Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Dátum módosítása

Leírás módosítása

2024. március 10.

Módosítottuk a Havi ütemtervet, amely további tartalommegerősítést ad hozzá, és eltávolítottuk a 2024. februári bejegyzést az ütemtervből, mivel az nem kapcsolódik a tartalom megerősítéséhez.

Ismertető

A megkeményedés kulcsfontosságú eleme a folyamatos biztonsági stratégiánknak, amely segít megvédeni a tulajdonát, miközben a munkájára összpontosít. Az egyre kreatívabb kibertámadások bárhol célba érik a gyengeségeket, a chiptől a felhőig. Látta már a windowsos üzenetközpontban a megerősítésről szóló kiadványainkat? A közelmúltban kikényszerítettek közé tartozik a DCOM-hitelesítés megkeményítése és a Netjoin: tartományhoz való csatlakozás megkeményítése. Tekintsük át azokat a sebezhető területeket, amelyek a következő hónapokban megkeményednek.

Megjegyzés: Ez a cikk idővel frissülni fog, hogy a legújabb információkat adja meg a módosítások megerősítéséről és az ütemtervekről. Legutóbb frissítve: 2024. március 10.

Módosítások megkeményedése egy pillantással

Tekintse át a vizualizáció idővonalát, és koncentráljon az Önt érdeklő konkrét változásokra. Az egyes fázisok részleteit az alábbiakban találja. 

A 2023-ban életbe lépő módosítások megkeményedése

1. ábra: A 2023-ban életbe lépő korlátozási változások vizuális ütemterve.

A 2024-ben életbe lépő módosítások megkeményedése

2. ábra:  A 2024-ben életbe lépő korlátozási változások vizuális ütemterve.

Módosítások megerősítésének havonta

Az egyes fázisok és a végleges kényszerítés megtervezéséhez tekintse meg az összes várható korlátozási módosítás részleteit havonta.

  • A Netlogon protokoll módosításai KB5021130 | 2 . fázis Kezdeti kényszerítési fázis. Eltávolítja az RPC-zárolás letiltásának lehetőségét, ha a 0 értéket a RequireSeal beállításjegyzék-alkulcsra állítja.

  • Tanúsítványalapú hitelesítés KB5014754 | 2 . fázis Eltávolítja a Letiltott módot.

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 1 . fázis Kezdeti üzembe helyezési fázis. A 2023. május 9-én vagy azt követően kiadott Windows-Frissítések a CVE-2023-24932-ben tárgyalt biztonsági réseket, a Windows rendszerindítási összetevőinek módosításait és két manuálisan alkalmazható visszavonási fájlt (kódintegritási szabályzatot és frissített biztonságos rendszerindítási tiltólistát (DBX)) oldanak meg.

  • A Netlogon protokoll módosításai KB5021130 | 3 . fázis Kényszerítés alapértelmezés szerint. A RequireSeal alkulcsot a rendszer kényszerítési módba helyezi át, kivéve, ha kifejezetten konfigurálja, hogy kompatibilis módban legyen.

  • Kerberos PAC-aláírások KB5020805 | 3 . fázis Harmadik üzembehelyezési fázis. Megszünteti a PAC-aláírás hozzáadásának letiltását a KrbtgtFullPacSignature alkulcs 0 értékre állításával.

  • A Netlogon protokoll módosításai KB5021130 | 4 . fázis Végleges végrehajtás. A 2023. július 11-én kiadott Windows-frissítések eltávolítják az 1 értéket a RequireSeal beállításkulcsra. Ez lehetővé teszi a CVE-2022-38023 kényszerítési fázisát.

  • Kerberos PAC-aláírások KB5020805 | 4 . fázis Kezdeti kényszerítési mód. Eltávolítja az 1 érték beállításának lehetőségét a KrbtgtFullPacSignature alkulcshoz, és alapértelmezés szerint kényszerítési módba lép (KrbtgtFullPacSignature = 3), amelyet explicit naplózási beállítással felülbírálhat. 

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 2 . fázis Második üzembe helyezési fázis. Frissítések 2023. július 11-én vagy azt követően kiadott Windows rendszerhez a visszavonási fájlok automatikus üzembe helyezése, új eseménynapló-események a visszavonás sikeres telepítésének bejelentéséhez és a WinRE-hez készült SafeOS dinamikus frissítési csomag.

  • Kerberos PAC-aláírások KB5020805 | 5. fázis

    Teljes kényszerítési fázis. Eltávolítja a KrbtgtFullPacSignature beállításkulcs támogatását, eltávolítja a naplózási mód támogatását, és az új PAC-aláírások nélküli összes szolgáltatásjegy hitelesítése meg lesz tagadva.

  • Az Active Directory (AD) engedélyeinek frissítései KB5008383 | 5 . fázis Végső üzembe helyezési fázis. A végső üzembe helyezési fázis akkor kezdődhet, ha elvégezte a KB5008383 "Művelet végrehajtása" szakaszában felsorolt lépéseket. A Kényszerítési módra való váltáshoz kövesse az "Üzembe helyezési útmutató" szakasz utasításait a dSHeuristics attribútum 28. és 29. bitjének beállításához. Ezután figyelje a 3044-3046-os eseményeket. Jelentést tesznek arról, ha a kényszerítési mód letiltott egy LDAP hozzáadási vagy módosítási műveletet, amely korábban naplózási módban engedélyezve lehetett. 

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Harmadik üzembehelyezési fázis. Ez a fázis további rendszerindítás-kezelői kockázatcsökkentéseket ad hozzá. Ez a fázis legkorábban 2024. április 9-én kezdődik.

  • Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Kötelező kényszerítési fázis. A visszavonások (kódintegritási rendszerindítási szabályzat és a biztonságos rendszerindítás letiltásának tiltása) programozott módon lesznek kényszerítve, miután telepítette a Windows frissítéseit az összes érintett rendszerre, és nem lehet letiltani.

  • Tanúsítványalapú hitelesítés KB5014754 | 3 . fázis Teljes kényszerítési mód. Ha egy tanúsítványt nem lehet erősen leképezni, a rendszer megtagadja a hitelesítést.

A legújabb hírek letöltése

A legújabb frissítések és emlékeztetők egyszerű megkereséséhez vegye fel a könyvjelzők közé a Windows üzenetközpontját. Ha Ön rendszergazda, és hozzáfér a Microsoft 365 Felügyeleti központ, állítsa be Email beállításokat a Microsoft 365 Felügyeleti központ a fontos értesítések és frissítések fogadásához.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.