Izvorni datum objave: 8. travnja 2025.
KB ID: 5057784
|
Promjena datuma |
Promjena opisa |
|
Srpanj 22, 2025 |
|
|
9. svibnja 2025. |
|
U ovom članku
Sažetak
Sigurnosna ažuriranja sustava Windows objavljena 8. travnja 2025. ili kasnije sadrže zaštite za ranjivost s provjerom autentičnosti Kerberos. Ovo ažuriranje omogućuje promjenu ponašanja kada je izdavatelj certifikata koji se koristi za provjeru autentičnosti utemeljenu na certifikatu upravitelja sigurnosti (CBA), ali ne i u spremištu NTAuth, a mapiranje identifikatora predmetnog ključa (SKI) nalazi se u atributu altSecID upravitelja sigurnosti pomoću provjere autentičnosti utemeljene na certifikatu. Dodatne informacije o toj ranjivosti potražite u članku CVE-2025-26647.
Akcija
Da biste zaštitili svoje okruženje i spriječili prekida rada, preporučujemo sljedeće korake:
-
AŽURIRAJte sve domene kontrolere ažuriranjem sustava Windows izdanim 8. travnja 2025. ili kasnije.
-
PRATITE nove događaje koji će biti vidljivi na kontrolorima domene radi prepoznavanja zahvaćenih ustanova za izdavanje certifikata.
-
OMOGUĆILI Način provođenja nakon što vaše okruženje sada koristi samo certifikate za prijavu koje su izdala tijela koja se nalaze u spremištu NTAuth.
altSecID atributi
U sljedećoj su tablici navedeni svi atributi Alternativni sigurnosni identifikatori (altSecIDs) i altSecIDs na koje utječe ta promjena.
|
Popis atributa certifikata koji se mogu mapirati na altSecIDs |
AltSecIDs za koje je potreban odgovarajući certifikat s lančanim vezama sa spremištem NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Vremenska crta promjena
8. travnja 2025.: početna faza implementacije – nadzorni način
Početna faza implementacije (nadzorni način) započinje ažuriranjima objavljenima 8. travnja 2025. Ta ažuriranja mijenjaju ponašanje koje otkriva ranjivost povećanja ovlasti opisanu u članku CVE-2025-26647 , ali je ne nameće.
Dok je u načinunadzora, ID događaja: 45 bit će prijavljen na domenski kontroler kada primi zahtjev za provjeru autentičnosti Kerberos s nesigurnim certifikatom. Zahtjev za provjeru autentičnosti bit će dopušten i ne očekuje se nikakva klijentska pogreška.
Da biste omogućili promjenu ponašanja i bili sigurni od ranjivosti, morate osigurati da se svi domenski kontroleri sustava Windows ažuriraju izdanjem ažuriranja sustava Windows 8. travnja 2025. ili nakon njega, a postavka ključa registra AllowNtAuthPolicyBypass postavljena je na 2 radi konfiguracije za način provođenja.
Ako kontrolor domene u načinu provođenja primi zahtjev za provjeru autentičnosti Kerberos s nesigurnim certifikatom, evidentirat će naslijeđeni ID događaja: 21 i odbiti zahtjev.
Da biste uključili zaštite koje nudi ovo ažuriranje, slijedite ove korake:
-
Primijenite ažuriranje sustava Windows izdano 8. travnja 2025. ili kasnije na sve domenski kontrolere u vašem okruženju. Nakon primjene ažuriranja postavka AllowNtAuthPolicyBypass zadana je postavka 1 (Nadzor) koja omogućuje provjeru NTAuth i događaje upozorenja zapisnika nadzora.VAŽAN Ako niste spremni nastaviti s primjenom zaštite koje nudi ovo ažuriranje, postavite ključ registra na 0 da biste privremeno onemogućili tu promjenu. Dodatne informacije potražite u odjeljku Informacije o ključu registra.
-
Pratite nove događaje koji će biti vidljivi na kontrolorima domene radi prepoznavanja zahvaćenih ustanova za izdavanje certifikata koji nisu dio spremišta NTAuth. ID događaja koji morate nadzirati jest ID događaja: 45. Dodatne informacije o tim događajima potražite u odjeljku Događaji nadzora.
-
Provjerite jesu li svi klijentski certifikati valjani i uvezni s pouzdanim izdavateljskim CA-om u spremištu NTAuth.
-
Nakon što se razriješe svi ID-i događaja: 45 događaja, možete nastaviti u način provedbe . Da biste to učinili, postavite vrijednost registra AllowNtAuthPolicyBypass na 2. Dodatne informacije potražite u odjeljku Informacije o ključu registra.Bilješka Preporučujemo privremeno odgađanje postavke AllowNtAuthPolicyBypass = 2 do nakon primjene ažuriranja sustava Windows objavljenog nakon svibnja 2025. na domenske kontrolere koji koriste samopotpisanu provjeru autentičnosti utemeljenu na certifikatima koja se koristi u više scenarija. To obuhvaća domenski kontroler koji Windows Hello za tvrtke pouzdanost ključa i provjeru autentičnosti javnog ključa uređaja pridruženu domeni.
