Attiecas uz
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 8. aprīlis

KB ID: 5057784

Datuma maiņa

Apraksta maiņa

2025. gada 22. jūlijs

  • Atjaunināja rindkopu sadaļā "Reģistra atslēgas informācija" sadaļā "Reģistra iestatījumi un notikumu žurnāli".Sākotnējais teksts: Tālāk sniegtā reģistra atslēga ļauj auditēt neaizsargātus scenārijus un pēc tam veikt izmaiņu spiešanu pēc neaizsargātu sertifikātu adresēšanas. Reģistra atslēga netiks izveidota automātiski. Darbība OS gadījumā, ja reģistra atslēga ir nekonfigurēta, ir atkarīga no izvietošanas posma.Pārskatītais teksts: Tālāk sniegtā reģistra atslēga ļauj auditēt neaizsargātus scenārijus un pēc tam veikt izmaiņu spiešanu pēc neaizsargātu sertifikātu adresēšanas. Reģistra atslēga netiek pievienota automātiski. Ja vēlaties mainīt darbību, jums manuāli jāizveido reģistra atslēga un jāiestata vērtība. Ņemiet vērā, ka darbība, kad reģistra atslēga ir nekonfigurēta, ir atkarīga no izvietošanas posma.

  • Atjaunināja komentārus sadaļā "AllowNtAuthPolicyBypass" sadaļā "Reģistra iestatījumi un notikumu žurnāli".Sākotnējais teksts: Reģistra iestatījums AllowNtAuthPolicyBypass ir jākonfigurē tikai Windows KDC, piemēram, domēna kontrolleros, kas instalējuši Windows atjauninājumus, kas izlaisti 2025. gada maijā vai pēc tam.Pārskatītais teksts: Reģistra iestatījums AllowNtAuthPolicyBypass ir jākonfigurē tikai Windows KDC, kas instalējuši Windows atjauninājumus, kas izlaisti 2025. gada aprīlī vai pēc tam.

2025. gada 9. maijs

  • Sadaļā "Kopsavilkums" aizstāts termins "priviliģēts konts" ar "drošības pamatsumma, izmantojot autentifikāciju, kuras pamatā ir sertifikāts".

  • Pārvārdīja darbību "Iespējot" sadaļā "Veikt darbību", lai precizētu izmantot pieteikšanās sertifikātus, ko izsniedz iestādes, kas atrodas NTAuth krātuvē.Sākotnējais teksts:IESPĒJOT ieviešanas režīmu, ja jūsu vide vairs nelieto pieteikšanās sertifikātus, ko izsniedz iestādes, kas nav NTAuth krātuvē.

  • Sadaļā "2025. gada 8. aprīlis: sākotnējā izvietošanas posms — audita režīms" veicāt būtiskas izmaiņas, izceļot, ka ir jāpastāv noteiktiem nosacījumiem, pirms iespējojiet šajā atjauninājumā piedāvāto aizsardzību... šis atjauninājums ir jālieto visiem domēnu kontrolleriem UN pārliecinieties, vai iestādes izdotie pieteikšanās sertifikāti atrodas NTAuth krātuvē. Pievienotas darbības, lai pārietu uz ieviešanas režīmu, un pievienota izņēmuma piezīme, lai aizkavētu pārvietošanu, ja jums ir domēna kontrolleri, kuru pakalpojuma pašparakstīto autentifikāciju izmanto vairākos scenārijos.Sākotnējais teksts: Lai iespējotu jauno darbību un aizsargātu pret ievainojamību, pārliecinieties, vai tiek atjauninātas visas Windows domēna kontrolleri un reģistra atslēgas AllowNtAuthPolicyBypass iestatījums ir 2.

  • Pievienots papildu saturs sadaļas "Reģistra atslēgas informācija" un "Audita notikumi" "Komentāri".

  • Pievienota sadaļa "Zināma problēma".

