Attiecas uz
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 29. augusts

KB ID: 5066470

Ievads

Šajā rakstā sniegta detalizēta informācija par nesenajām un gaidāmajām izmaiņām Windows 11 versijā 24H2 un Windows Server 2025, koncentrējoties uz NTLMv1 atvasinātās šifrēšanas auditēšanu un ieviešanu ar laiku. Šīs izmaiņas ir daļa no Microsoft plašākas iniciatīvas NTLM pakāpeniskai īstenošanai.

Pamatojums

Microsoft noņēma NTLMv1 protokolu (skatiet sadaļu Noņemti līdzekļi un funkcionalitāte) no Windows 11 24H2 un Windows Server 2025 un jaunākām versijām. Tomēr, lai gan NTLMv1 protokols tiek noņemts, NTLMv1 šifrēšanas vairs nav pieejami dažos scenārijos, piemēram, ja MS-CHAPv2 izmanto domēna vidē.

Credential Guard nodrošina pilnīgu NTLMv1 mantoto šifrēšanas iespēju aizsardzību un daudzu citu uzbrukuma virsmu aizsardzību, tāpēc Microsoft stingri iesaka izvietošanu un iespējošanu, ja ir izpildītas akreditācijas datu aizsardzības prasības. Gaidāmās izmaiņas ietekmē tikai tās ierīces, kurās ir atspējota akreditācijas datu aizsardzība. ja ierīcē ir iespējota Windows akreditācijas datu aizsardzība, šajā rakstā izklāstītās izmaiņas nestāsies spēkā.

Mērķis

Līdz ar NTLM novecošanu (skatiet sadaļu Novecojuši līdzekļi) un NTLMv1 protokola noņemšanu Microsoft strādā, lai pabeigtu NTLMv1 atspējošanu, atspējojot ar NTLMv1 atvasinātajiem akreditācijas datiem.

Gaidāmās izmaiņas

Šajā atjauninājumā ir iekļautas divas jaunas izmaiņas — jaunas reģistra atslēgas un jaunu notikumu žurnālu ievads. Šo izmaiņu laika grafiku skatiet sadaļā Izmaiņu izvērše .

Jauna reģistra atslēga

Tiek ieviesta jauna reģistra atslēga, ging whether whether the changes are in Audit mode or Enforce mode.

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Vērtība

BlockNtlmv1SSO

Tips

REG_DWORD

Dati

  • 0 (noklusējums) — pieprasījums ģenerēt NTLMv1 akreditācijas datus reģistrētam lietotājam tiek auditēts, taču ir atļauts izdodas. Brīdinājuma notikumi tiek ģenerēti. Šis iestatījums tiek dēvēts arī par audita režīmu.

  • 1 . Tiek bloķēts pieprasījums ģenerēt NTLMv1 akreditācijas datus reģistrētam lietotājam. Tiek ģenerēti kļūdu notikumi. Šis iestatījums tiek dēvēts arī par izpildes režīmu.

Jaunas auditēšanas iespējas

  • Izmantojot audita (noklusējuma) iestatījumus

    Notikumu žurnāls

    Microsoft-Windows-NTLM/Operational

    Notikuma tips

    Brīdinājums

    Notikuma avots

    NTLM

    Notikuma ID

    4024

    Notikuma teksts

    Auditējot mēģinājumu izmantot atvasinātos NTLMv1 akreditācijas datus vienotās pierakstīšanās izmantošanai Mērķa serveris: <domain_name> Piegādātais lietotājs: <user_name> Nodrošinātais domēns: <domain_name> Klienta procesa PID: <process_identifier> Klienta procesa nosaukums: <process_name> Klienta procesa LUID: <locally_unique_identifier> Klienta procesa lietotāja identitāte: <user_name> Klienta procesa lietotāja identitātes domēna nosaukums: <domain_name> OID: <object_identifier> Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2321802.

