Data di pubblicazione originale: 8 aprile 2025
ID KB: 5057784
|
Modifica data |
Modificare la descrizione |
|
22 luglio 2025 |
|
|
9 maggio 2025 |
|
Contenuto dell'articolo
Riassunto
Gli aggiornamenti della sicurezza di Windows rilasciati dopo l'8 aprile 2025 incluso contengono protezioni per una vulnerabilità con l'autenticazione Kerberos. Questo aggiornamento fornisce una modifica del comportamento quando l'autorità emittente del certificato utilizzato per l'autenticazione basata su certificato (CBA) di un'entità di sicurezza è attendibile, ma non nell'archivio NTAuth, ed è presente un mapping SKI (Subject Key Identifier) nell'attributo altSecID dell'entità di sicurezza tramite l'autenticazione basata su certificato. Per ulteriori informazioni su questa vulnerabilità, vedi CVE-2025-26647.
Agire
Per proteggere l'ambiente e prevenire interruzioni, è consigliabile eseguire le operazioni seguenti:
-
AGGIORNA tutti i controller di dominio con un aggiornamento di Windows rilasciato dopo l'8 aprile 2025 incluso.
-
MONITORARE i nuovi eventi che saranno visibili nei controller di dominio per identificare le autorità di certificazione interessate.
-
ABILITARE Modalità di applicazione dopo che l'ambiente usa ora solo certificati di accesso emessi da autorità dell'archivio NTAuth.
Attributi altSecID
La tabella seguente elenca tutti gli attributi AltSecIDs (Alternative Security Identifiers) e gli altSecIDs interessati da questa modifica.
|
Elenco di attributi certificato che è possibile mappare ad altSecIDs |
AltSecID che richiedono un certificato corrispondente per la concatenazione all'archivio NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Sequenza temporale delle modifiche
8 aprile 2025: fase di distribuzione iniziale - modalità di controllo
La fase di distribuzione iniziale (modalità di controllo ) inizia con gli aggiornamenti rilasciati l'8 aprile 2025. Questi aggiornamenti modificano il comportamento che rileva la vulnerabilità nell'elevazione dei privilegi descritta in CVE-2025-26647 , ma inizialmente non la applicano.
In modalità di controllo , l'ID evento: 45 verrà registrato sul controller di dominio quando riceve una richiesta di autenticazione Kerberos con un certificato non sicuro. La richiesta di autenticazione sarà consentita e non sono previsti errori client.
Per abilitare la modifica del comportamento ed essere sicuri dalla vulnerabilità, è necessario verificare che tutti i controller di dominio di Windows siano aggiornati con una versione di Windows Update in data 8 aprile 2025 o successiva e che l'impostazione della chiave del Registro di sistema AllowNtAuthPolicyBypass sia impostata su 2 per la configurazione per la modalità di applicazione .
In modalità di applicazione , se il controller di dominio riceve una richiesta di autenticazione Kerberos con un certificato non sicuro, registrerà l'ID evento legacy: 21 e negherà la richiesta.
Per attivare le protezioni offerte da questo aggiornamento, segui questi passaggi:
-
Applicare l'aggiornamento di Windows rilasciato dopo l'8 aprile 2025 incluso a tutti i controller di dominio nell'ambiente. Dopo aver applicato l'aggiornamento, l'impostazione AllowNtAuthPolicyBypass viene predefinita su 1 (Audit) che abilita il controllo NTAuth e gli eventi di avviso del log di controllo.IMPORTANTE Se non si è pronti ad applicare le protezioni offerte da questo aggiornamento, impostare la chiave del Registro di sistema su 0 per disabilitare temporaneamente questa modifica. Per altre informazioni, vedere la sezione Informazioni sulla chiave del Registro di sistema .
-
Monitorare i nuovi eventi che saranno visibili nei controller di dominio per identificare le autorità di certificazione interessate che non fanno parte dell'archivio NTAuth. L'ID evento da monitorare è ID evento: 45. Per altre informazioni su questi eventi, vedere la sezione Eventi di controllo.
-
Verificare che tutti i certificati client siano validi e concatenato a un'autorità di certificazione attendibile nell'archivio NTAuth.
-
Dopo aver risolto tutti gli ID evento: 45 eventi, è possibile passare alla modalità di applicazione . A questo scopo, impostare il valore del Registro di sistema AllowNtAuthPolicyBypass su 2. Per altre informazioni, vedere la sezione Informazioni sulla chiave del Registro di sistema .Nota È consigliabile posticipare temporaneamente l'impostazione allowNtAuthPolicyBypass = 2 dopo l'applicazione dell'aggiornamento di Windows rilasciato dopo maggio 2025 ai controller di dominio che service self-signed certificate-based authentication used in multiple scenarios. Sono inclusi i controller di dominio che service Windows Hello for Business Key Trust e Domain-joined Device Public Key Authentication.
Luglio 2025: applicato per impostazione predefinita
Aggiornamenti rilasciato a luglio 2025 o successivamente, applicherà il controllo NTAuth Store per impostazione predefinita. L'impostazione della chiave del Registro di sistema AllowNtAuthPolicyBypass consentirà comunque ai clienti di tornare alla modalità di controllo , se necessario. Tuttavia, la possibilità di disabilitare completamente questo aggiornamento della sicurezza verrà rimossa.
