Dátum módosítása |
Leírás módosítása |
---|---|
2024. március 10. |
Módosítottuk a Havi ütemtervet, amely további tartalommegerősítést ad hozzá, és eltávolítottuk a 2024. februári bejegyzést az ütemtervből, mivel az nem kapcsolódik a tartalom megerősítéséhez. |
Ismertető
A megkeményedés kulcsfontosságú eleme a folyamatos biztonsági stratégiánknak, amely segít megvédeni a tulajdonát, miközben a munkájára összpontosít. Az egyre kreatívabb kibertámadások bárhol célba érik a gyengeségeket, a chiptől a felhőig. Látta már a windowsos üzenetközpontban a megerősítésről szóló kiadványainkat? A közelmúltban kikényszerítettek közé tartozik a DCOM-hitelesítés megkeményítése és a Netjoin: tartományhoz való csatlakozás megkeményítése. Tekintsük át azokat a sebezhető területeket, amelyek a következő hónapokban megkeményednek.
Megjegyzés: Ez a cikk idővel frissülni fog, hogy a legújabb információkat adja meg a módosítások megerősítéséről és az ütemtervekről. Legutóbb frissítve: 2024. március 10.
Módosítások megkeményedése egy pillantással
Tekintse át a vizualizáció idővonalát, és koncentráljon az Önt érdeklő konkrét változásokra. Az egyes fázisok részleteit az alábbiakban találja.
1. ábra: A 2023-ban életbe lépő korlátozási változások vizuális ütemterve.
2. ábra: A 2024-ben életbe lépő korlátozási változások vizuális ütemterve.
Módosítások megerősítésének havonta
Az egyes fázisok és a végleges kényszerítés megtervezéséhez tekintse meg az összes várható korlátozási módosítás részleteit havonta.
-
Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 1 . fázis Kezdeti üzembe helyezési fázis. A 2023. május 9-én vagy azt követően kiadott Windows-Frissítések a CVE-2023-24932-ben tárgyalt biztonsági réseket, a Windows rendszerindítási összetevőinek módosításait és két manuálisan alkalmazható visszavonási fájlt (kódintegritási szabályzatot és frissített biztonságos rendszerindítási tiltólistát (DBX)) oldanak meg.
-
A Netlogon protokoll módosításai KB5021130 | 3 . fázis Kényszerítés alapértelmezés szerint. A RequireSeal alkulcsot a rendszer kényszerítési módba helyezi át, kivéve, ha kifejezetten konfigurálja, hogy kompatibilis módban legyen.
-
Kerberos PAC-aláírások KB5020805 | 3 . fázis Harmadik üzembehelyezési fázis. Megszünteti a PAC-aláírás hozzáadásának letiltását a KrbtgtFullPacSignature alkulcs 0 értékre állításával.
-
A Netlogon protokoll módosításai KB5021130 | 4 . fázis Végleges végrehajtás. A 2023. július 11-én kiadott Windows-frissítések eltávolítják az 1 értéket a RequireSeal beállításkulcsra. Ez lehetővé teszi a CVE-2022-38023 kényszerítési fázisát.
-
Kerberos PAC-aláírások KB5020805 | 4 . fázis Kezdeti kényszerítési mód. Eltávolítja az 1 érték beállításának lehetőségét a KrbtgtFullPacSignature alkulcshoz, és alapértelmezés szerint kényszerítési módba lép (KrbtgtFullPacSignature = 3), amelyet explicit naplózási beállítással felülbírálhat.
-
Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 2 . fázis Második üzembe helyezési fázis. Frissítések 2023. július 11-én vagy azt követően kiadott Windows rendszerhez a visszavonási fájlok automatikus üzembe helyezése, új eseménynapló-események a visszavonás sikeres telepítésének bejelentéséhez és a WinRE-hez készült SafeOS dinamikus frissítési csomag.
-
Kerberos PAC-aláírások KB5020805 | 5. fázis
Teljes kényszerítési fázis. Eltávolítja a KrbtgtFullPacSignature beállításkulcs támogatását, eltávolítja a naplózási mód támogatását, és az új PAC-aláírások nélküli összes szolgáltatásjegy hitelesítése meg lesz tagadva.
-
Az Active Directory (AD) engedélyeinek frissítései KB5008383 | 5 . fázis Végső üzembe helyezési fázis. A végső üzembe helyezési fázis akkor kezdődhet, ha elvégezte a KB5008383 "Művelet végrehajtása" szakaszában felsorolt lépéseket. A Kényszerítési módra való váltáshoz kövesse az "Üzembe helyezési útmutató" szakasz utasításait a dSHeuristics attribútum 28. és 29. bitjének beállításához. Ezután figyelje a 3044-3046-os eseményeket. Jelentést tesznek arról, ha a kényszerítési mód letiltott egy LDAP hozzáadási vagy módosítási műveletet, amely korábban naplózási módban engedélyezve lehetett.
-
Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Harmadik üzembehelyezési fázis. Ez a fázis további rendszerindítás-kezelői kockázatcsökkentéseket ad hozzá. Ez a fázis legkorábban 2024. április 9-én kezdődik.
-
Biztonságos rendszerindítási megkerülés elleni védelem KB5025885 | 3 . fázis Kötelező kényszerítési fázis. A visszavonások (kódintegritási rendszerindítási szabályzat és a biztonságos rendszerindítás letiltásának tiltása) programozott módon lesznek kényszerítve, miután telepítette a Windows frissítéseit az összes érintett rendszerre, és nem lehet letiltani.
-
Tanúsítványalapú hitelesítés KB5014754 | 3 . fázis Teljes kényszerítési mód. Ha egy tanúsítványt nem lehet erősen leképezni, a rendszer megtagadja a hitelesítést.
A legújabb hírek letöltése
A legújabb frissítések és emlékeztetők egyszerű megkereséséhez vegye fel a könyvjelzők közé a Windows üzenetközpontját. Ha Ön rendszergazda, és hozzáfér a Microsoft 365 Felügyeleti központ, állítsa be Email beállításokat a Microsoft 365 Felügyeleti központ a fontos értesítések és frissítések fogadásához.