Pradinė publikavimo data: 2025 m. balandžio 8 d.
KB ID: 5057784
|
Keisti datą |
Keisti aprašą |
|
2025 m. liepos 22 d. |
|
|
2025 m. gegužės 9 d. |
|
Šiame straipsnyje
Suvestinė
"Windows" saugos naujinimuose, išleistuose 2025 m. balandžio 8 d. arba vėliau, yra "Kerberos" autentifikavimo pažeidžiamumo apsaugos. Šis naujinimas pateikia veikimo pasikeitimą, kai sertifikatą, naudojamą saugos nario sertifikatu pagrįstam autentifikavimui (CBA), išdavusi institucija yra patikima, bet ne "NTAuth" saugykloje, o subjekto rakto identifikatoriaus (SKI) atvaizdavimas yra saugos nario atribute altSecID naudojant sertifikatu pagrįstą autentifikavimą. Norėdami sužinoti daugiau apie šį pažeidžiamumą, žr. CVE-2025-26647.
Imtis veiksmų
Kad apsaugotumėte savo aplinką ir išvengtumėte trikčių, rekomenduojame atlikti šiuos veiksmus:
-
Atnaujinkite visus domeno valdiklius naudodami "Windows" naujinimą, išleistą 2025 m. balandžio 8 d. arba vėliau.
-
Stebėkite naujus įvykius, kurie bus matomi domeno valdikliuose, kad nustatytumėte paveiktas sertifikavimo institucijas.
-
ĮJUNGTI Vykdymo režimas po jūsų aplinkos dabar naudoja tik "NTAuth" parduotuvėje esančių institucijų išduotus prisijungimo sertifikatus.
altSecID atributai
Šioje lentelėje išvardyti visi alternatyvūs saugos identifikatoriai (altSecIDs) atributai ir altSecIDs, kuriems šis pakeitimas daro įtaką.
|
Sertifikato atributų, kuriuos galima susieti su altSecIDs, sąrašas |
AltSecIDs, kuriems reikia atitinkančio sertifikato grandinei į "NTAuth" parduotuvę |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Pakeitimų laiko planavimo juosta
2025 m. balandžio 8 d.: pradinis diegimo etapas – audito režimas
Pradinis diegimo etapas (audito režimas) prasideda nuo naujinimų, išleistų 2025 m. balandžio 8 d. Šie naujinimai pakeičia veikimą, kuris aptinka didesnių teisių pažeidžiamumą, aprašytą CVE-2025-26647 , bet iš pradžių neįgalina.
Veikiant audito režimu, įvykio ID: 45 bus užregistruotas domeno valdiklyje, kai gaus "Kerberos" autentifikavimo užklausą su nesaugiu sertifikatu. Autentifikavimo užklausa bus leidžiama ir laukiama jokių kliento klaidų.
Norėdami įjungti veikimo būdo pasikeitimą ir būti apsaugoti nuo pažeidžiamumo, turite užtikrinti, kad visi "Windows" domeno valdikliai būtų atnaujinti "Windows Update" leidimu 2025 m. balandžio 8 d. arba vėliau, o AllowNtAuthPolicyBypass registro rakto parametras nustatytas į 2 , kad būtų sukonfigūruotas vykdymo režimas.
Veikiant vykdymo režimu, jei domeno valdiklis gauna "Kerberos" autentifikavimo užklausą su nesaugiu sertifikatu, jis užregistruos senstelėjusį įvykio ID: 21 ir atmesti užklausą.
Norėdami įjungti šio naujinimo siūlomas apsaugos priemones, atlikite šiuos veiksmus:
-
Taikykite "Windows" naujinimą, išleistą 2025 m. balandžio 8 d. arba vėliau, visiems domeno valdikliams jūsų aplinkoje. Pritaikius naujinimą, AllowNtAuthPolicyBypass parametras pagal numatytuosius parametrus nustatomas į 1 (auditas ), kuris įgalina NTAuth patikrą ir audito žurnalo įspėjimo įvykius.SVARBUS Jei nesate pasirengę toliau taikyti šiame naujinime siūlomas apsaugos priemones, nustatykite registro rakto į 0 , kad laikinai išjungtumėte šį keitimą. Daugiau informacijos žr. skyriuje Registro rakto informacija .
