Izvorni datum objave: 2023. travnja 2023.
KB ID: 5036534
|
Promjena datuma |
Opis |
|---|---|
|
8. travnja 2025. |
|
|
19. veljače 2025. |
|
|
Siječanj 30, 2025 |
|
|
Siječanj 17, 2025 |
|
|
10. ožujka 2024. |
|
Uvod
Hardening je ključni element naše tekuće sigurnosne strategije kako bi zaštitio vaše imanje dok se usredotočite na svoj posao. Sve kreativnije računalne prijetnje ciljaju slabosti gdje god je to moguće, od čipa do oblaka.
U ovom se članku prikazuju osjetljiva područja koja se podvrgavaju promjenama koje se provode putem sigurnosnih ažuriranja sustava Windows. U centru za poruke sustava Windows objavljumo i podsjetnike da bismo IT administratore obavijestili o očnjavanja ključnih datuma kako se približavaju.
Napomena: Ovaj će se članak s vremenom ažurirati radi pružanja najnovijih informacija o očnjavanje promjena i vremenskih crta. Pogledajte odjeljak Zapisnik promjena da biste pratili najnovije promjene.
Otegnjavanje promjena po mjesecima
Pojedinosti o nedavnim i nadolazećim promjenama otešavanja potražite po mjesecima da biste lakše isplanirali svaku fazu i konačnu provedbu.
-
Promjene netlogon protokola KB5021130 | Druga faza Početna faza provođenja. Uklanja mogućnost onemogućivanja RPC brtvljenje postavljanjem vrijednosti 0 na potključ registra RequireSeal .
-
Provjera autentičnosti na temelju certifikata KB5014754 | Druga faza Uklanja način rada Onemogućeno .
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Prva faza Početna faza implementacije. Windows Ažuriranja objavljen 9. svibnja 2023. ili kasnije rješava slabe točke koje su opisane u članku CVE-2023-24932, promjene komponenti pokretanja sustava Windows i dvije datoteke opoziva koje se mogu ručno primijeniti (pravilnik o integritetu koda i ažurirani popis za onemogućivanje sigurnog pokretanja (DBX)).
-
Promjene netlogon protokola KB5021130 | Faza 3 Provedba prema zadanim postavkama. Podključ RequireSeal premjestit će se u način provedbe, osim ako ga izričito ne konfigurirate u načinu kompatibilnosti.
-
Kerberos PAC Signatures KB5020805 | Faza 3 Treća faza implementacije. Uklanja mogućnost onemogućivanja dodavanja PAC potpisa postavljanjem potključa KrbtgtFullPacSignature na vrijednost 0.
-
Promjene netlogon protokola KB5021130 | 4. faza Konačna provedba. Ažuriranja sustava Windows objavljena 11. srpnja 2023. uklonit će mogućnost postavljanja vrijednosti 1 na potključ registra RequireSeal. To omogućuje fazu provedbe cve-2022-38023.
-
Kerberos PAC Signatures KB5020805 | 4. faza Početni način provođenja. Uklanja mogućnost postavljanja vrijednosti 1 za potključ KrbtgtFullPacSignature i prelazi u način provedbe kao zadani (KrbtgtFullPacSignature = 3), koji možete nadjačati pomoću eksplicitne postavke nadzora.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Druga faza Druga faza implementacije. Ažuriranja za Windows objavljen 11. srpnja 2023. ili kasnije obuhvaćaju automatiziranu implementaciju opomenom datoteka, nove događaje zapisnika događaja radi prijave je li implementacija opoziva bila uspješna i paket safeOS Dynamic Update za WinRE.
-
Kerberos PAC Signatures KB5020805 | 5. faza
Faza potpune provedbe. Uklanja podršku za potključ registra KrbtgtFullPacSignature, uklanja podršku za način rada nadzora i svim servisnim kartama bez novih PAC potpisa bit će odbijena provjera autentičnosti.
-
Ažuriranja dozvola servisa Active Directory (AD) KB5008383 | 5. faza Završna faza implementacije. Završna faza implementacije može započeti kada dovršite korake navedene u odjeljku "Radnja" u odjeljku KB5008383. Da biste prešli na način provedbe, slijedite upute u odjeljku "Smjernice za implementaciju" da biste postavili 28. i 29. bit na atributu dSHeuristics. Zatim pratite događaje 3044-3046. Oni prijavjuju kada je način provođenja blokirao operaciju dodavanja ili izmjene LDAP-a koja je možda prethodno bila dopuštena u načinu rada nadzora.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Faza 3 Treća faza implementacije. Ta će faza dodati dodatna ublažavanja ublažavanja upravitelja pokretanja. Ova faza počinje ne prije 9. travnja 2024.
-
PROMJENE PAC provjere valjanosti KB5037754 | Faza načina kompatibilnosti
Početna faza implementacije započinje ažuriranjima objavljenima 9. travnja 2024. Ovo ažuriranje dodaje novo ponašanje koje onemogućuje povećanje ranjivosti privilegija opisanih u cve-2024-26248 i CVE-2024-29056, ali ne primjenjuje ga osim ako su ažurirani domenski kontroleri sustava Windows i klijenti sustava Windows u okruženju.
