Pradinė publikavimo data: 2025 m. rugpjūčio 29 d.
KB ID: 5066470
Įžanga
Šiame straipsnyje išsamiai apžvilgiami naujausi ir būsimi Windows 11 24H2 ir Windows Server 2025 versijų pakeitimai, sutelkiant dėmesį į auditą ir galimą NTLMv1 išvestinių kriptografijos blokavimą. Šie pakeitimai yra "Microsoft" platesnės iniciatyvos palaipsniui atsisakyti NTLM dalis.
Fonas
"Microsoft" pašalino NTLMv1 protokolą (žr. Pašalintos funkcijos) iš Windows 11 24H2 versijos ir Windows Server 2025" ir naujesnių versijų. Tačiau NTLMv1 protokolas pašalinamas, NTLMv1 kriptografijos likučiai vis dar yra kai kuriuose scenarijuose, pvz., naudojant MS-CHAPv2 prie domeno prijungtame aplinkoje.
"Credential Guard" suteikia visišką "NTLMv1" senstelėjusios kriptografijos ir daugelio kitų atakų paviršių apsaugą, todėl "Microsoft" primygtinai rekomenduoja diegti ir įgalinti, jei "Credential Guard" reikalavimai yra įvykdyti. Būsimi pakeitimai turi įtakos tik įrenginiams, kuriuose išjungta kredencialų apsauga; jei įrenginyje įjungta "Windows Credential Guard", šiame straipsnyje nurodyti pakeitimai įsigalios.
Tikslas
Panaikinus NTLM (žr. Nebenaudojamos funkcijos) ir pašalinus NTLMv1 protokolą, "Microsoft" stengiasi užbaigti NTLMv1 išjungimą išjungdama naudodama NTLMv1 išvestus kredencialus.
Būsimi pakeitimai
Į šį naujinimą įtraukti du nauji pakeitimai, naujo registro rakto ir naujų įvykių žurnalų įvedimas. Jei reikia šių pakeitimų laiko planavimo juostos, žr. skyrių Keitimų diegimas .
Naujas registro raktas
Įvedamas naujas registro raktas, nurodantis, ar pakeitimai atliekami testavimo režimu, ar įgalinimo režimu.
|
Registro vieta |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Reikšmė |
BlockNtlmv1SSO |
|
Tipas |
REG_DWORD |
|
Duomenys |
|
Naujos audito galimybės
-
Naudojant audito (numatytuosius) parametrus
Įvykių žurnalas
Microsoft-Windows-NTLM/Operational
Įvykio tipas
Įspėjimas
Įvykio šaltinis
NTLM
Įvykio ID
4024
Įvykio tekstas
Bandymo naudoti NTLMv1 išvestus bendrosios autentifikacijos kredencialus tikrinimas Paskirties serveris: <domain_name> Pateiktas vartotojas: <user_name> Pateiktas domenas: <domain_name> Kliento proceso PID: <process_identifier> Kliento proceso pavadinimas: <process_name> Kliento proceso LUID: <locally_unique_identifier> Kliento proceso vartotojo tapatybė: <user_name> Kliento proceso vartotojo tapatybės domeno vardas: <domain_name> Mechanizmas OID: <object_identifier> Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2321802.
-
Naudojant Įgalinti parametrus
Įvykių žurnalas
Microsoft-Windows-NTLM/Operational
Įvykio tipas
Klaida
Įvykio šaltinis
NTLM
Įvykio ID
4025
Įvykio tekstas
Bandymas naudoti NTLMv1 išvestus vieno Sign-On kredencialus buvo užblokuotas dėl strategijos.Paskirties serveris: <domain_name> Pateiktas vartotojas: <user_name> Pateiktas domenas: <domain_name> Kliento proceso PID: <process_identifier> Kliento proceso pavadinimas: <process_name> Kliento proceso LUID: <locally_unique_identifier> Kliento proceso vartotojo tapatybė: <user_name> Kliento proceso vartotojo tapatybės domeno vardas: <domain_name> Mechanizmas OID: <object_identifier> Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2321802.
Daugiau informacijos apie kitus audito patobulinimus žr. NTLM audito patobulinimų apžvalga Windows 11 24H2 versijoje ir 2025 Windows Server.
Keitimų diegimas
2025 m. rugsėjo mėn. ir vėlesniuose naujinimuose pakeitimai bus pateikti į Windows 11 24H2 versiją ir naujesnę kliento OS audito režimu. Šiuo režimu įvykio ID: 4024 bus registruojamas, kai naudojami NTLMv1 išvestiniai kredencialai, bet autentifikavimas veiks ir toliau. Diegimas bus Windows Server 2025 m. vėliau.
2026 m. spalio mėn. "Microsoft" nustatys numatytąją BlockNTLMv1SSO registro rakto reikšmę į 1 (Įgalinti), o ne 0 (auditas), jei BlockNTLMv1SSO registro raktas nebuvo įdiegtas įrenginyje.
Laiko planavimo juosta
|
Data |
Pakeitimas |
|
2025 m. rugpjūčio mėn. pabaigoje |
NTLMv1 naudojimo tikrinimo žurnalai įgalinti Windows 11 24H2 versijoje ir naujesnėse kliento programose. |
|
2025 m. lapkričio mėn. |
Pradėkite Windows Server 2025" keitimų diegimą. |
|
2026 m. spalio mėn. |
BlockNtlmv1SSO registro rakto numatytoji reikšmė pakeičiama iš audito režimo (0) į įgalinimo režimą (1) per būsimą "Windows" naujinimą, stiprinant NTLMv1 apribojimus. Šis numatytųjų parametrų keitimas įsigalioja tik jei neįdiegtas BlockNtlmv1SSO registro raktas. |
Pastaba Šios datos yra preliminarios ir gali būti keičiamos.
Dažnai užduodami klausimai (DUK)
"Microsoft" naudoja palaipsniui diegiamą metodą, kad išplatintų leidimo naujinimą per tam tikrą laikotarpį, o ne visus iš karto. Tai reiškia, kad vartotojai gauna naujinimus skirtingu laiku ir gali būti iš karto pasiekiami ne visiems vartotojams.
NTLMv1 išvestinius kredencialus naudoja tam tikri aukštesnio lygio protokolai vienos Sign-On tikslais; Pavyzdžiui, "Wi-Fi", eterneto ir VPN diegimai naudojant MS-CHAPv2 autentifikavimą. Panašiai kaip įjungus "Credential Guard", vieno Sign-On srautai šiuose protokoluose neveiks, bet rankiniu būdu įvedant kredencialus ir toliau veiks net įgalinimo režimu. Daugiau informacijos ir geriausios praktikos žr. "Credential Guard" naudojimo aspektai ir žinomos problemos.
Vienintelis šio naujinimo ir "Credential Guard" panašumas yra apsauga nuo vartotojo kredencialų iš NTLMv1 išvestos kriptografijos. Šis naujinimas neteikia plačios ir patikimos "Credential Guard" apsaugos; "Microsoft" rekomenduoja įgalinti "Credential Guard" visose palaikomose platformose.
