Berlaku Untuk
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Tanggal penerbitan asli: 8 April 2025

ID KB: 5057784

Ubah tanggal

Ubah deskripsi

22 Juli 2025

  • Memperbarui paragraf di bawah "Informasi Kunci Registri" di bagian "Pengaturan Registri dan Log Kejadian".Teks asli: Kunci registri berikut ini memungkinkan untuk mengaudit skenario rentan lalu memberlakukan perubahan begitu sertifikat rentan ditangani. Kunci registri tidak akan dibuat secara otomatis. Perilaku OS ketika kunci registri tidak dikonfigurasi akan bergantung pada fase penyebaran mana ia berada.Teks yang direvisi: Kunci registri berikut ini memungkinkan untuk mengaudit skenario rentan lalu memberlakukan perubahan begitu sertifikat rentan ditangani. Kunci registri tidak ditambahkan secara otomatis. Jika Anda perlu mengubah perilaku, Anda harus membuat kunci registri secara manual dan mengatur nilai yang Anda perlukan. Perhatikan bahwa perilaku OS saat kunci registri tidak dikonfigurasi akan bergantung pada fase penyebaran mana ia berada.

  • Memperbarui Komentar di bawah "AllowNtAuthPolicyBypass" di bagian "Pengaturan Registri dan Log Kejadian".Teks asli: Pengaturan registri AllowNtAuthPolicyBypasshanya boleh dikonfigurasi pada KDC Windows seperti pengontrol domain yang telah menginstal pembaruan Windows yang dirilis pada atau setelah Mei 2025.Teks yang direvisi: Pengaturan registri AllowNtAuthPolicyBypassseharusnya hanya dikonfigurasi pada KDC Windows yang telah menginstal pembaruan Windows yang dirilis pada atau setelah April 2025.

9 Mei 2025

  • Mengganti istilah "akun istimewa" dengan "prinsipal keamanan menggunakan autentikasi berbasis sertifikat" di bagian "Ringkasan".

  • Tulis ulang langkah "Aktifkan" di bagian "Ambil Tindakan" untuk mengklarifikasi untuk menggunakan sertifikat masuk yang dikeluarkan oleh pihak berwenang yang ada di bursa NTAuth.Teks asli:MODE ENABLE Enforcement setelah lingkungan Anda tidak lagi menggunakan sertifikat masuk yang dikeluarkan oleh pihak berwenang yang tidak berada di bursa NTAuth.

  • Dalam bagian "8 April 2025: Tahap Penyebaran Awal – Mode audit", membuat perubahan ekstensif dengan menekankan bahwa kondisi tertentu harus ada sebelum mengaktifkan perlindungan yang ditawarkan oleh pembaruan ini... pembaruan ini harus diterapkan ke semua pengontrol domain AND memastikan sertifikat masuk yang dikeluarkan oleh pihak berwenang berada di bursa NTAuth. Langkah-langkah tambahan untuk berpindah ke mode Penegakan dan menambahkan catatan pengecualian untuk menunda pemindahan saat Anda memiliki pengontrol domain yang layanan autentikasi berbasis sertifikat yang ditandatangani sendiri yang digunakan dalam beberapa skenario.Teks asli: Untuk mengaktifkan perilaku baru dan aman dari kerentanan, Anda harus memastikan semua pengontrol domain Windows diperbarui dan pengaturan kunci registri AllowNtAuthPolicyBypass diatur ke 2.

  • Menambahkan konten tambahan ke bagian "Komentar" dari bagian "Informasi Kunci Registri" dan "Kejadian Audit".

  • Menambahkan bagian "Masalah umum".

Dalam artikel ini

Rangkuman

Pembaruan keamanan Windows yang dirilis pada atau setelah 8 April 2025, berisi perlindungan untuk kerentanan dengan autentikasi Kerberos. Pembaruan ini menyediakan perubahan perilaku saat otoritas penerbitan sertifikat yang digunakan untuk autentikasi berbasis sertifikat (CBA) prinsipal keamanan tepercaya, tetapi tidak di bursa NTAuth, dan pemetaan Pengidentifikasi Kunci Subjek (SKI) ada dalam atribut altSecID prinsipal keamanan menggunakan autentikasi berbasis sertifikat. Untuk mempelajari selengkapnya tentang kerentanan ini, silakan lihat CVE-2025-26647.

Ambil Tindakan

Untuk membantu melindungi lingkungan Anda dan mencegah pemadaman, kami menyarankan langkah-langkah berikut:

  1. PERBARUI semua pengontrol domain dengan pembaruan Windows yang dirilis pada atau setelah 8 April 2025.

  2. PANTAU kejadian baru yang akan terlihat di pengontrol domain untuk mengidentifikasi otoritas sertifikat yang terpengaruh.

  3. MENGAKTIFKAN Mode penegakan setelah lingkungan Anda sekarang hanya menggunakan sertifikat masuk yang dikeluarkan oleh pihak berwenang yang ada di bursa NTAuth.

atribut altSecID

Tabel berikut ini mencantumkan semua atribut Pengidentifikasi Keamanan Alternatif (altSecIDs) dan altSecID yang terpengaruh oleh perubahan ini.

