KB5036534: naujausios "Windows" griežinimo gairės ir pagrindinės datos

Tinklo registravimo protokolo pakeitimai KB5021130 | 2

etapas Pradinis vykdymo etapas. Pašalina galimybę išjungti RPC hermetiką nustatant reikšmę 0 į RequireSeal registro dalinį raktą.

Sertifikatu pagrįstas autentifikavimo KB5014754 | 2

etapas Pašalina išjungimo režimą.

Saugiosios įkrovos apėjimo apsaugos KB5025885 | 1

etapas Pradinis diegimo etapas. "Windows Naujinimai", išleista 2023 m. gegužės 9 d. arba vėliau, išsprendžia CVE-2023-24932 aptartas spragas, "Windows" įkrovos komponentų pakeitimus ir du atšaukimo failus, kuriuos galima taikyti rankiniu būdu (kodo vientisumo strategija ir atnaujintas saugiosios įkrovos draudimo sąrašas (DBX)).

Tinklo registravimo protokolo pakeitimai KB5021130 | 3

etapas Vykdymas pagal numatytuosius nustatymus. Dalinis raktas "RequireSeal " bus perkeltas į vykdymo režimą, nebent aiškiai sukonfigūruosite, kad jis būtų suderinamumo režimu.

Kerberos PAC parašai KB5020805 | 3

etapas Trečiasis diegimo etapas. Pašalinama galimybė išjungti PAC parašo įtraukimą nustatant dalinį raktą KrbtgtFullPacSignature kaip reikšmę 0.

Tinklo registravimo protokolo pakeitimai KB5021130 | 4

etapas Galutinis vykdymas. 2023 m. liepos 11 d. išleisti "Windows" naujinimai pašalins galimybę nustatyti registro dalinio rakto RequireSeal reikšmę 1. Tai įgalina CVE-2022-38023 vykdymo etapą.

Kerberos PAC parašai KB5020805 | 4

etapas Pradinis vykdymo režimas. Pašalina galimybę nustatyti krbtgtFullPacSignature dalinio rakto reikšmę 1 ir perkelia į vykdymo režimą kaip numatytąjį (KrbtgtFullPacSignature = 3), kurį galite nepaisyti naudodami aiškų audito parametrą. 

Saugiosios įkrovos apėjimo apsaugos KB5025885 | 2

etapas Antras diegimo etapas. Naujinimai, skirtą "Windows", išleistą 2023 m. liepos 11 d. arba vėliau, apima automatinį atšauktųjų failų diegimą, naujus įvykių žurnalo įvykius, skirtus pranešti, ar atšauktojo diegimo pavyko atlikti sėkmingai, ir "SafeOS" dinaminio naujinimo paketą, skirtą "WinRE".

Kerberos PAC parašai KB5020805 | 5 etapas

Visiško vykdymo etapas. Pašalina registro dalinio rakto KrbtgtFullPacSignature palaikymą, pašalina audito režimo palaikymą ir visi paslaugų kvitai be naujų PAC parašų bus atmestos autentifikavimo.

"Active Directory" (AD) teisių naujinimai KB5008383 | 5

etapas Galutinis diegimo etapas. Galutinis diegimo etapas gali prasidėti, kai baigsite veiksmus, nurodytus KB5008383 skyriuje "Imtis veiksmų". Norėdami pereiti į vykdymo režimą, vykdykite nurodymus, pateiktus skyriuje "Diegimo rekomendacijos", kad nustatytumėte 28 ir 29 bitų dSHeuristics atributą. Tada stebėkite 3044–3046 įvykius. Jie praneša, kai vykdymo režimas užblokavo LDAP įtraukimo arba modifikavimo operaciją, kuri galėjo būti anksčiau leidžiama testavimo režimu. 

Saugiosios įkrovos apėjimo apsaugos KB5025885 | 3

etapas Trečiasis diegimo etapas. Šis etapas įtrauks papildomų įkrovos tvarkytuvo mažinimų. Šis etapas prasidės ne anksčiau kaip 2024 m. balandžio 9 d.

Saugiosios įkrovos apėjimo apsaugos KB5025885 | 3

etapas Privalomas vykdymo etapas. Atšaukimai (kodo vientisumo paleidimo strategija ir sąrašas Saugioji įkrova neleidžiami) bus programiškai įgalinti įdiegus "Windows" naujinimus visose paveiktose sistemose, kuriose nėra išjungimo parinkties.

Sertifikatu pagrįstas autentifikavimo KB5014754 | 3

etapas Visiško vykdymo režimas. Jei sertifikato negalima labai susieti, autentifikavimas bus atmestas.