Hatókör
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Eredeti közzététel dátuma: 2023. április

TUDÁSBÁZIS AZONOSÍTÓJA: 5036534

Dátum módosítása

Leírás

2025. április 8.

  • További információ a CVE-2025-26647 kerberos-hitelesítéssel rendelkező biztonsági réseinek védelméről.

2025. február 19., csütörtök

  • Módosítottuk a Bevezetés szakasz szövegét.

  • Eltávolítottuk a "Módosítások egy pillantással megerősítve" szakaszt, mivel az információk elavultak.

  • Hozzá lett adva az "Egyéb kulcsváltozások a Windowsban" szakasz, amely azokra a funkciókra és funkciókra mutató hivatkozásokat tartalmazza, amelyeket már nem fejlesztenek ki a Windowsban.

2025. január 30., szombat

  • A 2026. januári vagy újabb bejegyzés hozzá van adva a "Módosítások megerősítésének havonta" szakaszhoz.

2025. január 17., szombat

  • A 2024. áprilisi, 2025. januári és 2025. áprilisi bejegyzéseket a "Változások megerősítésének havonta" szakasz tartalmazza.

2024. március 10.

  • Módosítottuk a Havi ütemtervet, amely további tartalommegerősítést ad hozzá, és eltávolítottuk a 2024. februári bejegyzést az ütemtervből, mivel az nem kapcsolódik a tartalom megerősítéséhez.

Bevezetés

A megkeményedés kulcsfontosságú eleme a folyamatos biztonsági stratégiánknak, amely segít megvédeni a tulajdonát, miközben a munkájára összpontosít. Az egyre kreatívabb kibertámadások bárhol célba érik a gyengeségeket, a chiptől a felhőig.

Ez a cikk áttekinti azokat a sebezhető területeket, amelyeken a Windows biztonsági frissítései által végrehajtott, megkeményedő változások történnek. Emlékeztetőket is teszünk közzé a Windows üzenetközpontban , hogy a közeledő kulcsdátumok megerősítéséről értesítsük a rendszergazdákat.  

Megjegyzés: Ez a cikk idővel frissülni fog, hogy a legújabb információkat adja meg a módosítások megerősítéséről és az ütemtervekről. A legutóbbi módosítások nyomon követéséhez tekintse meg a Változásnapló szakaszt.

Módosítások megerősítésének havonta

Az egyes fázisok és a végleges kényszerítés megtervezéséhez tekintse meg a legutóbbi és a közelgő korlátozási módosításokat havonta.

  • A Netlogon protokoll módosításai KB5021130 | 2 . fázis Kezdeti kényszerítési fázis. Eltávolítja az RPC-zárolás letiltásának lehetőségét, ha a 0 értéket a RequireSeal beállításjegyzék-alkulcsra állítja.

  • Tanúsítványalapú hitelesítés KB5014754 | 2 . fázis Eltávolítja a Letiltott módot.

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 1 . fázis Kezdeti üzembe helyezési fázis. A 2023. május 9-én vagy azt követően kiadott Windows-Frissítések a CVE-2023-24932-ben tárgyalt biztonsági réseket, a Windows rendszerindítási összetevőinek módosításait és két manuálisan alkalmazható visszavonási fájlt (kódintegritási szabályzatot és frissített biztonságos rendszerindítási tiltólistát (DBX)) oldanak meg.

  • A Netlogon protokoll módosításai KB5021130 | 3 . fázis Kényszerítés alapértelmezés szerint. A RequireSeal alkulcsot a rendszer kényszerítési módba helyezi át, kivéve, ha kifejezetten konfigurálja, hogy kompatibilis módban legyen.

  • Kerberos PAC-aláírások KB5020805 | 3 . fázis Harmadik üzembehelyezési fázis. Megszünteti a PAC-aláírás hozzáadásának letiltását a KrbtgtFullPacSignature alkulcs 0 értékre állításával.