Daftar atribut Sertifikat yang bisa dipetakan ke altSecIDs 

AltSecIDs yang memerlukan sertifikat yang cocok untuk dirantai ke bursa NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Garis waktu perubahan

8 April 2025: Tahap Penyebaran Awal – Mode audit

Tahap penyebaran awal (mode Audit ) dimulai dengan pembaruan yang dirilis pada 8 April 2025. Pembaruan ini mengubah perilaku yang mendeteksi peningkatan kerentanan hak istimewa yang dijelaskan dalam CVE-2025-26647 tetapi awalnya tidak memberlakukannya.

Saat berada dalam mode Audit , ID Kejadian: 45 akan masuk ke pengontrol domain ketika menerima permintaan autentikasi Kerberos dengan sertifikat yang tidak aman. Permintaan autentikasi akan diperbolehkan dan tidak ada kesalahan klien yang diharapkan.

Untuk mengaktifkan perubahan perilaku dan aman dari kerentanan, Anda harus memastikan semua pengontrol domain Windows diperbarui dengan rilis pembaruan Windows pada atau setelah 8 April 2025, dan pengaturan kunci registri AllowNtAuthPolicyBypass diatur ke 2 untuk mengonfigurasi mode Penegakan .

Ketika berada dalam mode Penegakan , jika pengontrol domain menerima permintaan autentikasi Kerberos dengan sertifikat yang tidak aman, pengontrol akan mencatat ID Kejadian warisan: 21 dan menolak permintaan tersebut.

Untuk mengaktifkan perlindungan yang ditawarkan oleh pembaruan ini, ikuti langkah-langkah berikut:

  1. Terapkan pembaruan Windows yang dirilis pada atau setelah 8 April 2025, ke semua pengontrol domain di lingkungan Anda. Setelah menerapkan pembaruan, pengaturan AllowNtAuthPolicyBypass default menjadi 1 (Audit) yang memungkinkan pemeriksaan NTAuth dan kejadian peringatan log audit.PENTING Jika Anda belum siap untuk melanjutkan untuk menerapkan proteksi yang ditawarkan oleh pembaruan ini, atur kunci registri ke 0 untuk menonaktifkan perubahan ini untuk sementara. Lihat bagian Informasi Kunci Registri untuk informasi selengkapnya.

  2. Pantau kejadian baru yang akan terlihat di pengontrol domain untuk mengidentifikasi otoritas sertifikat yang terpengaruh yang bukan bagian dari penyimpanan NTAuth. ID Kejadian yang perlu Anda pantau adalah ID Kejadian: 45. Lihat bagian Acara Audit untuk informasi selengkapnya tentang acara ini.

  3. Pastikan semua sertifikat klien valid dan dirantai ke CA Penerbitan tepercaya di bursa NTAuth.

  4. Setelah semua ID Kejadian: 45 kejadian diatasi, maka Anda dapat melanjutkan ke mode Penegakan . Untuk melakukan ini, atur nilai registri AllowNtAuthPolicyBypass ke 2. Lihat bagian Informasi Kunci Registri untuk informasi selengkapnya.Nota Kami menyarankan untuk menunda pengaturan AllowNtAuthPolicyBypass = 2 untuk sementara waktu hingga setelah menerapkan pembaruan Windows yang dirilis setelah Mei 2025 ke pengontrol domain layanan autentikasi berbasis sertifikat yang ditandatangani sendiri yang digunakan dalam beberapa skenario. Ini termasuk pengontrol domain yang layanannya Windows Hello untuk Bisnis Key Trust dan Autentikasi Kunci Publik Perangkat yang digabungkan domain.

Juli 2025: Diberlakukan menurut fase Default

Updates yang dirilis pada atau setelah Juli 2025 akan memberlakukan pemeriksaan Bursa NTAuth secara default. Pengaturan kunci registri AllowNtAuthPolicyBypass masih akan memungkinkan pelanggan untuk kembali ke mode Audit jika diperlukan. Namun, kemampuan untuk sepenuhnya menonaktifkan pembaruan keamanan ini akan dihapus.

Oktober 2025: Mode penerapan

Updates yang dirilis pada atau setelah Oktober 2025 akan menghentikan dukungan Microsoft untuk kunci registri AllowNtAuthPolicyBypass. Pada tahap ini, semua sertifikat harus dikeluarkan oleh pihak berwenang yang merupakan bagian dari toko NTAuth. 

Pengaturan Registri dan Log Kejadian

Informasi Kunci Registri

Kunci registri berikut ini memungkinkan untuk mengaudit skenario rentan lalu memberlakukan perubahan begitu sertifikat rentan ditangani. Kunci registri tidak ditambahkan secara otomatis. Jika Anda perlu mengubah perilaku, Anda harus membuat kunci registri secara manual dan mengatur nilai yang Anda perlukan. Perhatikan bahwa perilaku OS saat kunci registri tidak dikonfigurasi akan bergantung pada fase penyebaran mana ia berada.