Da biste omogućili novo ponašanje i ublažili slabe točke, morate osigurati ažuriranje cijelog okruženja sustava Windows (uključujući domenske kontrolere i klijente). Događaji nadzora bilježit će se da bi se lakše prepoznali uređaji koji nisu ažurirani.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Faza 3 Faza obvezne provedbe. Opozivi (pravilnik o pokretanju integriteta koda i popis za onemogućivanje sigurnog pokretanja) programski će se provesti nakon instalacije ažuriranja za Windows na sve zahvaćene sustave bez mogućnosti onemogućivanja.
-
PROMJENE PAC provjere valjanosti KB5037754 | Zadana faza provođenja
Ažuriranja objavljeni u siječnju 2025. ili kasnije premjestit će sve domenski kontrolere i klijente sustava Windows u okruženje u nametnuti način rada. Taj način rada po zadanom nameće sigurno ponašanje. Postojeće postavke ključa registra koje su prethodno postavljene nadjačat će tu zadanu promjenu ponašanja.
Administrator može nadjačati zadane postavke nametnutog načina rada da bi se vratili u način kompatibilnosti.
-
Provjera autentičnosti na temelju certifikata KB5014754 | Faza 3 Način potpunog provođenja. Ako certifikat nije moguće snažno mapirati, provjera autentičnosti bit će odbijena.
-
PROMJENE PAC provjere valjanosti KB5037754 | Faza provođenja Sigurnosna ažuriranja sustava Windows objavljena u travnju 2025. ili kasnije uklonit će podršku za potključove registra PacSignatureValidationLeveli CrossDomainFilteringLevel i nametnuti novo sigurno ponašanje. Nakon instalacije ažuriranja za travanj 2025. neće biti podrške za način kompatibilnosti.
-
Kerberos Zaštita provjere autentičnosti za CVE-2025-26647 KB5057784 | Način nadzora Početna faza implementacije započinje ažuriranjima objavljenima 8. travnja 2025. Ta ažuriranja dodaju novo ponašanje koje otkriva ranjivost povećanja ovlasti opisanu u članku CVE-2025-26647 , ali se ne nameće. Da biste omogućili novo ponašanje i bili sigurni od slabe točke, morate osigurati da se ažuriraju svi domenski kontroleri sustava Windows, a postavka ključa registra AllowNtAuthPolicyBypass postavljena je na 2.
-
Kerberos Zaštita provjere autentičnosti za CVE-2025-26647 KB5057784 | Nametnuti prema zadanim fazama Ažuriranja objavljenim u srpnju 2025. ili kasnije, po zadanom će se nametnuti provjera NTAuth trgovine. Postavka ključa registra AllowNtAuthPolicyBypass i dalje će korisnicima omogućiti vraćanje na način nadzora ako je to potrebno. Međutim, mogućnost potpunog onemogućivanja ovog sigurnosnog ažuriranja bit će uklonjena.
-
Kerberos Zaštita provjere autentičnosti za CVE-2025-26647 KB5057784 | Način provođenja Ažuriranja objavljena u listopadu 2025. ili kasnije, obustaviti će Microsoftovu podršku za ključ registra AllowNtAuthPolicyBypass. U ovoj fazi sve certifikate moraju izdati ustanove koje su dio spremišta NTAuth.
-
Zaštita zaobilaženje sigurnog pokretanja KB5025885 | Faza provođenja Faza provođenja neće započeti prije siječnja 2026., a u ovom ćemo članku prije početka ove faze dati najmanje šest mjeseci unaprijed upozorenje. Kada se ažuriranja izdaju za fazu provođenja, ona će obuhvaćati sljedeće:
-
Certifikat "Windows Production PCA 2011" automatski će se opozvati dodavanjem na popis zabranjenih UEFI-ja za sigurno pokretanje (DBX) na uređajima s podrškom. Ta će se ažuriranja programski nametnuti nakon instalacije ažuriranja za Windows svim zahvaćenim sustavima bez mogućnosti onemogućivanja.
-
Ostale promjene tipki u sustavu Windows
Svaka verzija klijenta sustava Windows i Windows Server dodaje nove značajke i funkcije. Povremeno nove verzije uklanjaju i značajke i funkcije, često zato što postoji novija mogućnost. Pojedinosti o značajkama i funkcijama koje se više ne razvijaju u sustavu Windows potražite u sljedećim člancima.
Klijent
Poslužitelj
Dohvaćanje najnovijih vijesti
Označite centar za poruke sustava Windows knjižnom oznakom da biste jednostavno pronašli najnovija ažuriranja i podsjetnike. Ako ste IT administrator s pristupom Centar za administratore okruženja Microsoft 365, postavite preference e-pošte na Centar za administratore okruženja Microsoft 365 da biste primali važne obavijesti i ažuriranja.
