Hatókör
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Eredeti közzététel dátuma: 2025. április 8.

TUDÁSBÁZIS AZONOSÍTÓJA: 5057784

Dátum módosítása

Leírás módosítása

2025. július 22.

  • Frissítettük a "Beállításjegyzék-beállítások és eseménynaplók" szakasz "Beállításkulcs-információk" szakaszának bekezdését.Eredeti szöveg: Az alábbi beállításkulcs lehetővé teszi a sebezhető forgatókönyvek naplózását, majd a módosítás kényszerítését a sebezhető tanúsítványok kezelése után. A beállításkulcs nem jön létre automatikusan. Az operációs rendszer viselkedése, amikor a beállításkulcs nincs konfigurálva, attól függ, hogy az üzembe helyezés melyik fázisában van.Módosított szöveg: Az alábbi beállításkulcs lehetővé teszi a sebezhető forgatókönyvek naplózását, majd a módosítás kényszerítését a sebezhető tanúsítványok kezelése után. A beállításkulcs nem lesz automatikusan hozzáadva. Ha módosítania kell a viselkedést, manuálisan kell létrehoznia a beállításkulcsot, és be kell állítania a szükséges értéket. Vegye figyelembe, hogy az operációs rendszer viselkedése, amikor a beállításkulcs nincs konfigurálva, attól függ, hogy az üzembe helyezés melyik fázisában van.

  • Frissítettük a "Beállításjegyzék beállításai és eseménynaplók" szakasz "AllowNtAuthPolicyBypass" szakaszában található megjegyzéseket.Eredeti szöveg: Az AllowNtAuthPolicyBypass beállításjegyzék-beállítást csak olyan Windows rendszerű KDC-ken kell konfigurálni, mint például azokban a tartományvezérlőkben, amelyek telepítették a 2025 májusában vagy azt követően kiadott Windows-frissítéseket.Módosított szöveg: Az AllowNtAuthPolicyBypass beállításjegyzék-beállítást csak olyan Windows KDC-ken kell konfigurálni, amelyek a 2025 áprilisában vagy azt követően kiadott Windows-frissítéseket telepítették.

2025. május 9.

  • Az "Emelt szintű fiók" kifejezést a "tanúsítványalapú hitelesítést használó rendszerbiztonsági tag" kifejezésre cserélte az "Összefoglalás" szakaszban.

  • A "Művelet végrehajtása" szakasz "Engedélyezés" lépését újrafogalmazva egyértelművé tette, hogy az NTAuth-tárolóban található hatóságok által kiadott bejelentkezési tanúsítványokat használja.Eredeti szöveg:ENABLE Enforcement mode ha a környezet már nem az NTAuth-tárolóban lévő hatóságok által kiadott bejelentkezési tanúsítványokat használja.

  • A "2025. április 8.: Kezdeti üzembe helyezési fázis – naplózási mód" szakaszban jelentős módosításokat hajtott végre, hangsúlyozva, hogy bizonyos feltételeknek létezniük kell a frissítés által nyújtott védelem engedélyezése előtt... ezt a frissítést minden tartományvezérlőre alkalmazni kell, és gondoskodni kell arról, hogy a hatóságok által kiadott bejelentkezési tanúsítványok az NTAuth-tárolóban legyenek. Hozzáadtuk a kényszerítési módra való áttérés lépéseit, és hozzáadtunk egy kivételjegyzetet, amely késlelteti az áthelyezést, ha olyan tartományvezérlőkkel rendelkezik, amelyek több forgatókönyvben is használják az önaláírt tanúsítványalapú hitelesítést.Eredeti szöveg: Az új viselkedés engedélyezéséhez és a biztonsági réstől való biztonságossá tételéhez meg kell győződnie arról, hogy az összes Windows-tartományvezérlő frissítve van, és az AllowNtAuthPolicyBypass beállításkulcs-beállítás értéke 2.

  • További tartalmakat adott hozzá a "Beállításkulcs-információk" és a "Naplózási események" szakasz "Megjegyzések" szakaszához.

