Pradinė publikavimo data: 2023 m. balandžio mėn.
KB ID: 5036534
|
Keisti datą |
Aprašas |
|---|---|
|
2025 m. balandžio 8 d. |
|
|
2025 m. vasario 19 d. |
|
|
2025 m. sausio 30 d. |
|
|
2025 m. sausio 17 d. |
|
|
2024 m. kovo 10 d. |
|
Įžanga
Griežinimas yra pagrindinis mūsų vykdomos saugos strategijos elementas, padedantis apsaugoti jūsų turtą, jums susitelkiant į darbą. Vis kūrybiškos kibernetinės erškėtybės kur nors įmanoma, nuo lusto iki debesies.
Šiame straipsnyje apžvelgiamos pažeidžiamos sritys, kuriose atliekami griežinimo pakeitimai, įdiegti naudojant "Windows" saugos naujinimus. Taip pat skelbiame priminimus "Windows" pranešimų centre , kad įspėtume IT administratorius apie pagrindinių datų sustigrinimo artėjant datą.
Pastaba: Šis straipsnis laikui bėgant bus atnaujintas, kad būtų pateikta naujausia informacija apie pakeitimų ir terminų sustifravimą. Norėdami sekti naujausius keitimus, žr. skyrių Pakeitimų žurnalas .
Keitimų sustigrinimas pagal mėnesį
Peržiūrėkite informaciją apie naujausius ir būsimus sustigrinimo pakeitimus pagal mėnesį, kad būtų lengviau planuoti kiekvieną etapą ir atlikti galutinį vykdymą.
-
Saugiosios įkrovos apėjimo apsaugos KB5025885 | 1 etapas Pradinis diegimo etapas. "Windows Naujinimai", išleista 2023 m. gegužės 9 d. arba vėliau, išsprendžia CVE-2023-24932 aptartas spragas, "Windows" įkrovos komponentų pakeitimus ir du atšaukimo failus, kuriuos galima taikyti rankiniu būdu (kodo vientisumo strategija ir atnaujintas saugiosios įkrovos draudimo sąrašas (DBX)).
-
Tinklo registravimo protokolo pakeitimai KB5021130 | 3 etapas Vykdymas pagal numatytuosius nustatymus. Dalinis raktas "RequireSeal " bus perkeltas į vykdymo režimą, nebent aiškiai sukonfigūruosite, kad jis būtų suderinamumo režimu.
-
Kerberos PAC parašai KB5020805 | 3 etapas Trečiasis diegimo etapas. Pašalinama galimybė išjungti PAC parašo įtraukimą nustatant dalinį raktą KrbtgtFullPacSignature kaip reikšmę 0.
-
Tinklo registravimo protokolo pakeitimai KB5021130 | 4 etapas Galutinis vykdymas. 2023 m. liepos 11 d. išleisti "Windows" naujinimai pašalins galimybę nustatyti registro dalinio rakto RequireSeal reikšmę 1. Tai įgalina CVE-2022-38023 vykdymo etapą.
-
Kerberos PAC parašai KB5020805 | 4 etapas Pradinis vykdymo režimas. Pašalina galimybę nustatyti krbtgtFullPacSignature dalinio rakto reikšmę 1 ir perkelia į vykdymo režimą kaip numatytąjį (KrbtgtFullPacSignature = 3), kurį galite nepaisyti naudodami aiškų audito parametrą.
-
Saugiosios įkrovos apėjimo apsaugos KB5025885 | 2 etapas Antras diegimo etapas. Naujinimai, skirtą "Windows", išleistą 2023 m. liepos 11 d. arba vėliau, apima automatinį atšauktųjų failų diegimą, naujus įvykių žurnalo įvykius, skirtus pranešti, ar atšauktojo diegimo pavyko atlikti sėkmingai, ir "SafeOS" dinaminio naujinimo paketą, skirtą "WinRE".
-
Kerberos PAC parašai KB5020805 | 5 etapas
Visiško vykdymo etapas. Pašalina registro dalinio rakto KrbtgtFullPacSignature palaikymą, pašalina audito režimo palaikymą ir visi paslaugų kvitai be naujų PAC parašų bus atmestos autentifikavimo.
-
"Active Directory" (AD) teisių naujinimai KB5008383 | 5 etapas Galutinis diegimo etapas. Galutinis diegimo etapas gali prasidėti, kai baigsite veiksmus, nurodytus KB5008383 skyriuje "Imtis veiksmų". Norėdami pereiti į vykdymo režimą, vykdykite nurodymus, pateiktus skyriuje "Diegimo rekomendacijos", kad nustatytumėte 28 ir 29 bitų dSHeuristics atributą. Tada stebėkite 3044–3046 įvykius. Jie praneša, kai vykdymo režimas užblokavo LDAP įtraukimo arba modifikavimo operaciją, kuri galėjo būti anksčiau leidžiama testavimo režimu.
-
Saugiosios įkrovos apėjimo apsaugos KB5025885 | 3 etapas Trečiasis diegimo etapas. Šis etapas įtrauks papildomų įkrovos tvarkytuvo mažinimų. Šis etapas prasidės ne anksčiau kaip 2024 m. balandžio 9 d.
-
PAC tikrinimo pakeitimai KB5037754 | Suderinamumo režimo etapas
Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2024 m. balandžio 9 d. Šis naujinimas įtraukia naują veikimą, kuris neleidžia padidinti teisių spragų, aprašytų CVE-2024-26248 ir CVE-2024-29056, bet neįgalina, išskyrus atvejus, kai atnaujinami "Windows" domeno valdikliai ir "Windows" klientai aplinkoje.
Norėdami įgalinti naują veikimą ir sumažinti pažeidžiamumą, turite užtikrinti, kad būtų atnaujinta visa "Windows" aplinka (įskaitant domeno valdiklius ir klientus). Audito įvykiai bus užregistruoti, kad būtų lengviau identifikuoti neatnaujintus įrenginius.
-
Saugiosios įkrovos apėjimo apsaugos KB5025885 | 3 etapas Privalomas vykdymo etapas. Atšaukimai (kodo vientisumo paleidimo strategija ir sąrašas Saugioji įkrova neleidžiami) bus programiškai įgalinti įdiegus "Windows" naujinimus visose paveiktose sistemose, kuriose nėra išjungimo parinkties.
-
PAC tikrinimo pakeitimai KB5037754 | Vykdymas pagal numatytąjį etapą
Naujinimai išleistas 2025 m. sausio mėn. arba vėliau, visus "Windows" domeno valdiklius ir klientus aplinkoje perkels į įgalintą režimą. Šis režimas įgalins saugų veikimą pagal numatytuosius parametrus. Esami registro rakto parametrai, kurie buvo nustatyti anksčiau, pakeis šį numatytąjį veikimo būdo keitimą.
Administratorius gali nepaisyti numatytųjų įgalintų režimo parametrų, kad grąžintų suderinamumo režimą.
-
Sertifikatu pagrįstas autentifikavimo KB5014754 | 3 etapas Visiško vykdymo režimas. Jei sertifikato negalima labai susieti, autentifikavimas bus atmestas.
-
PAC tikrinimo pakeitimai KB5037754 | Vykdymo etapas "Windows" saugos naujinimai, išleisti 2025 m. balandžio mėn. arba vėliau, pašalins registro dalinių raktų PacSignatureValidationLevel ir CrossDomainFilteringLevel palaikymą ir įgalins naują saugų veikimą. Įdiegus 2025 m. balandžio mėn. naujinimą suderinamumo režimo palaikymas nebus teikiamas.
-
"Kerberos" autentifikavimo apsauga CVE-2025-26647 KB5057784 | Audito režimas Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2025 m. balandžio 8 d. Šie naujinimai įtraukti naują veikimą, kuris aptinka didesnių teisių pažeidžiamumą, aprašytą CVE-2025-26647 , bet jis nėra įgalinti. Norėdami įgalinti naują veikimą ir būti apsaugoti nuo pažeidžiamumo, turite įsitikinti, kad visi "Windows" domeno valdikliai yra atnaujinti ir AllowNtAuthPolicyBypass registro rakto parametras nustatytas į 2.
-
"Kerberos" autentifikavimo apsauga CVE-2025-26647 KB5057784 | Įgalinta pagal numatytąjį etapą Naujinimai išleistas 2025 m. liepos mėn. arba vėliau, įgalins "NTAuth" parduotuvės patikrą pagal numatytuosius parametrus. AllowNtAuthPolicyBypass registro rakto parametras vis tiek leis klientams grįžti į audito režimą, jei reikia. Tačiau galimybė visiškai išjungti šį saugos naujinimą bus pašalinta.
-
"Kerberos" autentifikavimo apsauga CVE-2025-26647 KB5057784 | Vykdymo režimas Naujinimai išleistas 2025 m. spalio mėn. arba vėliau, nutrauks "Microsoft" registro rakto AllowNtAuthPolicyBypass palaikymą. Šiame etape visus sertifikatus turi išduoti institucijos, kurios yra "NTAuth" parduotuvės dalis.
-
Saugiosios įkrovos apėjimo apsaugos KB5025885 | Vykdymo etapas Vykdymo etapas nepradės iki 2026 m. sausio mėn. Kai naujinimai bus išleisti vykdymo etapui, jie apims:
-
Sertifikatas "Windows Production PCA 2011" bus automatiškai atšauktas įtraukiant į saugiosios įkrovos UEFI draudžiamų naudoti sąrašą (DBX) palaikančiuose įrenginiuose. Šie naujinimai bus programiškai įgalinti įdiegus "Windows" naujinimus visose paveiktose sistemose be išjungimo parinkties.
-
Kiti pagrindiniai "Windows" pakeitimai
Kiekviena "Windows" kliento ir Windows Server versija suteikia naujų funkcijų. Kartais naujos versijos taip pat pašalina funkcijas ir funkcijas, dažnai dėl to, kad yra naujesnė parinktis. Daugiau informacijos apie funkcijas ir funkcijas, kurios sistemoje "Windows" nebekuriamos, žr. tolesniuose straipsniuose.
Klientas
Serveris
Gaukite paskutines naujienas
Pasižymėkite "Windows" pranešimų centrą, kad lengvai rastumėte naujausius naujinimus ir priminimus. Jei esate IT administratorius ir turite prieigą prie „Microsoft 365“ administravimo centras, nustatykite el. pašto nuostatas „Microsoft 365“ administravimo centras gauti svarbius pranešimus ir naujinimus.