Ottobre 2025: modalità di applicazione della legge
Aggiornamenti rilasciato a partire da ottobre 2025 interromperà il supporto Microsoft per la chiave del Registro di sistema AllowNtAuthPolicyBypass. In questa fase, tutti i certificati devono essere rilasciati da autorità che fanno parte dell'archivio NTAuth.
Impostazioni del Registro di sistema e registri eventi
Informazioni sulla chiave del Registro di sistema
La chiave del Registro di sistema seguente consente di controllare gli scenari vulnerabili e quindi di applicare la modifica una volta risolti i certificati vulnerabili. La chiave del Registro di sistema non viene aggiunta automaticamente. Se è necessario modificare il comportamento, è necessario creare manualmente la chiave del Registro di sistema e impostare il valore necessario. Si noti che il comportamento del sistema operativo quando la chiave del Registro di sistema non è configurata dipenderà dalla fase di distribuzione in cui si trova.
AllowNtAuthPolicyBypass
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Valore |
AllowNtAuthPolicyBypass |
|
|
Tipo di dati |
REG_DWORD |
|
|
Dati valore |
0 |
Disabilita completamente la modifica. |
|
1 |
Esegue l'evento di controllo e di avviso di log NTAuth che indica il certificato emesso da un'autorità che non fa parte dell'archivio NTAuth (modalità di controllo). (Il comportamento predefinito inizia con il rilascio dell'8 aprile 2025). |
|
|
2 |
Eseguire il controllo NTAuth e, se non riesce, non consentire l'accesso. Registrare gli eventi normali (esistenti) per un errore AS-REQ con un codice di errore che indica che il controllo NTAuth non è riuscito (modalità applicata ). |
|
|
Commenti |
L'impostazione del Registro di sistema AllowNtAuthPolicyBypass deve essere configurata solo nei pc KDC Windows che hanno installato gli aggiornamenti di Windows rilasciati in aprile 2025 o successivamente. |
|
Eventi di controllo
ID evento: 45 | NT Auth Store Check Audit Event
Gli amministratori devono watch per l'evento seguente aggiunto dall'installazione degli aggiornamenti di Windows rilasciati l'8 aprile 2025 o successivamente. Se esiste, implica che un certificato è stato emesso da un'autorità che non fa parte dell'archivio NTAuth.
|
Registro eventi |
Sistema di registrazione |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Centro di distribuzione Con tasti Kerberos |
|
ID evento |
45 |
|
Testo evento |
Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato client valido ma non concatenato a una radice nell'archivio NTAuth. Il supporto per i certificati che non sono collegati all'archivio NTAuth è deprecato. Il supporto per i certificati concatenato a archivi non NTAuth è deprecato e non sicuro.Per altre informazioni , vedi https://go.microsoft.com/fwlink/?linkid=2300705 . Utente: <> UserName Certificato Oggetto: <> soggetto CERT Autorità di certificazione:><Cert Issuer Numero di serie del certificato: <numero di serie del certificato> Identificazione personale certificato: < CertThumbprint> |
|
Commenti |
|
ID evento: 21 | AS-REQ Failure Event
Dopo aver indirizzato l'evento 45 di Kerberos-Key-Distribution-Center, la registrazione di questo evento legacy generico indica che il certificato client NON è ancora attendibile. Questo evento può essere registrato per diversi motivi, uno dei quali è che un certificato client valido NON è concatenato a una CA emittente nell'archivio NTAuth.
|
Registro eventi |
Sistema di registrazione |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Centro di distribuzione Con tasti Kerberos |
|
ID evento |
21 |
|
Testo evento |
Il certificato client per l'utente <Domain\UserName> non è valido e ha generato un accesso con smart card non riuscito. Contattare l'utente per altre informazioni sul certificato che sta tentando di usare per l'accesso con smart card. Lo stato della catena era : una catena di certificazione è stata elaborata correttamente, ma uno dei certificati CA non è considerato attendibile dal provider di criteri. |
|
Commenti |
|
Problema noto
I clienti hanno segnalato problemi relativi all'ID evento: 45 e ID evento: 21 attivato dall'autenticazione basata su certificato tramite certificati autofirmti. Per ulteriori informazioni, fai riferimento al problema noto documentato sull'integrità delle versioni di Windows:
-
Windows Server 2025:L'accesso potrebbe non riuscire con Windows Hello in modalità di attendibilità chiave e registrare gli eventi Kerberos
-
Windows Server 2022: L'accesso potrebbe non riuscire con Windows Hello in modalità di attendibilità chiave e registrare gli eventi Kerberos
-
Windows Server 2019: L'accesso potrebbe non riuscire con Windows Hello in modalità di attendibilità chiave e registrare gli eventi Kerberos
-
Windows Server 2016: L'accesso potrebbe non riuscire con Windows Hello in modalità di attendibilità chiave e registrare gli eventi Kerberos