  • A Netlogon protokoll módosításai KB5021130 | 4 . fázis Végleges végrehajtás. A 2023. július 11-én kiadott Windows-frissítések eltávolítják az 1 értéket a RequireSeal beállításkulcsra. Ez lehetővé teszi a CVE-2022-38023 kényszerítési fázisát.

  • Kerberos PAC-aláírások KB5020805 | 4 . fázis Kezdeti kényszerítési mód. Eltávolítja az 1 érték beállításának lehetőségét a KrbtgtFullPacSignature alkulcshoz, és alapértelmezés szerint kényszerítési módba lép (KrbtgtFullPacSignature = 3), amelyet explicit naplózási beállítással felülbírálhat. 

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 2 . fázis Második üzembe helyezési fázis. Frissítések 2023. július 11-én vagy azt követően kiadott Windows rendszerhez a visszavonási fájlok automatikus üzembe helyezése, új eseménynapló-események a visszavonás sikeres telepítésének bejelentéséhez és a WinRE-hez készült SafeOS dinamikus frissítési csomag.

  • Kerberos PAC-aláírások KB5020805 | 5. fázis

    Teljes kényszerítési fázis. Eltávolítja a KrbtgtFullPacSignature beállításkulcs támogatását, eltávolítja a naplózási mód támogatását, és az új PAC-aláírások nélküli összes szolgáltatásjegy hitelesítése meg lesz tagadva.

  • Az Active Directory (AD) engedélyeinek frissítései KB5008383 | 5 . fázis Végső üzembe helyezési fázis. A végső üzembe helyezési fázis akkor kezdődhet, ha elvégezte a KB5008383 "Művelet végrehajtása" szakaszában felsorolt lépéseket. A Kényszerítési módra való váltáshoz kövesse az "Üzembe helyezési útmutató" szakasz utasításait a dSHeuristics attribútum 28. és 29. bitjének beállításához. Ezután figyelje a 3044-3046-os eseményeket. Jelentést tesznek arról, ha a kényszerítési mód letiltott egy LDAP hozzáadási vagy módosítási műveletet, amely korábban naplózási módban engedélyezve lehetett. 

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Harmadik üzembehelyezési fázis. Ez a fázis további rendszerindítás-kezelői kockázatcsökkentéseket ad hozzá. Ez a fázis legkorábban 2024. április 9-én kezdődik.

  • PAC-érvényesítési módosítások KB5037754 | Kompatibilitási mód fázisa

    A kezdeti üzembe helyezési fázis a 2024. április 9-én kiadott frissítésekkel kezdődik. Ez a frissítés új viselkedést ad hozzá, amely megakadályozza a CVE-2024-26248 és a CVE-2024-29056 verzióban ismertetett jogosultsági biztonsági rések kiterjesztését, de csak akkor kényszeríti ki, ha a környezetben lévő Windows-tartományvezérlők és Windows-ügyfelek is frissülnek.

    Az új viselkedés engedélyezéséhez és a biztonsági rések elhárításához meg kell győződnie arról, hogy a teljes Windows-környezet (beleértve a tartományvezérlőket és az ügyfeleket is) frissült. A rendszer naplózza a naplózott eseményeket a nem frissített eszközök azonosításához.

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Kötelező kényszerítési fázis. A visszavonások (kódintegritási rendszerindítási szabályzat és a biztonságos rendszerindítás letiltásának tiltása) programozott módon lesznek kényszerítve, miután telepítette a Windows frissítéseit az összes érintett rendszerre, és nem lehet letiltani.

  • PAC-érvényesítési módosítások KB5037754 | Kényszerítés alapértelmezett fázisban

    Frissítések 2025 januárjában vagy azt követően kiadott Frissítések a környezetben lévő összes Windows-tartományvezérlőt és -ügyfelet Kényszerített módba helyezi át. Ez a mód alapértelmezés szerint kényszeríti a biztonságos viselkedést. A korábban beállított meglévő beállításkulcs-beállítások felülbírálják ezt az alapértelmezett viselkedésmódosítást.

    A rendszergazda felülírhatja az alapértelmezett kényszerített mód beállításait a kompatibilitási mód visszaállításához.

  • Tanúsítványalapú hitelesítés KB5014754 | 3 . fázis Teljes kényszerítési mód. Ha egy tanúsítványt nem lehet erősen leképezni, a rendszer megtagadja a hitelesítést.

  • PAC-érvényesítési módosítások KB5037754 | Kényszerítési fázis A 2025 áprilisában vagy azt követően kiadott Windows biztonsági frissítések eltávolítják a PacSignatureValidationLevel és a CrossDomainFilteringLevel beállításjegyzék-alkulcsok támogatását, és kikényszeríti az új biztonságos viselkedést. A 2025. áprilisi frissítés telepítése után a kompatibilitási mód nem támogatott.

  • Kerberos-hitelesítési védelem a CVE-2025-26647 KB5057784 | Naplózási mód A kezdeti üzembe helyezési fázis a 2025. április 8-án kiadott frissítésekkel kezdődik. Ezek a frissítések olyan új viselkedést adnak hozzá, amely észleli a CVE-2025-26647-ben leírt jogosultságszint-emelési biztonsági rést, de nem kényszeríti ki. Az új viselkedés engedélyezéséhez és a biztonsági réstől való biztonságossá tételéhez meg kell győződnie arról, hogy az összes Windows-tartományvezérlő frissítve van, és az AllowNtAuthPolicyBypass beállításkulcs-beállítás értéke 2.

  • Kerberos-hitelesítési védelem a CVE-2025-26647 KB5057784 | A 2025 júliusában vagy azt követően kiadott alapértelmezett fázis Frissítések alapértelmezés szerint kikényszeríti az NTAuth Store ellenőrzését. Az AllowNtAuthPolicyBypass beállításkulcs-beállítás továbbra is lehetővé teszi az ügyfelek számára, hogy szükség esetén visszaálljanak naplózási módba. A biztonsági frissítés teljes letiltásának lehetősége azonban el lesz távolítva.

  • Kerberos authentication protections for CVE-2025-26647 KB5057784 | Kényszerítési mód ​​​​​​​Frissítések 2025 októberében vagy azt követően jelent meg, megszűnik az AllowNtAuthPolicyBypass beállításkulcs Microsoft-támogatása. Ebben a szakaszban minden tanúsítványt az NTAuth-tárolóhoz tartozó hatóságoknak kell kiállítaniuk.

  • Biztonságos rendszerindítási megkerülő védelem KB5025885 | Kényszerítési fázis A kényszerítési szakasz nem kezdődik el 2026 januárja előtt, és legalább hat hónappal a szakasz megkezdése előtt előzetes figyelmeztetést adunk ebben a cikkben. A kényszerítési fázishoz kiadott frissítések a következőket tartalmazzák:

    • A rendszer automatikusan visszavonja a "Windows production PCA 2011" tanúsítványt úgy, hogy hozzáadja a biztonságos rendszerindítási UEFI tiltott eszközök listájához (DBX) a kompatibilis eszközökön. Ezeket a frissítéseket a rendszer programozott módon érvényesíti, miután telepítette a Windows frissítéseit az összes érintett rendszerre, letiltás nélkül.

Egyéb kulcsmódosítások a Windowsban

A Windows-ügyfél és a Windows Server minden egyes verziója új funkciókat és funkciókat ad hozzá. Időnként az új verziók is eltávolítják a szolgáltatásokat és a funkciókat, gyakran azért, mert létezik egy újabb lehetőség. A Windowsban már nem fejlesztett funkciókkal és funkciókkal kapcsolatos részletekért tekintse meg a következő cikkeket.

Client

Szerver

A legújabb hírek letöltése

A legújabb frissítések és emlékeztetők egyszerű megkereséséhez vegye fel a könyvjelzők közé a Windows üzenetközpontját. Ha Ön rendszergazda, és hozzáfér a Microsoft 365 Felügyeleti központ, állítsa be Email beállításokat a Microsoft 365 Felügyeleti központ a fontos értesítések és frissítések fogadásához.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