Si applica a
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Data di pubblicazione originale: Aprile 2023

ID KB: 5036534

Modifica data

Descrizione

8 aprile 2025

  • Sono state aggiunte informazioni sulle protezioni per una vulnerabilità con l'autenticazione Kerberos per CVE-2025-26647.

19 febbraio 2025

  • È stato modificato il testo della sezione Introduzione.

  • È stata rimossa la sezione "Protezione avanzata a colpo d'occhio" in quanto le informazioni non sono aggiornate.

  • Aggiunta della sezione "Altre modifiche chiave in Windows" per i riferimenti alle funzionalità e alle funzionalità che non sono più in fase di sviluppo in Windows.

30 gennaio 2025

  • Aggiunta della voce di gennaio 2026 o successiva nella sezione "Protezione avanzata modifiche per mese".

17 gennaio 2025

  • Sono state aggiunte le voci di aprile 2024, gennaio 2025 e aprile 2025 nella sezione "Protezione avanzata modifiche per mese".

10 marzo 2024

  • È stata modificata la sequenza temporale mensile con l'aggiunta di altri contenuti correlati alla protezione avanzata e la voce di febbraio 2024 è stata rimossa dalla sequenza temporale in quanto non si tratta di protezione avanzata correlata.

Introduzione

La protezione avanzata è un elemento chiave della nostra strategia di sicurezza continua per proteggere la tua tenuta mentre ti concentri sul tuo lavoro. Le minacce informatiche sempre più creative puntano a punti deboli ovunque possibile, dal chip al cloud.

Questo articolo esamina le aree vulnerabili che stanno subendo modifiche di protezione avanzata implementate tramite gli aggiornamenti della sicurezza di Windows. Microsoft pubblica anche promemoria nel Centro messaggi di Windows per avvisare gli amministratori IT della protezione avanzata delle date chiave man mano che si avvicinano.  

Nota: Questo articolo verrà aggiornato nel tempo per fornire le informazioni più recenti sulla protezione avanzata delle modifiche e delle tempistiche. Fare riferimento alla sezione Registro delle modifiche per tenere traccia delle ultime modifiche.

Protezione avanzata delle modifiche per mese

Consultare i dettagli relativi alle modifiche di protezione avanzata recenti e imminenti ogni mese per pianificare ogni fase e l'applicazione finale.

  • Modifiche al protocollo netlogon KB5021130 | Fase 2 Fase di applicazione iniziale. Rimuove la possibilità di disabilitare il sealing RPC impostando il valore 0 sulla sottochiave del Registro di sistema RequireSeal .

  • KB5014754 di autenticazione basata su certificato | Fase 2 Rimuove la modalità disabilitata.

  • Protezioni per il bypass di Avvio protetto KB5025885 | Fase 1 Fase di distribuzione iniziale. Windows Aggiornamenti rilasciato il 9 maggio 2023 o successivamente alle vulnerabilità illustrate in CVE-2023-24932, alle modifiche ai componenti di avvio di Windows e a due file di revoca che possono essere applicati manualmente (un criterio di integrità del codice e un elenco di disallow dell'avvio protetto aggiornato).

  • Modifiche al protocollo netlogon KB5021130 | Fase 3 Applicazione per impostazione predefinita. La sottochiave RequireSeal verrà spostata in modalità di applicazione, a meno che non venga configurata esplicitamente in modalità compatibilità.

  • KB5020805 firme PAC Kerberos | Fase 3 Terza fase di distribuzione. Rimuove la possibilità di disabilitare l'aggiunta della firma PAC impostando la sottochiave KrbtgtFullPacSignature su un valore pari a 0.

  • Modifiche al protocollo netlogon KB5021130 | Fase 4 Applicazione definitiva. Gli aggiornamenti di Windows rilasciati l'11 luglio 2023 rimuoveranno la possibilità di impostare il valore 1 sulla sottochiave del Registro di sistema RequireSeal. In questo modo viene abilitata la fase di applicazione di CVE-2022-38023.

  • KB5020805 firme PAC Kerberos | Fase 4 Modalità di applicazione iniziale. Rimuove la possibilità di impostare il valore 1 per la sottochiave KrbtgtFullPacSignature e passa alla modalità di applicazione come predefinita (KrbtgtFullPacSignature = 3), che è possibile ignorare con un'impostazione di controllo esplicita. 

  • Protezioni per il bypass di Avvio protetto KB5025885 | Fase 2 Seconda fase di distribuzione. Aggiornamenti per Windows rilasciati dopo l'11 luglio 2023 includono la distribuzione automatizzata dei file di revoca, nuovi eventi del registro eventi per segnalare se la distribuzione di revoca è riuscita e il pacchetto di aggiornamento dinamico SafeOS per WinRE.

  • KB5020805 firme PAC Kerberos | Fase 5

    Fase di applicazione completa. Rimuove il supporto per la sottochiave del Registro di sistema KrbtgtFullPacSignature, rimuove il supporto per la modalità di controllo e tutti i ticket di servizio senza le nuove firme PAC verranno negati l'autenticazione.

  • Aggiornamenti delle autorizzazioni di Active Directory (AD) KB5008383 | Fase 5 Fase di distribuzione finale. La fase di distribuzione finale può iniziare dopo aver completato i passaggi elencati nella sezione "Intervenire" di KB5008383. Per passare alla modalità di applicazione , seguire le istruzioni nella sezione "Linee guida per la distribuzione" per impostare il 28° e il 29° bit sull'attributo dSHeuristics . Monitora quindi gli eventi 3044-3046. Segnalano quando la modalità di applicazione ha bloccato un'operazione di aggiunta o modifica LDAP che in precedenza era consentita in modalità di controllo

  • Protezioni per il bypass di Avvio protetto KB5025885 | Fase 3 Terza fase di distribuzione. Questa fase aggiungerà altre misure di prevenzione del boot manager. Questa fase inizierà non prima del 9 aprile 2024.