Srpanj 2025.: zadana faza
Ažuriranja objavljen u srpnju 2025. ili kasnije provodit će provjeru NTAuth Trgovine po zadanom. Postavka ključa registra AllowNtAuthPolicyBypass i dalje će korisnicima omogućiti vraćanje na način nadzora ako je to potrebno. Međutim, mogućnost potpunog onemogućivanja ovog sigurnosnog ažuriranja bit će uklonjena.
Listopad 2025.: način provedbe
Ažuriranja objavljena u listopadu 2025. ili kasnije obustaviti će Microsoftovu podršku za ključ registra AllowNtAuthPolicyBypass. U ovoj fazi sve certifikate moraju izdati ustanove koje su dio spremišta NTAuth.
Postavke registra i zapisnici događaja
Informacije o ključu registra
Sljedeći ključ registra omogućuje nadzor ranjivih scenarija, a zatim nametanje promjene nakon rješavanja ranjivih certifikata. Ključ registra ne dodaje se automatski. Ako morate promijeniti ponašanje, morate ručno stvoriti ključ registra i postaviti vrijednost koja vam je potrebna. Imajte na umu da ponašanje OS-a kada ključ registra nije konfiguriran ovisi o fazi implementacije u kojoj se on nalazi.
AllowNtAuthPolicyBypass
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Vrijednost |
AllowNtAuthPolicyBypass |
|
|
Vrsta podataka |
REG_DWORD |
|
|
Podaci o vrijednosti |
0 |
Potpuno onemogućuje promjenu. |
|
1 |
Izvodi događaj upozorenja provjere NTAuth i zapisnika koji označava certifikat koji je izdala ustanova koja nije dio spremišta NTAuth (nadzorni način rada). (Zadano ponašanje počinje izdanjem od 8. travnja 2025.) |
|
|
2 |
Izvršite provjeru autentičnosti NTAuth i ako ne uspije, nemojte dopustiti prijavu. Evidentirajte uobičajene događaje (postojeće) za pogrešku AS-REQ s kodom pogreške koji označava da provjera NTAuth nije uspjela (nametnuti način rada). |
|
|
Komentari |
Postavku registra AllowNtAuthPolicyBypass potrebno je konfigurirati samo na KDC-ima sustava Windows koji su instalirali ažuriranja sustava Windows objavljena u travnju 2025. ili kasnije. |
|
Događaji nadzora
ID događaja: 45 | Događaj nadzora provjere autentičnosti spremišta za NT
Administratori bi trebali pratiti sljedeći događaj koji je dodala instalacija ažuriranja sustava Windows objavljenih 8. travnja 2025. ili kasnije. Ako postoji, podrazumijeva da je certifikat izdala ustanova koja nije dio spremišta NTAuth.
|
Zapisnik događaja |
Sustav zapisnika |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kerberos-Key-Distribution-Center |
|
ID događaja |
45 |
|
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na klijentski certifikat koji je valjan, ali nije povezan s korijenom u spremištu NTAuth. Podrška za certifikate koji se ne uvezu u spremište NTAuth zastarjela je. Podrška za certifikate koji se uvezuju u trgovine koje nisu NTAuth zastarjela je i nesigurna.Dodatne https://go.microsoft.com/fwlink/?linkid=2300705 potražite u članku. Korisnik: <username> Predmet certifikata: <cert subject> Izdavatelj certifikata: <izdavatelj certifikata> Serijski broj certifikata: <serijski broj certifikata> Otisak certifikata: < CertThumbprint> |
|
Komentari |
|
ID događaja: 21 | Događaj neuspjeha AS-REQ
Nakon adresiranja događaja Kerberos-Key-Distribution-Center 45 zapisivanje ovog generičkog naslijeđenog događaja upućuje na to da klijentski certifikat i dalje nije pouzdan. Ovaj se događaj može zapisati iz više razloga, od kojih je jedan od toga da valjani klijentski certifikat NIJE povezan s izdavanjem CA u spremištu NTAuth.
|
Zapisnik događaja |
Sustav zapisnika |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kerberos-Key-Distribution-Center |
|
ID događaja |
21 |
|
Tekst događaja |
Klijentski certifikat za korisnika <Domain\UserName> valjan i rezultira neuspjelom prijave pametnom karticom. Dodatne informacije o certifikatu koji pokušava koristiti za prijavu pomoću pametne kartice zatražite od korisnika. Status lanca bio je: lanac certificiranja ispravno je obrađen, ali davatelj pravilnika ne vjeruje jednom od certifikata ustanove za izdavanje certifikata. |
|
Komentari |
|
Poznati problem
Korisnici su prijavili probleme s ID-om događaja: 45 i ID-om događaja: 21 koji je aktivirala provjera autentičnosti utemeljena na certifikatu pomoću samopotpisanih certifikata. Dodatne informacije potražite u poznatom problemu dokumentiranom u stanju izdanja sustava Windows:
-
Windows Server 2025:Prijava možda neće uspjeti s Windows Hello u načinu pouzdanosti tipki i evidentiranje događaja Kerberos
-
Windows Server 2022:Prijava možda neće uspjeti s Windows Hello u načinu pouzdanog ključa i evidentiranje događaja Kerberos
-
Windows Server 2019:Prijava možda neće uspjeti s Windows Hello u načinu pouzdanosti tipki i evidentiranje događaja Kerberos
-
Windows Server 2016:Prijava možda neće uspjeti s Windows Hello u načinu pouzdanosti tipki i evidentiranje Događaja Kerberos