  • Hozzáadtunk egy "Ismert probléma" szakaszt.

Ebben a cikkben

Összefoglalás

A 2025. április 8-án vagy azt követően kiadott Windows biztonsági frissítések védelmet tartalmaznak a Kerberos-hitelesítéssel kapcsolatos biztonsági rések ellen. Ez a frissítés megváltoztatja a viselkedést, ha a rendszerbiztonsági tag tanúsítványalapú hitelesítéséhez (CBA) használt tanúsítvány kiállító hatósága megbízható, de nem az NTAuth-tárolóban, és a tanúsítványalapú hitelesítést használó rendszerbiztonsági tag altSecID attribútumában megjelenik a tulajdonoskulcs-azonosító (SKI) leképezése. A biztonsági résről további információt a CVE-2025-26647 című témakörben talál.

Művelet végrehajtása

A környezet védelme és a kimaradások megelőzése érdekében az alábbi lépéseket javasoljuk:

  1. Frissítse az összes tartományvezérlőt a 2025. április 8-án vagy azt követően kiadott Windows-frissítéssel.

  2. Monitorozza azokat az új eseményeket, amelyek a tartományvezérlőken láthatók lesznek az érintett hitelesítésszolgáltatók azonosításához.

  3. ENGEDÉLYEZ Kényszerítési mód, miután a környezet most már csak az NTAuth-tárolóban található hatóságok által kiadott bejelentkezési tanúsítványokat használja.

altSecID attribútumok

Az alábbi táblázat felsorolja az összes alternatív biztonsági azonosító (altSecID) attribútumot és azokat az altSecID-ket, amelyekre ez a változás hatással van.

Az altSecID-ekre leképezhető tanúsítványattribútumok listája 

AltSecID-k, amelyek egyező tanúsítványt igényelnek az NTAuth-tárolóhoz való láncoláshoz

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Változások idővonala

2025. április 8.: Kezdeti üzembe helyezési fázis – Naplózási mód

A kezdeti üzembe helyezési fázis (naplózási mód) a 2025. április 8-án kiadott frissítésekkel kezdődik. Ezek a frissítések megváltoztatják azt a viselkedést, amely észleli a CVE-2025-26647-ben leírt jogosultságszint-emelési biztonsági rést, de kezdetben nem kényszeríti ki.

Naplózási módban a rendszer a 45-ös eseményazonosítót naplózza a tartományvezérlőn, amikor nem biztonságos tanúsítvánnyal rendelkező Kerberos-hitelesítési kérést kap. A hitelesítési kérés engedélyezve lesz, és nem várható ügyfélhiba.

A viselkedés módosításának engedélyezéséhez és a biztonsági réstől való biztonságossá tételéhez 2025. április 8-án vagy azt követően minden Windows-tartományvezérlőt frissítenie kell egy Windows-frissítési kiadással, az AllowNtAuthPolicyBypass beállításkulcs-beállítás pedig 2 értékre van állítva a kényszerítési mód konfigurálásához.

Kényszerítési módban, ha a tartományvezérlő nem biztonságos tanúsítvánnyal kap Kerberos-hitelesítési kérést, naplózza a régi eseményazonosítót: 21, és megtagadja a kérést.

A frissítés által kínált védelem bekapcsolásához kövesse az alábbi lépéseket:

  1. Alkalmazza a 2025. április 8-án vagy azt követően kiadott Windows-frissítést a környezet összes tartományvezérlőjén. A frissítés alkalmazása után az AllowNtAuthPolicyBypass alapértelmezett beállítása 1 (Naplózás), amely engedélyezi az NTAuth-ellenőrzést és az Auditnapló figyelmeztetési eseményeit.FONTOS Ha nem áll készen a frissítés által kínált védelem alkalmazására, állítsa a beállításkulcsot 0-ra a módosítás ideiglenes letiltásához. További információt a Beállításkulcs adatai című szakaszban talál.