Šajā rakstā

Kopsavilkums

Windows drošības atjauninājumi, kas izlaisti 2025. gada 8. aprīlī vai pēc tam, satur aizsardzību ievainojamībai ar Kerberos autentifikāciju. Šis atjauninājums nodrošina darbības izmaiņas, ja sertifikāta, kas tiek izmantots drošības pamatautentizācijai (Certificate-based authentication — CBA), izsniegšanas iestāde ir uzticama, bet ne NTAuth veikalā, un tēmas atslēgas identifikatora (SKI) kartēšana atrodas drošības pamatnosauka atribūtā altSecID, izmantojot sertifikāta autentifikāciju. Lai uzzinātu vairāk par šo ievainojamību, skatiet CVE-2025-26647.

Rīcība

Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām veikt tālāk norādītās darbības.

  1. ATJAUNINIET visas domēna kontrollerus, izmantojot Windows atjauninājumu, kas izlaists 2025. gada 8. aprīlī vai pēc tam.

  2. PĀRRAUGIET jaunos notikumus, kas būs redzami domēnu kontrolleros, lai identificētu ietekmētās sertificēšanas iestādes.

  3. IESPĒJOT Ieviešanas režīms pēc jūsu vides tagad izmanto tikai pieteikšanās sertifikātus, ko izsniedz iestādes, kas atrodas NTAuth krātuvē.

altSecID atribūti

Tālāk sniegtajā tabulā ir uzskaitīti visi alternatīvie drošības identifikatori (altSecIDs) atribūti un altSecID, kurus ietekmē šīs izmaiņas.

List of Certificate attributes that could be mapped to altSecIDs 

AltSecIDs, kam nepieciešams atbilstošs sertifikāts saķēdē uz NTAuth krātuvi

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Izmaiņu laika grafiks

2025. gada 8. aprīlis: sākotnējā izvietošanas fāze — audita režīms

Sākotnējā izvietošanas fāze (audita režīms) sākas ar 2025. gada 8. aprīlī izlaistajiem atjauninājumiem. Šie atjauninājumi maina darbību, kas nosaka CVE-2025-26647 aprakstīto privilēģiju ievainojamības pacēlumu, bet sākotnēji tas netiek ieviests.

Audita režīmānotikuma ID: domēna kontrollerī tiek reģistrēts 45, kad tiek saņemts Kerberos autentifikācijas pieprasījums ar nedrošu sertifikātu. Autentifikācijas pieprasījums tiks atļauts, un nav paredzama klienta kļūda.

Lai iespējotu darbības izmaiņas un būtu drošs no ievainojamības, nodrošiniet, lai visas Windows domēna kontrolleri tiktu atjaunināti ar Windows atjaunināšanas laidienu 2025. gada 8. aprīlī vai pēc tam, un reģistra atslēgas iestatījums AllowNtAuthPolicyBypass ir iestatīts uz 2, lai konfigurētu ieviešanas režīmu.

Kad esat ieviešanas režīmā, ja domēna kontrolleris saņem Kerberos autentifikācijas pieprasījumu ar nedrošu sertifikātu, tas reģistrēs mantoto notikuma ID: 21 un noraidīs pieprasījumu.

Lai ieslēgtu šajā atjauninājumā nodrošinātos aizsardzībus, veiciet tālāk norādītās darbības.

  1. Lietojiet Windows atjauninājumu, kas izlaists 2025. gada 8. aprīlī vai pēc tam, visām domēna kontrolleriem jūsu vidē. Pēc atjauninājuma lietošanas iestatījums AllowNtAuthPolicyBypass tiek noklusējums 1 (Audit ), kas iespējo NTAuth pārbaudi un audita žurnāla brīdinājuma notikumus.SVARĪGS Ja neesat gatavs turpināt lietot šajā atjauninājumā piedāvātos aizsardzībus, iestatiet reģistra atslēgu uz 0 , lai īslaicīgi atspējotu šīs izmaiņas. Papildinformāciju skatiet sadaļā Reģistra atslēgas informācija.