-
Stebėkite naujus įvykius, kurie bus matomi domeno valdikliuose, kad nustatytumėte paveiktas sertifikavimo institucijas, kurios nėra "NTAuth" saugyklos dalis. Įvykio ID, kurį turite stebėti, yra įvykio ID: 45. Daugiau informacijos apie šiuos įvykius žr. skyriuje Audito įvykiai .
-
Įsitikinkite, kad visi kliento sertifikatai yra galiojantys ir susieti su patikima sertifikavimo tarnyba "NTAuth" parduotuvėje.
-
Kai visi įvykio ID: išsprendžiami 45 įvykiai, tada galite pereiti į vykdymo režimą. Norėdami tai padaryti, nustatykite AllowNtAuthPolicyBypass registro reikšmę į 2. Daugiau informacijos žr. skyriuje Registro rakto informacija .Nata Rekomenduojame laikinai atidėti parametrą AllowNtAuthPolicyBypass = 2, kol domeno valdikliams, kurie tarnybos vartotojo pasirašomu sertifikatu pagrįstas autentifikavimas naudojamas keliuose scenarijuose, pritaikius po 2025 m. gegužės mėn. išleistą "Windows" naujinimą, rekomenduojame jį atidėti. Tai apima domeno valdiklius, kuriuos tarnyba „Windows Hello“ verslui rakto patikimumą ir prie domeno prijungtą įrenginio viešojo rakto autentifikavimą.
2025 m. liepos mėn.: vykdymas pagal numatytąjį etapą
Naujinimai, išleista 2025 m. liepos mėn. arba vėliau, įgalins "NTAuth" parduotuvės patikrą pagal numatytuosius parametrus. AllowNtAuthPolicyBypass registro rakto parametras vis tiek leis klientams grįžti į audito režimą, jei reikia. Tačiau galimybė visiškai išjungti šį saugos naujinimą bus pašalinta.
2025 m. spalio mėn.: Vykdymo režimas
Naujinimai, išleistas 2025 m. spalio mėn. arba vėliau, nutrauks "Microsoft" registro rakto AllowNtAuthPolicyBypass palaikymą. Šiame etape visus sertifikatus turi išduoti institucijos, kurios yra "NTAuth" parduotuvės dalis.
Registro parametrai ir įvykių žurnalai
Registro rakto informacija
Šis registro raktas leidžia tikrinti pažeidžiamus scenarijus ir vykdyti keitimą, kai pašalinami pažeidžiami sertifikatai. Registro raktas nėra įtraukiamas automatiškai. Jei norite pakeisti veikimo būdą, turite rankiniu būdu sukurti registro raktą ir nustatyti reikiamą reikšmę. Atkreipkite dėmesį, kad OS veikimas, kai registro raktas nesukonfigūruotas, priklausys nuo to, kuriame diegimo etape jis yra.
