Izvorni datum objave: 29. kolovoza 2025.
KB ID: 5066470
Uvod
U ovom se članku detaljno nalaze nedavne i nadolazeće promjene u verzijama Windows 11, verzija 24H2 i Windows Server 2025, s naglaskom na nadzoru i mogućem provođenju blokiranja kriptografije izvedene na NTLMv1. Te su promjene dio Microsoftove šire inicijative za postupno smanjivanje NTLM-a.
Pozadina
Microsoft je uklonio protokol NTLMv1 (pogledajte članak Uklonjene značajke i funkcije) iz verzije Windows 11 24H2 i Windows Server 2025 i novijih verzija. Međutim, dok je protokol NTLMv1 uklonjen, u nekim scenarijima i dalje postoje drugi korisnici šifriranja NTLMv1, primjerice prilikom korištenja MS-CHAPv2 u okruženju pridruženom domeni.
Credential Guard pruža potpunu zaštitu naslijeđene kriptografije NTLMv1 i mnogih drugih površina za napad, pa Microsoft stoga svakako preporučuje njegovu implementaciju i omogućavanje ako su preduvjeti za Credential Guard ispunjeni. Nadolazeće promjene utječu samo na uređaje na kojima je credential guard onemogućen; ako je na uređaju omogućen Windows Credential Guard, promjene navedene u ovom članku neće snazi.
Cilj
Uz ukidanje NTLM-a (pogledajte zastarjele značajke) i uklanjanje protokola NTLMv1, Microsoft radi na finaliziranju onemogućivanja NTLMv1 onemogućivanjem vjerodajnica izvedenih pomoću NTLMv1.
Nadolazeće promjene
U ovo ažuriranje uvrštene su dvije nove promjene, uvod novog ključa registra i novi zapisnici događaja. Vremensku crtu tih promjena potražite u odjeljku Rollout of changes (Postavljanje promjena).
Novi ključ registra
Uveden je novi registarski ključ koji određuje jesu li promjene u načinu nadzora ili nametnuti način rada.
|
Mjesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Vrijednost |
BlockNtlmv1SSO |
|
Vrsta |
REG_DWORD |
|
Podaci |
|
Nove mogućnosti nadzora
-
Prilikom korištenja postavki nadzora (zadano)
Zapisnik događaja
Microsoft-Windows-NTLM/Operational
Vrsta događaja
Upozorenje
Izvor događaja
NTLM
ID događaja
4024
Tekst događaja
Nadzor pokušaja korištenja vjerodajnica izvedenih pomoću NTLMv1 za jedinstvenu prijavu Ciljni poslužitelj: <domain_name> Navedeni korisnik: <user_name> Navedena domena: <domain_name> PID procesa klijenta: <process_identifier> Naziv klijentskog procesa: <process_name> LUID klijentskog procesa: <locally_unique_identifier> Korisnički identitet procesa klijenta: <user_name> Naziv domene korisničkog identiteta klijentskog procesa: <domain_name> OID mehanizma: <object_identifier> Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?linkid=2321802.
-
Prilikom korištenja postavki nametanje
Zapisnik događaja
Microsoft-Windows-NTLM/Operational
Vrsta događaja
Pogreška
Izvor događaja
NTLM
ID događaja
4025
Tekst događaja
Pokušaj korištenja vjerodajnica izvedenih pomoću NTLMv1 za jednostruke Sign-On je blokiran zbog pravilnika.Ciljni poslužitelj: <domain_name> Navedeni korisnik: <user_name> Navedena domena: <domain_name> PID procesa klijenta: <process_identifier> Naziv klijentskog procesa: <process_name> LUID klijentskog procesa: <locally_unique_identifier> Korisnički identitet procesa klijenta: <user_name> Naziv domene korisničkog identiteta klijentskog procesa: <domain_name> OID mehanizma: <object_identifier> Dodatne informacije potražite u članku https://go.microsoft.com/fwlink/?linkid=2321802.
Dodatne informacije o drugim poboljšanjima nadzora potražite u članku Pregled poboljšanja nadzora NTLM-a u Windows 11, verziji 24H2 i Windows Server 2025.
Rollout of changes
U rujnu 2025. i novijim ažuriranjima promjene će se uvesti u Windows 11, verziju 24H2 i noviju klijentsku OS u načinu nadzora. U ovom načinu rada ID događaja: 4024 bilježi se svaki put kada se koriste vjerodajnice izvedene pomoću NTLMv1, ali će provjera autentičnosti i dalje funkcionirati. Početak će se Windows Server 2025. godine.
U listopadu 2026. Microsoft će postaviti zadanu vrijednost ključa registra BlockNTLMv1SSO na 1 (Nametanje) umjesto 0(Nadzor) ako ključ registra BlockNTLMv1SSO nije uveden na uređaj.
Vremenska traka
|
Datum |
Promjena |
|
Kasnog kolovoza 2025. |
Zapisnici nadzora za korištenje NTLMv1 omogućeni su Windows 11, verziji 24H2 i novijim klijentima. |
|
Studeni 2025. |
Počnite uvoditi promjene u Windows Server 2025. |
|
U listopadu 2026. |
Zadana vrijednost ključa registra BlockNtlmv1SSO mijenja se iz načina nadzora (0) u Nametni način rada (1) putem budućeg ažuriranja sustava Windows, jačajući ograničenja NTLMv1. Ta se promjena u zadanim postavkama odnosi samo na to da ključ registra BlockNtlmv1SSO nije uveden. |
Napomena Ti su datumi uvjetni i podložni promjenama.
Najčešća pitanja (najčešća pitanja)
Microsoft koristi metodu postupnog pokretanja za distribuciju ažuriranja izdanja tijekom određenog vremenskog razdoblja, a ne od svih odjednom. To znači da korisnici primaju ažuriranja u različito vrijeme i možda neće biti odmah dostupna svim korisnicima.
Vjerodajnice izvedene pomoću NTLMv1 koriste određeni protokoli više razine za Sign-On svrhe; Primjeri obuhvaćaju Implementacije Wi-Fi veze, Etherneta i VPN-a pomoću MS-CHAPv2 provjere autentičnosti. Slično tome, kada je Credential Guard omogućen, jednostruki Sign-On tijekovi za te protokole neće funkcionirati, ali ručni unos vjerodajnica i dalje će funkcionirati čak i u načinu nametanje . Dodatne informacije i najbolje prakse potražite u članku Razmatranja i poznati problemi prilikom korištenja alata Credential Guard.
Jedina sličnost između ovog ažuriranja i Credential Guard jest zaštita korisničkih vjerodajnica iz kriptografije izvedene pomoću NTLMv1. Ovo ažuriranje ne pruža široku i robusnu zaštitu alata Credential Guard; Microsoft preporučuje omogućivanje značajke Credential Guard na svim podržanim platformama.