  • Izmantojot izpildes iestatījumus

    Notikumu žurnāls

    Microsoft-Windows-NTLM/Operational

    Notikuma tips

    Kļūda

    Notikuma avots

    NTLM

    Notikuma ID

    4025

    Notikuma teksts

    Mēģinājums izmantot atvasinātos NTLMv1 akreditācijas datus atsevišķas Sign-On tika bloķēts politikas dēļ.Mērķa serveris: <domain_name> Piegādātais lietotājs: <user_name> Nodrošinātais domēns: <domain_name> Klienta procesa PID: <process_identifier> Klienta procesa nosaukums: <process_name> Klienta procesa LUID: <locally_unique_identifier> Klienta procesa lietotāja identitāte: <user_name> Klienta procesa lietotāja identitātes domēna nosaukums: <domain_name> OID: <object_identifier> Papildinformāciju skatiet rakstā https://go.microsoft.com/fwlink/?linkid=2321802.

Papildinformāciju par citiem auditēšanas uzlabojumiem skatiet rakstā Pārskats par NTLM auditēšanas uzlabojumiem Windows 11 versijā 24H2 un Windows Server 2025.

Izmaiņu izvērše

2025. gada septembra un jaunākos atjauninājumos izmaiņas tiks pārnestas uz Windows 11 24H2 versiju un jaunākām klienta OS versijām audita režīmā. Šajā režīmā notikuma ID: 4024 tiks reģistrēts ikreiz, kad tiks izmantoti NTLMv1 atvasinātie akreditācijas dati, bet autentifikācija turpinās darboties. Rollout būs Windows Server 2025 vēlāk gadā.

2026. gada oktobrī korporācija Microsoft iestatīs blockNTLMv1SSO reģistra atslēgas noklusējuma vērtību 1 (Ieviest), nevis 0 (Audits), ja ierīcē nav izvietota reģistra atslēga BlockNTLMv1SO .

Laika grafiks

Datums

Izmaiņas

2025. gada augusta beigās

Auditēšanas žurnāli NTLMv1 lietojumam iespējots Windows 11 versijā 24H2 un jaunākos klientos.

2025. gada novembris

Sāciet 2025. Windows Server izmaiņu izvērššanu.

2026. gada oktobris

Reģistra atslēgas BlockNtlmv1SSO noklusējuma vērtība tiek mainīta no audita režīma (0) uz Ieviest režīmu (1) līdz turpmākam Windows atjauninājumam, ar NTLMv1 ierobežojumiem. Šīs noklusējuma izmaiņas stājas spēkā tikai tad, ja reģistra atslēga BlockNtlmv1SO nav izvietota.

Piezīme Šie datumi ir varbūtēji un var mainīties.

Bieži uzdotie jautājumi (bieži uzdotie jautājumi)

Microsoft izmanto pakāpeniskas izlaišanas metodi, lai izplatītu laidiena atjauninājumu noteiktu laika periodu, nevis visus vienlaikus. Tas nozīmē, ka lietotāji saņem atjauninājumus dažādos laikos, un tie var nebūt uzreiz pieejami visiem lietotājiem.

Atvasinātos NTLMv1 akreditācijas datus izmanto noteikti augstāka līmeņa protokoli vienotās Sign-On vajadzībām; Piemēram, Wi-Fi, Ethernet un VPN izvietojumi, izmantojot MS-CHAPv2 autentifikāciju. Līdzīgi, ja akreditācijas datu aizsardzība ir iespējota, vienotās Sign-On plūsmas šiem protokoliem nedarbojas, bet manuāla akreditācijas datu ievadīšana turpinās darboties pat izpildes režīmā. Papildinformāciju un labāko praksi skatiet rakstā Apsvērumi un zināmās problēmas, izmantojot akreditācijas datu aizsardzību.

Vienīgā līdzība starp šo atjauninājumu un akreditācijas datu aizsardzību ir aizsardzība pret lietotāja akreditācijas datiem no NTLMv1 atvasinātās šifrēšanas. Šis atjauninājums nenodrošina akreditācijas datu aizsardzības plašu un vienmērīgāko aizsardzību. Microsoft iesaka iespējot akreditācijas datu aizsardzību visās atbalstītās platformās.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.