AllowNtAuthPolicyBypass

Subkey Registri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Nilai

AllowNtAuthPolicyBypass

Tipe Data

REG_DWORD

Data nilai

0

Menonaktifkan perubahan sepenuhnya.

1

Melakukan kejadian peringatan log dan pemeriksaan NTAuth menunjukkan sertifikat yang dikeluarkan oleh otoritas yang bukan merupakan bagian dari penyimpanan NTAuth (mode Audit). (Perilaku default mulai rilis 8 April 2025.)

2

Lakukan pemeriksaan NTAuth dan jika gagal tidak memperbolehkan masuk. Mencatat kejadian normal (sudah ada) untuk kegagalan AS-REQ dengan kode kesalahan yang mengindikasikan gagalnya pemeriksaan NTAuth (Mode diberlakukan ).

Komentar

Pengaturan registri AllowNtAuthPolicyBypassseharusnya hanya dikonfigurasi pada KDC Windows yang telah menginstal pembaruan Windows yang dirilis pada atau setelah April 2025.

Kejadian Audit

ID Acara: 45 | NT Auth Store Check Audit Event

Administrator harus watch untuk acara berikut yang ditambahkan dengan penginstalan pembaruan Windows yang dirilis pada atau setelah 8 April 2025. Jika ada, itu menyiratkan bahwa sertifikat dikeluarkan oleh otoritas yang bukan bagian dari toko NTAuth.

Log Kejadian

Sistem Log

Tipe Kejadian

Peringatan

Sumber Kejadian

Kerberos-Key-Distribution-Center

ID Kejadian

45

Teks Acara

Key Distribution Center (KDC) menemukan sertifikat klien yang valid tetapi tidak dirantai ke akar di bursa NTAuth. Dukungan untuk sertifikat yang tidak dirantai ke bursa NTAuth ditolak.

Dukungan untuk sertifikat yang dirantai ke toko non-NTAuth tidak digunakan lagi dan tidak aman.Lihat https://go.microsoft.com/fwlink/?linkid=2300705 untuk mempelajari selengkapnya.

 Pengguna:> NamaPengguna<  Subjek Sertifikat:> Subjek Sertifikat<  Penerbit Sertifikat: <Penerbit Sertifikat>  Nomor Seri Sertifikat: <Nomor Seri Sert>  Sidik Jari Sertifikat: < CertThumbprint>

Komentar

  • Pembaruan Windows mendatang akan mengoptimalkan jumlah Pengontrol domain yang dilindungi Event 45s yang dicatat di CVE-2025-26647.

  • Administrator dapat mengabaikan pembuatan log Kerberos-Key-Distribution-Center kejadian 45 dalam keadaan berikut:

    • Windows Hello untuk Bisnis (WHfB) logon pengguna di mana subjek sertifikat dan penerbit cocok dengan format: <SID>/<UID>/login.windows.net/<ID Penyewa>/<pengguna UPN>

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) logon where the user is a computer account (dihentikan oleh karakter $trailing)), subjek dan penerbit adalah komputer yang sama, dan nomor serinya adalah 01.

ID Acara: 21 | Kejadian Kegagalan AS-REQ

Setelah menangani Kerberos-Key-Distribution-Center Event 45, pembuatan log kejadian generik warisan ini menunjukkan bahwa sertifikat klien masih TIDAK tepercaya. Kejadian ini mungkin dicatat karena beberapa alasan, salah satunya adalah sertifikat klien yang valid TIDAK dirantai ke CA Penerbitan di bursa NTAuth.

Log Kejadian

Sistem Log

Tipe Kejadian

Peringatan

Sumber Kejadian

Kerberos-Key-Distribution-Center

ID Kejadian

21

Teks Acara

Sertifikat klien untuk pengguna <Domain\NamaPengguna> tidak valid dan mengakibatkan gagalnya log masuk kartu pintar.

Silakan hubungi pengguna untuk informasi selengkapnya tentang sertifikat yang mereka coba gunakan untuk log masuk kartu pintar.

Status rantai adalah : Rantai sertifikasi diproses dengan benar, tetapi salah satu sertifikat CA tidak tepercaya oleh penyedia kebijakan.

Komentar

  • ID Kejadian: 21 yang mereferensikan akun "pengguna" atau "komputer" menjelaskan prinsipal keamanan yang memulai autentikasi Kerberos.

  • logo Windows Hello untuk Bisnis (WHfB) akan mereferensikan akun pengguna.

  • Cryptography Kunci Publik Mesin untuk Autentikasi Awal (PKINIT) mereferensikan akun komputer.

Masalah yang diketahui

Pelanggan melaporkan masalah dengan ID Kejadian: 45 dan ID Kejadian: 21 dipicu oleh autentikasi berbasis sertifikat menggunakan sertifikat yang ditandatangani sendiri. Untuk melihat informasi selengkapnya, silakan lihat masalah yang diketahui yang didokumentasikan pada kesehatan rilis Windows:

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas