nije moguće snažno mapirati, provjera autentičnosti bit će odbijena.
Dohvaćanje najnovijih vijesti
Označite centar za poruke sustava Windows knjižnom oznakom da biste jednostavno pronašli najnovija ažuriranja i podsjetnike. Ako ste IT administrator s pristupom Centar za administratore okruženja Microsoft 365, postavite preference e-pošte na Centar za administratore okruženja Microsoft 365 da biste primali važne obavijesti i ažuriranja.