AllowNtAuthPolicyBypass
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Reikšmė |
AllowNtAuthPolicyBypass |
|
|
Duomenų tipas |
REG_DWORD |
|
|
Reikšmės duomenys |
0 |
Visiškai išjungia keitimą. |
|
1 |
Atlieka NTAuth patikrą ir žurnalo įspėjimo įvykį, nurodantį sertifikatą, išduotą institucijos, kuri nėra "NTAuth" saugyklos dalis (audito režimas). (Numatytasis veikimas nuo 2025 m. balandžio 8 d. leidimo.) |
|
|
2 |
Atlikite "NTAuth" patikrą ir, jei nepavyksta, įeiti neleidžiama. Registruoti įprastus (esamus) AS-REQ trikties įvykius su klaidos kodu, nurodančiu, kad nepavyko atlikti NTAuth patikros (priverstinis režimas). |
|
|
Komentarai |
Registro parametrą AllowNtAuthPolicyBypass reikia konfigūruoti tik "Windows" KDC, kuriuose įdiegti "Windows" naujinimai, išleisti 2025 m. balandžio mėn. arba vėliau. |
|
Audito įvykiai
Įvykio ID: 45 | NT autentifikavimo parduotuvės tikrinimo audito įvykis
Administratoriai turėtų stebėti šį įvykį, įtrauktą įdiegus "Windows" naujinimus, išleistus 2025 m. balandžio 8 d. arba vėliau. Jei jis yra, tai reiškia, kad sertifikatą išdavė institucija, kuri nėra "NTAuth" parduotuvės dalis.
|
Įvykių žurnalas |
Žurnalų sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kerberos-key-distribution-center |
|
Įvykio ID |
45 |
|
Įvykio tekstas |
Rakto paskirstymo centre (KDC) aptiktas kliento sertifikatas, kuris buvo galiojantis, bet nesusietas su šakniniu katalogu NTAuth saugykloje. Sertifikatų, kurie nėra susieti su "NTAuth" parduotuve, palaikymas nebenaudojamas. Sertifikatų, susiejančių su ne "NTAuth" parduotuvėmis, palaikymas yra nebenaudojamas ir nesaugus.Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2300705 . Vartotojas: <UserName> Sertifikato tema: <sertifikato temos> Sertifikato išdavėjas: <sertifikato išdavėjas> Sertifikato serijos numeris: <sertifikato serijos numeris> Sertifikato nykščio atspaudas: < CertThumbprint> |
|
Komentarai |
|
Įvykio ID: 21 | AS-REQ trikties įvykis
Išsprendus Kerberos-Key-Distribution-Center 45 įvykį, šio bendrojo senstelėjusio įvykio registravimas nurodo, kad kliento sertifikatas vis dar nepatikimas. Šis įvykis gali būti užregistruotas dėl kelių priežasčių, viena iš jų yra ta, kad galiojantis kliento sertifikatas NĖRA susietas su "Issuing CA" "NTAuth" parduotuvėje.
|
Įvykių žurnalas |
Žurnalų sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kerberos-key-distribution-center |
|
Įvykio ID |
21 |
|
Įvykio tekstas |
Vartotojo kliento sertifikatas <Domain\UserName> negalioja, todėl nepavyko prisijungti prie intelektualiosios kortelės. Norėdami gauti daugiau informacijos apie sertifikatą, kurį jis bando naudoti intelektualiosios kortelės prisijungimui, kreipkitės į vartotoją. Grandinės būsena: tinkamai apdorota sertifikavimo grandinė, tačiau strategijos teikėjas nepatikimas vienu iš CA sertifikatų. |
|
Komentarai |
|
Žinoma problema
Klientai pranešė apie įvykio ID problemas: 45 ir įvykio ID: 21, kurį suaktyvino sertifikatu pagrįstas autentifikavimas naudojant vartotojo pasirašomus sertifikatus. Norėdami pamatyti daugiau informacijos, žr. žinomą problemą, dokumentuotą "Windows" leidimo sveikatai:
-
Windows Server 2025: Prisijungimas gali nepavykti naudojant Windows Hello rakto patikimumo režimu ir registruoti Kerberos įvykius
-
Windows Server 2022: Logon gali nepavykti dėl Windows Hello rakto patikimumo režimu ir registruoti Kerberos įvykiai
-
Windows Server 2019: Prisijungimas gali nepavykti naudojant Windows Hello rakto patikimumo režimu ir registruoti Kerberos įvykius
-
Windows Server 2016: Prisijungimas gali nepavykti naudojant Windows Hello rakto patikimumo režimu ir registruoti Kerberos įvykius