  2. Pārraugiet jaunos notikumus, kas būs redzami domēna kontrolleros, lai identificētu ietekmētās sertificēšanas iestādes, kas nav daļa no NTAuth krātuves. Notikuma ID, kas jāpārrauga, ir notikuma ID: 45. Papildinformāciju par šiem notikumiem skatiet sadaļā Audita notikumi.

  3. Nodrošiniet, lai visi klienta sertifikāti būtu derīgi un saķēdēti līdz uzticamai izdevējam CA NTAuth krātuvē.

  4. Pēc tam , kad visi notikuma ID: 45 notikumi ir atrisināti, varat pāriet uz ieviešanas režīmu. Lai to izdarītu, reģistra vērtībai AllowNtAuthPolicyBypass iestatiet vērtību 2. Papildinformāciju skatiet sadaļā Reģistra atslēgas informācija.Piezīme Ieteicams īslaicīgi aizkavēt iestatījuma AllowNtAuthPolicyBypass = 2 laiku, līdz tiek lietots Windows atjauninājums, kas izlaists pēc 2025. gada maija domēna kontrolleriem, kuru pakalpojuma pašparakstītā autentifikācija tiek izmantota vairākos scenārijos. Tas attiecas arī uz domēnu kontrolleriem, Windows Hello darbam nepieciešama atslēgas uzticamība un ar domēnu savienotā ierīces publiskās atslēgas autentifikācija.

2025. gada jūlijs: ieviests pēc noklusējuma

Atjauninājumi 2025. gada jūlijā vai pēc jūlija, pēc noklusējuma tiks ieviesta NTAuth Store pārbaude. Reģistra atslēgas AllowNtAuthPolicyBypass iestatījums joprojām ļaus klientiem pāriet atpakaļ uz audita režīmu, ja nepieciešams. Tomēr iespēja pilnībā atspējot šo drošības atjauninājumu tiks noņemta.

2025. gada oktobra: ieviešanas režīms

Atjauninājumi izlaisti 2025. gada oktobrī vai pēc tam, vairs neatbalstīs Microsoft atbalstu reģistra atslēgai AllowNtAuthPolicyBypass. Šajā posmā visi sertifikāti ir jāizsniedz iestādēm, kas ir daļa no NTAuth krātuves. 

Reģistra iestatījumi un notikumu žurnāli

Reģistra atslēgas informācija

Tālāk sniegtā reģistra atslēga ļauj auditēt neaizsargātus scenārijus un pēc tam veikt izmaiņu spiešanu pēc neaizsargātu sertifikātu adresēšanas. Reģistra atslēga netiek pievienota automātiski. Ja vēlaties mainīt darbību, jums manuāli jāizveido reģistra atslēga un jāiestata vērtība. Ņemiet vērā, ka darbība, kad reģistra atslēga ir nekonfigurēta, ir atkarīga no izvietošanas posma.

AllowNtAuthPolicyBypass

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vērtība

AllowNtAuthPolicyBypass

Datu tips

REG_DWORD

Vērtības dati

0

Izmaiņas tiek atspējotas pilnībā.

1

Veic NTAuth pārbaudes un žurnāla brīdinājuma notikumu, kas norāda sertifikātu, ko izdevusi iestāde, kas nav daļa no NTAuth krātuves (audita režīms). (Noklusējuma darbība, sākot ar 2025. gada 8. aprīļa laidienu.)

2

Veiciet NTAuth pārbaudi un, ja neizdodas, pieteikšanās nav atļauta. Reģistrēt parastus notikumus (esošos) AS-REQ kļūmei ar kļūdas kodu, kas norāda NTAuth pārbaudi neizdevās (ieviestais režīms).

Komentāri

Reģistra iestatījums AllowNtAuthPolicyBypass ir jākonfigurē tikai Windows KDC, kas instalējuši Windows atjauninājumus, kas izlaisti 2025. gada aprīlī vai pēc tam.

Auditēšanas notikumi

Notikuma ID: 45 | NT Auth veikala pārbaudes audita notikums

Administratoriem vajadzētu skatīties, vai nav pievienots šāds notikums Windows atjauninājumu instalācijai, kas izlaista 2025. gada 8. aprīlī vai pēc tam. Ja tas pastāv, tas nozīmē, ka sertifikātu ir izdevusi iestāde, kas nav daļa no NTAuth krātuves.

Notikumu žurnāls

Žurnāla sistēma

Notikuma tips

Brīdinājums

Notikuma avots

Kerberos-key-Distribution-Center

Notikuma ID

45

Notikuma teksts

Atslēgas adresātu centrā (KDC) radās klienta sertifikāts, kas bija derīgs, taču nav saķēdēts ar sakni NTAuth krātuvē. Atbalsts sertifikātiem, kas netiek saķēdēti ar NTAuth krātuvi, ir novecojis.

Atbalsts sertifikātu ķēdei uz ne NTAuth krātuvēm ir novecojis un nedrošs.Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2300705 skatiet šeit.

 Lietotājs: <UserName>  Sertifikāta tēma: <Cert subject>  Sertifikāta izdevējs: <Cert>  Sertifikāta sērijas numurs: <Cert sērijas numurs>  Sertifikāta thumbprint: < CertThumbprint>

Komentāri

  • Turpmākie Windows atjauninājumi optimizēs notikumu 45, kas reģistrēti CVE-2025-26647, aizsargāto domēnu kontrolleru skaitu.

  • Administratori var ignorēt Kerberos-Key-Distribution-Center notikuma 45 reģistrēšanu šādos gadījumos:

    • Windows Hello darbam (WHfB) lietotāju pieteikšanās, kur sertifikātu tēma un izdevējs atbilst formātam: <SID>/<UID>/login.windows.net/<nomnieka ID>/<lietotāja UPN>

    • Datora publiskās atslēgas šifrēšanas sākotnējās autentifikācijas (PKINIT) pieteikšanās gadījumiem, kad lietotājs ir datora konts (to pārtrauc ar noslēdzošo rakstzīmi $), tēma un izdevējs ir tas pats dators un sērijas numurs ir 01.

Notikuma ID: 21 | AS-REQ kļūmes notikums

Pēc Kerberos-key-Key-Distribution-Center notikuma 45 adresēšanas šī vispārējā mantotā notikuma reģistrēšana norāda, ka klienta sertifikāts joprojām nav uzticams. Šis notikums var tikt reģistrēts vairāku iemeslu dēļ, no kuriem viens ir tas, ka derīgs klienta sertifikāts NAV saķēdēts ar izsniegšanas CA NTAuth krātuvē.

Notikumu žurnāls

Žurnāla sistēma

Notikuma tips

Brīdinājums

Notikuma avots

Kerberos-key-Distribution-Center

Notikuma ID

21

Notikuma teksts

Klienta sertifikāts lietotājam, kurš izmanto<Domain\UserName> , nav derīgs, tāpēc radās nesekmīga viedkartes pieteikšanās.

Lai iegūtu papildinformāciju par sertifikātu, ko lietotājs mēģina izmantot viedkartes pieteikšanās izmantošanai, sazinieties ar lietotāju.

Ķēdes statuss bija: sertificēšanas ķēde tika pareizi apstrādāta, bet politikas nodrošinātājs neuzticas vienam no CA sertifikātiem.

Komentāri

  • Notikuma ID: 21, kas atsaucas uz lietotāja vai datora kontu, apraksta drošības identitāti, uzsācot Kerberos autentifikāciju.

  • Windows Hello darbam (WHfB) pieteikšanās tiks atsauce uz lietotāja kontu.

  • Datora publiskās atslēgas šifrēšana sākotnējai autentifikācijai (PKINIT) atsaucas uz datora kontu.

Zināma problēma

Klienti ziņoja par problēmām ar notikuma ID: 45 un notikuma ID: 21, ko aktivizē autentifikācija, kuras pamatā ir sertifikāts, izmantojot pašparakstītus sertifikātus. Lai skatītu papildinformāciju, skatiet zināmo problēmu, kas dokumentēta Windows laidiena darbspējā:

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs