Sākotnējās publicēšanas datums: 2025. gada 29. augusts
KB ID: 5066470
Ievads
Šajā rakstā sniegta detalizēta informācija par nesenajām un gaidāmajām izmaiņām Windows 11 versijā 24H2 un Windows Server 2025, koncentrējoties uz NTLMv1 atvasinātās šifrēšanas auditēšanu un ieviešanu ar laiku. Šīs izmaiņas ir daļa no Microsoft plašākas iniciatīvas NTLM pakāpeniskai īstenošanai.
Pamatojums
Microsoft noņēma NTLMv1 protokolu (skatiet sadaļu Noņemti līdzekļi un funkcionalitāte) no Windows 11 24H2 un Windows Server 2025 un jaunākām versijām. Tomēr, lai gan NTLMv1 protokols tiek noņemts, NTLMv1 šifrēšanas vairs nav pieejami dažos scenārijos, piemēram, ja MS-CHAPv2 izmanto domēna vidē.
Credential Guard nodrošina pilnīgu NTLMv1 mantoto šifrēšanas iespēju aizsardzību un daudzu citu uzbrukuma virsmu aizsardzību, tāpēc Microsoft stingri iesaka izvietošanu un iespējošanu, ja ir izpildītas akreditācijas datu aizsardzības prasības. Gaidāmās izmaiņas ietekmē tikai tās ierīces, kurās ir atspējota akreditācijas datu aizsardzība. ja ierīcē ir iespējota Windows akreditācijas datu aizsardzība, šajā rakstā izklāstītās izmaiņas nestāsies spēkā.
Mērķis
Līdz ar NTLM novecošanu (skatiet sadaļu Novecojuši līdzekļi) un NTLMv1 protokola noņemšanu Microsoft strādā, lai pabeigtu NTLMv1 atspējošanu, atspējojot ar NTLMv1 atvasinātajiem akreditācijas datiem.
Gaidāmās izmaiņas
Šajā atjauninājumā ir iekļautas divas jaunas izmaiņas — jaunas reģistra atslēgas un jaunu notikumu žurnālu ievads. Šo izmaiņu laika grafiku skatiet sadaļā Izmaiņu izvērše .
Jauna reģistra atslēga
Tiek ieviesta jauna reģistra atslēga, ging whether whether the changes are in Audit mode or Enforce mode.
Reģistra atrašanās vieta |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
Vērtība |
BlockNtlmv1SSO |
Tips |
REG_DWORD |
Dati |
|
Jaunas auditēšanas iespējas
-
Izmantojot audita (noklusējuma) iestatījumus
Notikumu žurnāls
Microsoft-Windows-NTLM/Operational
Notikuma tips
Brīdinājums
Notikuma avots
NTLM
Notikuma ID
4024
Notikuma teksts
Auditējot mēģinājumu izmantot atvasinātos NTLMv1 akreditācijas datus vienotās pierakstīšanās izmantošanai
Mērķa serveris: <domain_name> Piegādātais lietotājs: <user_name> Nodrošinātais domēns: <domain_name> Klienta procesa PID: <process_identifier> Klienta procesa nosaukums: <process_name> Klienta procesa LUID: <locally_unique_identifier> Klienta procesa lietotāja identitāte: <user_name> Klienta procesa lietotāja identitātes domēna nosaukums: <domain_name> OID: <object_identifier> Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2321802. -
Izmantojot izpildes iestatījumus
Notikumu žurnāls
Microsoft-Windows-NTLM/Operational
Notikuma tips
Kļūda
Notikuma avots
NTLM
Notikuma ID
4025
Notikuma teksts
Mēģinājums izmantot atvasinātos NTLMv1 akreditācijas datus atsevišķas Sign-On tika bloķēts politikas dēļ.
Mērķa serveris: <domain_name> Piegādātais lietotājs: <user_name> Nodrošinātais domēns: <domain_name> Klienta procesa PID: <process_identifier> Klienta procesa nosaukums: <process_name> Klienta procesa LUID: <locally_unique_identifier> Klienta procesa lietotāja identitāte: <user_name> Klienta procesa lietotāja identitātes domēna nosaukums: <domain_name> OID: <object_identifier> Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2321802.
Papildinformāciju par citiem auditēšanas uzlabojumiem skatiet rakstā Pārskats par NTLM auditēšanas uzlabojumiem Windows 11 versijā 24H2 un Windows Server 2025.
Izmaiņu izvērše
2025. gada septembra un jaunākos atjauninājumos izmaiņas tiks pārnestas uz Windows 11 24H2 versiju un jaunākām klienta OS versijām audita režīmā. Šajā režīmā notikuma ID: 4024 tiks reģistrēts ikreiz, kad tiks izmantoti NTLMv1 atvasinātie akreditācijas dati, bet autentifikācija turpinās darboties. Rollout būs Windows Server 2025 vēlāk gadā.
2026. gada oktobrī korporācija Microsoft iestatīs blockNTLMv1SSO reģistra atslēgas noklusējuma vērtību 1 (Ieviest), nevis 0 (Audits), ja ierīcē nav izvietota reģistra atslēga BlockNTLMv1SO .
Laika grafiks
Datums |
Izmaiņas |
2025. gada augusta beigās |
Auditēšanas žurnāli NTLMv1 lietojumam iespējots Windows 11 versijā 24H2 un jaunākos klientos. |
2025. gada novembris |
Sāciet 2025. Windows Server izmaiņu izvērššanu. |
2026. gada oktobris |
Reģistra atslēgas BlockNtlmv1SSO noklusējuma vērtība tiek mainīta no audita režīma (0) uz Ieviest režīmu (1) līdz turpmākam Windows atjauninājumam, ar NTLMv1 ierobežojumiem. Šīs noklusējuma izmaiņas stājas spēkā tikai tad, ja reģistra atslēga BlockNtlmv1SO nav izvietota. |
Piezīme Šie datumi ir varbūtēji un var mainīties.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Microsoft izmanto pakāpeniskas izlaišanas metodi, lai izplatītu laidiena atjauninājumu noteiktu laika periodu, nevis visus vienlaikus. Tas nozīmē, ka lietotāji saņem atjauninājumus dažādos laikos, un tie var nebūt uzreiz pieejami visiem lietotājiem.
Atvasinātos NTLMv1 akreditācijas datus izmanto noteikti augstāka līmeņa protokoli vienotās Sign-On vajadzībām; Piemēram, Wi-Fi, Ethernet un VPN izvietojumi, izmantojot MS-CHAPv2 autentifikāciju. Līdzīgi, ja akreditācijas datu aizsardzība ir iespējota, vienotās Sign-On plūsmas šiem protokoliem nedarbojas, bet manuāla akreditācijas datu ievadīšana turpinās darboties pat izpildes režīmā. Papildinformāciju un labāko praksi skatiet rakstā Apsvērumi un zināmās problēmas, izmantojot akreditācijas datu aizsardzību.
Vienīgā līdzība starp šo atjauninājumu un akreditācijas datu aizsardzību ir aizsardzība pret lietotāja akreditācijas datiem no NTLMv1 atvasinātās šifrēšanas. Šis atjauninājums nenodrošina akreditācijas datu aizsardzības plašu un vienmērīgāko aizsardzību. Microsoft iesaka iespējot akreditācijas datu aizsardzību visās atbalstītās platformās.