  2. A tartományvezérlőkön látható új események monitorozása az NTAuth-tárolóhoz nem tartozó érintett hitelesítésszolgáltatók azonosításához. A monitorozni kívánt eseményazonosító : 45. Ezekről az eseményekről további információt a Naplózási események szakaszban talál.

  3. Győződjön meg arról, hogy az összes ügyféltanúsítvány érvényes, és egy megbízható kiállító hitelesítésszolgáltatóhoz van láncolva az NTAuth-tárolóban.

  4. Miután minden eseményazonosító: 45 esemény megoldódott, továbbléphet a Kényszerítési módra. Ehhez állítsa az AllowNtAuthPolicyBypass beállításazonosítót 2-re. További információt a Beállításkulcs adatai című szakaszban talál.Jegyzet Javasoljuk, hogy ideiglenesen késleltetje az AllowNtAuthPolicyBypass = 2 beállítását a 2025 májusa után kiadott Windows-frissítés olyan tartományvezérlőkre való alkalmazása után, amelyek több forgatókönyvben is használják az önaláírt tanúsítványalapú hitelesítést. Ez magában foglalja azokat a tartományvezérlőket, amelyek Vállalati Windows Hello a kulcsmegbízhatóságot és a tartományhoz csatlakoztatott nyilvános kulcsú hitelesítést.

2025. július: Kényszerítés alapértelmezett fázis szerint

Frissítések 2025 júliusában vagy azt követően kiadottak alapértelmezés szerint kikényszeríti az NTAuth Store ellenőrzését. Az AllowNtAuthPolicyBypass beállításkulcs-beállítás továbbra is lehetővé teszi az ügyfelek számára, hogy szükség esetén visszaálljanak naplózási módba. A biztonsági frissítés teljes letiltásának lehetősége azonban el lesz távolítva.

2025. október: Kényszerítési mód

Frissítések 2025 októberében vagy azt követően jelent meg, megszűnik az AllowNtAuthPolicyBypass beállításkulcs Microsoft-támogatása. Ebben a szakaszban minden tanúsítványt az NTAuth-tárolóhoz tartozó hatóságoknak kell kiállítaniuk. 

Beállításjegyzék-beállítások és eseménynaplók

Beállításkulcs adatai

Az alábbi beállításkulcs lehetővé teszi a sebezhető forgatókönyvek naplózását, majd a módosítás kényszerítését a sebezhető tanúsítványok kezelése után. A beállításkulcs nem lesz automatikusan hozzáadva. Ha módosítania kell a viselkedést, manuálisan kell létrehoznia a beállításkulcsot, és be kell állítania a szükséges értéket. Vegye figyelembe, hogy az operációs rendszer viselkedése, amikor a beállításkulcs nincs konfigurálva, attól függ, hogy az üzembe helyezés melyik fázisában van.

AllowNtAuthPolicyBypass

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Érték

AllowNtAuthPolicyBypass

Adattípus

REG_DWORD

Értékadatok

0

Teljes mértékben letiltja a módosítást.

1

Végrehajtja az NTAuth ellenőrzési és naplóriasztási eseményt, amely egy olyan szolgáltató által kiadott tanúsítványt jelez, amely nem része az NTAuth-tárolónak (naplózási mód). (Az alapértelmezett viselkedés a 2025. április 8-i kiadástól kezdve.)

2

Hajtsa végre az NTAuth-ellenőrzést, és ha nem sikerül, ne engedélyezze a bejelentkezést. Naplózza a normál eseményeket (meglévők) egy AS-REQ hiba esetén egy hibakóddal, amely azt jelzi, hogy az NTAuth-ellenőrzés sikertelen volt (kényszerített mód).

Megjegyzések

Az AllowNtAuthPolicyBypass beállításjegyzék-beállítást csak olyan Windows KDC-ken kell konfigurálni, amelyek a 2025 áprilisában vagy azt követően kiadott Windows-frissítéseket telepítették.