  • Modifiche alla convalida PAC KB5037754 | Fase della modalità compatibilità

    La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati il 9 aprile 2024. Questo aggiornamento aggiunge un nuovo comportamento che impedisce l'elevazione delle vulnerabilità dei privilegi descritte in CVE-2024-26248 e CVE-2024-29056, ma non lo applica a meno che non vengano aggiornati sia i controller di dominio di Windows che i client Windows nell'ambiente.

    Per abilitare il nuovo comportamento e ridurre le vulnerabilità, è necessario verificare che l'intero ambiente Windows (inclusi i controller di dominio e i client) sia aggiornato. Gli eventi di controllo verranno registrati per identificare i dispositivi non aggiornati.

  • Protezioni per il bypass di Avvio protetto KB5025885 | Fase 3 Fase di applicazione obbligatoria. Le revoche (criteri di avvio dell'integrità del codice ed elenco di disallow dell'avvio protetto) verranno applicate a livello di programmazione dopo l'installazione degli aggiornamenti per Windows in tutti i sistemi interessati senza alcuna opzione da disabilitare.

  • Modifiche alla convalida PAC KB5037754 | Applicazione per fase predefinita

    Aggiornamenti rilasciato a gennaio 2025 o successivamente sposterà tutti i controller di dominio e i client di dominio Windows nell'ambiente alla modalità applicata. Questa modalità applica il comportamento sicuro per impostazione predefinita. Le impostazioni esistenti della chiave del Registro di sistema precedentemente impostate sostituiscono questa modifica del comportamento predefinito.

    Le impostazioni predefinite della modalità applicata possono essere sostituite da un amministratore per ripristinare la modalità compatibilità.

  • KB5014754 di autenticazione basata su certificato | Fase 3 Modalità di applicazione completa. Se non è possibile eseguire il mapping di un certificato, l'autenticazione verrà negata.

  • Modifiche KB5037754 della convalida PAC | Fase di applicazione Gli aggiornamenti della sicurezza di Windows rilasciati ad aprile 2025 o successivamente rimuoveranno il supporto per le sottochiavi del Registro di sistema PacSignatureValidationLevel e CrossDomainFilteringLevel e applicherà il nuovo comportamento sicuro. Non sarà disponibile alcun supporto per la modalità compatibilità dopo l'installazione dell'aggiornamento di aprile 2025.

  • Protezioni di autenticazione Kerberos per KB5057784 CVE-2025-26647 | Modalità di controllo La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati l'8 aprile 2025. Questi aggiornamenti aggiungono un nuovo comportamento che rileva la vulnerabilità nell'elevazione dei privilegi descritta in CVE-2025-26647 , ma non la applicano. Per abilitare il nuovo comportamento ed essere protetto dalla vulnerabilità, è necessario verificare che tutti i controller di dominio di Windows vengano aggiornati e che l'impostazione della chiave del Registro di sistema AllowNtAuthPolicyBypass sia impostata su 2.

  • Protezioni di autenticazione Kerberos per KB5057784 CVE-2025-26647 | Applicato per impostazione predefinita Aggiornamenti rilasciato a luglio 2025 o successivamente, applicherà il controllo NTAuth Store per impostazione predefinita. L'impostazione della chiave del Registro di sistema AllowNtAuthPolicyBypass consentirà comunque ai clienti di tornare alla modalità di controllo, se necessario. Tuttavia, la possibilità di disabilitare completamente questo aggiornamento della sicurezza verrà rimossa.

  • Protezioni di autenticazione Kerberos per KB5057784 CVE-2025-26647 | Modalità di applicazione ​​​​​​​Aggiornamenti rilasciato a partire da ottobre 2025, il supporto Microsoft per la chiave del Registro di sistema AllowNtAuthPolicyBypass verrà interrotto. In questa fase, tutti i certificati devono essere rilasciati da autorità che fanno parte dell'archivio NTAuth.

  • Protezione da bypass di Avvio protetto KB5025885 | Fase di applicazione La fase di applicazione non inizierà prima di gennaio 2026 e forniremo almeno sei mesi di preavviso in questo articolo prima dell'inizio di questa fase. Quando vengono rilasciati gli aggiornamenti per la fase di applicazione, includono quanto segue:

    • Il certificato "Windows Production PCA 2011" verrà automaticamente revocato tramite l'aggiunta all'elenco DBX (Secure Boot UEFI Forbidden List) nei dispositivi compatibili. Questi aggiornamenti verranno applicati a livello di programmazione dopo l'installazione degli aggiornamenti per Windows in tutti i sistemi interessati senza alcuna opzione da disabilitare.

Altre modifiche chiave in Windows

Ogni versione del client Windows e Windows Server aggiunge nuove funzionalità e funzionalità. In alcuni casi, le nuove versioni rimuovono anche caratteristiche e funzionalità, spesso perché esiste un'opzione più recente. Vedi gli articoli seguenti per informazioni dettagliate sulle funzionalità e le funzionalità che non sono più in fase di sviluppo in Windows.

Client

Server

Ottieni le ultime notizie

Aggiungi un segnalibro al Centro messaggi di Windows per trovare facilmente gli aggiornamenti e i promemoria più recenti. Se sei un amministratore IT con accesso al interfaccia di amministrazione di Microsoft 365, configura le preferenze di Email nel interfaccia di amministrazione di Microsoft 365 per ricevere notifiche e aggiornamenti importanti.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità