Eredeti közzététel dátuma: 2025. augusztus 29.
TUDÁSBÁZIS-azonosító: 5066470
Bevezetés
Ez a cikk a Windows 11 24H2-es és Windows Server 2025-ös verziójának legutóbbi és közelgő változásait ismerteti, az NTLMv1 által származtatott titkosítás blokkolásának naplózására és végleges kényszerítésére összpontosítva. Ezek a változások a Microsoft szélesebb körű kezdeményezésének részét képezik az NTLM fokozatos kivonására.
Háttér
A Microsoft eltávolította az NTLMv1 protokollt (lásd: Szolgáltatások és funkciók eltávolítása) a Windows 11 24H2-es és Windows Server 2025-ös és újabb verzióiból. Az NTLMv1 protokoll eltávolítása közben azonban az NTLMv1 titkosítás maradványai továbbra is jelen vannak bizonyos forgatókönyvekben, például MS-CHAPv2 tartományhoz csatlakoztatott környezetben való használatakor.
A Credential Guard teljes védelmet nyújt mind az NTLMv1 örökölt titkosítása, mind számos más támadási felület számára, ezért a Microsoft határozottan javasolja az üzembe helyezését és engedélyezését, ha a Credential Guard követelményei teljesülnek. A közelgő változások csak azokat az eszközöket érintik, amelyeken a Credential Guard le van tiltva; Ha a Windows Credential Guard engedélyezve van az eszközön, a cikkben ismertetett módosítások nem lépnek érvénybe.
Cél
Az NTLM elavulásával (lásd az elavult funkciókat) és az NTLMv1 protokoll eltávolításával a Microsoft azon dolgozik, hogy véglegesítse az NTLMv1 letiltását az NTLMv1 által származtatott hitelesítő adatok letiltásával.
Közelgő változások
Ez a frissítés két új módosítást tartalmaz, az új beállításkulcsok és az új eseménynaplók bevezetését. A módosítások idővonalát a Változások bevezetése című szakaszban találja.
Új beállításkulcs
A rendszer bevezet egy új beállításkulcsot, amely azt jelzi, hogy a módosítások Naplózás vagy Kényszerítési módban vannak-e.
|
Beállításjegyzék helye |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Érték |
BlockNtlmv1SSO |
|
Type (Típus) |
REG_DWORD |
|
Data (Adatok) |
|
Új naplózási képességek
-
Naplózási (alapértelmezett) beállítások használatakor
Eseménynapló
Microsoft-Windows-NTLM/Operational
Esemény típusa
Figyelmeztetés
Eseményforrás
NTLM
Eseményazonosító
4024
Esemény szövege
NTLMv1-ből származtatott hitelesítő adatok egyszeri bejelentkezéshez való használatának naplózása Célkiszolgáló: <domain_name> Megadott felhasználó: <user_name> Megadott tartomány: <domain_name> Ügyfélfolyamat pid-azonosítója: <process_identifier> Az ügyfélfolyamat neve: <process_name> Ügyfélfolyamat LUID azonosítója: <locally_unique_identifier> Ügyfélfolyamat felhasználói identitása: <user_name> Az ügyfélfolyamat felhasználói identitásának tartományneve: <domain_name> Mechanizmus OID: <object_identifier> További információ: https://go.microsoft.com/fwlink/?linkid=2321802.
-
Beállítások kényszerítése használata esetén
Eseménynapló
Microsoft-Windows-NTLM/Operational
Esemény típusa
Hiba
Eseményforrás
NTLM
Eseményazonosító
4025
Esemény szövege
Az NTLMv1-ből származó hitelesítő adatok egyszeri Sign-On való használatára tett kísérlet szabályzat miatt le lett tiltva.Célkiszolgáló: <domain_name> Megadott felhasználó: <user_name> Megadott tartomány: <domain_name> Ügyfélfolyamat pid-azonosítója: <process_identifier> Az ügyfélfolyamat neve: <process_name> Ügyfélfolyamat LUID azonosítója: <locally_unique_identifier> Ügyfélfolyamat felhasználói identitása: <user_name> Az ügyfélfolyamat felhasználói identitásának tartományneve: <domain_name> Mechanizmus OID: <object_identifier> További információ: https://go.microsoft.com/fwlink/?linkid=2321802.
További információ a naplózás egyéb fejlesztéseiről: Az NTLM naplózási fejlesztéseinek áttekintése a Windows 11 24H2-es és Windows Server 2025-ös verziójában.
Módosítások bevezetése
A 2025. szeptemberi és újabb frissítésekben a módosítások Windows 11, a 24H2-es és újabb verziójú ügyfél operációs rendszerére kerülnek naplózási módban. Ebben a módban a rendszer naplózza a 4024-et az NTLMv1 által származtatott hitelesítő adatok használatakor, de a hitelesítés továbbra is működni fog. A bevezetés 2025 későbbi Windows Server fog el érni.
2026 októberében a Microsoft a BlockNTLMv1SSO beállításkulcs alapértelmezett értékét 0 (Naplózás) helyett 1 (Kényszerítés) értékre állítja, ha a BlockNTLMv1SSO beállításkulcs nincs üzembe helyezve az eszközön.
Ütemterv
|
Dátum |
Módosítás |
|
2025. augusztus vége |
Az NTLMv1-használat naplóinak naplózása engedélyezve van Windows 11 24H2-es és újabb verziójú ügyfeleken. |
|
2025. november |
A 2025-ös Windows Server módosításainak bevezetése. |
|
2026. október |
A BlockNtlmv1SSO beállításkulcs alapértelmezett értéke naplózási módról (0) Kényszerítési módra (1) változik egy jövőbeli Windows-frissítésen keresztül, megerősítve az NTLMv1 korlátozásait. Ez az alapértelmezett módosítás csak akkor lép érvénybe, ha a BlockNtlmv1SSO beállításkulcs nincs üzembe helyezve. |
Megjegyzés: Ezek a dátumok feltételesek, és változhatnak.
Gyakori kérdések (GYIK)
A Microsoft fokozatos bevezetési módszerrel terjeszti a kiadási frissítéseket egy adott időszak alatt, nem egyszerre. Ez azt jelenti, hogy a felhasználók különböző időpontokban kapják meg a frissítéseket, és előfordulhat, hogy nem lesznek azonnal elérhetők az összes felhasználó számára.
Az NTLMv1-ből származtatott hitelesítő adatokat bizonyos magasabb szintű protokollok használják egyszeri Sign-On célokra; Ilyenek például a Wi-Fi, az Ethernet és a VPN MS-CHAPv2-hitelesítést használó üzembe helyezések. A Credential Guard engedélyezéséhez hasonlóan ezen protokollok egyszeri Sign-On folyamatai nem működnének, de a hitelesítő adatok manuális megadása még kényszerítési módban is működni fog. További információkért és ajánlott eljárásokért lásd: Megfontolandó szempontok és ismert problémák a Credential Guard használatakor.
A frissítés és a Credential Guard közötti egyetlen hasonlóság az NTLMv1-alapú titkosításból származó felhasználói hitelesítő adatok védelme. Ez a frissítés nem biztosítja a Credential Guard széles körű és robusztus védelmét; A Microsoft a Credential Guard engedélyezését javasolja az összes támogatott platformon.