Események naplózása

Eseményazonosító: 45 | NT Auth Store Check Audit Event

A rendszergazdáknak a 2025. április 8-án vagy azt követően kiadott Windows-frissítések telepítése által hozzáadott következő eseményre watch. Ha létezik, az azt jelenti, hogy a tanúsítványt olyan szolgáltató állította ki, amely nem része az NTAuth-tárolónak.

Eseménynapló

Naplórendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Kerberos-Key-Distribution-Center

Eseményazonosító

45

Esemény szövege

A kulcsterjesztési központ (KDC) olyan ügyféltanúsítványt észlelt, amely érvényes volt, de nem az NTAuth-tároló egyik gyökeréhez van láncolva. Az NTAuth-tárolóhoz nem láncolt tanúsítványok támogatása elavult.

A nem NTAuth-tárolókhoz láncolt tanúsítványok támogatása elavult és nem biztonságos.További információ: https://go.microsoft.com/fwlink/?linkid=2300705 .

 Felhasználó: <UserName>  Tanúsítvány tárgya: tanúsítványtulajdonos<>  Tanúsítványkibocsátó: <tanúsítványkibocsátó>  Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma>  Tanúsítvány ujjlenyomata: < CertThumbprint>

Megjegyzések

  • A jövőbeli Windows-frissítések optimalizálják a CVE-2025-26647 által védett tartományvezérlőkre bejelentkezett 45-ös események számát.

  • A rendszergazdák a következő esetekben figyelmen kívül hagyhatják a Kerberos-Key-Distribution-Center 45-ös eseményének naplózását:

    • Vállalati Windows Hello (WHfB) felhasználói bejelentkezések, ahol a tanúsítványok tárgya és a kiállító formátuma megegyezik: <SID>/<UID>/login.windows.net/<Bérlőazonosító>/<felhasználói UPN->

    • A számítógép nyilvános kulcsú titkosítása a kezdeti hitelesítéshez (PKINIT) olyan bejelentkezésekhez, ahol a felhasználó egy számítógépfiók (záró $ karakterrel végződik),a tulajdonos és a kiállító ugyanaz a számítógép, és a sorozatszám 01.

Eseményazonosító: 21 | AS-REQ hibaesemény

A Kerberos-Key-Distribution-Center 45-ös eseményének kezelése után az általános, örökölt esemény naplózása azt jelzi, hogy az ügyféltanúsítvány továbbra sem megbízható. Ez az esemény több okból is naplózható, amelyek egyike, hogy egy érvényes ügyféltanúsítvány NINCS az NTAuth-tárolóban lévő kiállító hitelesítésszolgáltatóhoz láncolva.

Eseménynapló

Naplórendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Kerberos-Key-Distribution-Center

Eseményazonosító

21

Esemény szövege

A Tartomány\Felhasználónév>< felhasználó ügyféltanúsítványa érvénytelen, és sikertelen intelligenskártya-bejelentkezést eredményezett.

Az intelligens kártyás bejelentkezéshez használni kívánt tanúsítvánnyal kapcsolatos további információkért forduljon a felhasználóhoz.

A lánc állapota a következő volt: A minősítési lánc megfelelően lett feldolgozva, de a szabályzatszolgáltató nem bízik meg az egyik hitelesítésszolgáltatóban.

Megjegyzések

  • A "felhasználó" vagy "számítógép" fiókra hivatkozó eseményazonosító a Kerberos-hitelesítést kezdeményező rendszerbiztonsági tagot írja le.

  • Vállalati Windows Hello (WHfB) bejelentkezések egy felhasználói fiókra hivatkoznak.

  • A számítógép nyilvános kulcsú titkosítása a kezdeti hitelesítéshez (PKINIT) egy számítógépfiókra hivatkozik.

Ismert probléma

Az ügyfelek a következő eseményazonosítóval kapcsolatos problémákat jelentettek: 45 és eseményazonosító: 21, amelyet az önaláírt tanúsítványokat használó tanúsítványalapú hitelesítés aktivált. További információkért tekintse meg a Windows kiadási állapotával kapcsolatos ismert problémát:

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