Sākotnējās publicēšanas datums: 2023. gada aprīlis
KB ID: 5036534
|
Datuma maiņa |
Apraksts |
|---|---|
|
2025. gada 8. aprīlis |
|
|
2025. gada 19. februāris |
|
|
2025. gada 30. janvāris |
|
|
2025. gada 17. janvāris |
|
|
2024. gada 10. marts |
|
Ievads
Rūdīšana ir mūsu pašreizējās drošības stratēģijas pamatelements, kas palīdz aizsargāt savu īpašumu, vienlaikus koncentrējoties uz darbu. Arvien radoša kiberdraudi tiek novietoti jebkur iespējams, no mikroshēmas līdz mākonim.
Šajā rakstā ir atsauksmes par neaizsargātiem apgabaliem, kuriem tiek veiktas stingrās izmaiņas, kas ieviestas, izmantojot Windows drošības atjauninājumus. Mēs arī publicējam atgādinājumus Windows ziņojumu centrā, lai IT administratoriem brīdinātu par tuvojoties datumiem, kas darbojas grūtāk.
Piezīme.: Šis raksts laika gaitā tiks atjaunināts, lai sniegtu jaunāko informāciju par izmaiņu un laika grafiku rūcēšanu. Skatiet izmaiņu žurnāla sadaļu, lai reģistrētu jaunākās izmaiņas.
Izmaiņu rūdīšana pēc mēneša
Skatiet detalizēto informāciju par nesenajām un gaidāmajām izmaiņām, kas rūdīs katru mēnesi, lai palīdzētu plānot katru posmu un galīgo ieviešanas posmu.
-
Netlogon protokola izmaiņas KB5021130 | 2. posms Initial Enforcement phase. Noņem iespēju atspējot RPC apzīmogošanu, iestatot vērtību 0 uz reģistra apakšatslēgu RequireSeal .
-
Autentifikācija, kuras pamatā ir sertifikāti KB5014754 | 2. posms Noņem atspējošanas režīmu.
-
Droša sāknēšanas apiešanas aizsardzība KB5025885 | 1. posms Sākotnējā izvietošanas fāze. Operētājsistēma Windows Atjauninājumi, kas izlaista 2023. gada 9. maijā vai pēc tās, ir iztirzāta CVE-2023-24932, izmaiņas Windows palaišanas komponentos un divos atsaukšanas failos, kurus var lietot manuāli (koda integritātes politika un atjaunināts drošās sāknēšanas saraksts (DBX)).
-
Netlogon protokola izmaiņas KB5021130 | 3. posms Ieviešana pēc noklusējuma. Pieprasīta apakšatslēga tiks pārvietota uz ieviešanas režīmu, ja vien to nekonfigurējat saderības režīmā.
-
Kerberos PAC signatures KB5020805 | 3. posms Trešā izvietošanas fāze. Noņem iespēju atspējot PAC paraksta saskaitšanu, iestatot apakšatslēgu KrbtgtFullPacSignature uz vērtību 0.
-
Netlogon protokola izmaiņas KB5021130 | 4. posms Galīgā ieviešana. Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā, noņems iespēju iestatīt 1. vērtību uz reģistra apakšatslēgu RequireSeal. Tas iespējo CVE-2022-38023 ieviešanas posmu.
-
Kerberos PAC signatures KB5020805 | 4. posms Initial Enforcement mode. Noņem iespēju iestatīt apakšatslēgas KrbtgtFullPacSignature vērtību 1 un pāriet uz ieviešanas režīmu kā noklusējumu (KrbtgtFullPacSignature = 3), kuru varat ignorēt ar tiešu audita iestatījumu.
-
Droša sāknēšanas apiešanas aizsardzība KB5025885 | 2. posms Otrā izvietošanas posms. Atjauninājumi operētājsistēmai Windows, kas izlaista 2023. gada 11. jūlijā vai pēc tam, ietver automātisku atsaukšanas failu izvietošanu, jaunus notikumu žurnāla notikumus, lai ziņotu par atsaukšanas izvietošanu, un SafeOS dinamiskā atjauninājuma pakotni winRE.
-
Kerberos PAC signatures KB5020805 | 5. posms
Pilnīgas ieviešanas posms. Noņem atbalstu reģistra apakšatslēgai KrbtgtFullPacSignature, noņem atbalstu audita režīmam un visām pakalpojumu biļetēm bez jaunā PAC paraksta autentifikācija tiks liegta.
-
Active Directory (AD) atļauju atjauninājumi KB5008383 | 5. posms Beigu izvietošanas posms. Pēdējais izvietošanas posms var sākties, kad esat pabeidzis darbības, kas norādītas programmas KB5008383. Lai pārietu uz ieviešanas režīmu, izpildiet norādījumus sadaļā "Izvietošanas norādījumi", lai iestatītu 28. un 29. bitu vērtību dSHeuristics atribūtā . Pēc tam pārraugiet, vai nav notikumu 3044–3046. Tie ziņo, ja ieviešanas režīms ir bloķējis LDAP pievienošanas vai modificēšanas darbību, kas, iespējams, iepriekš bija atļauta audita režīmā.
-
Droša sāknēšanas apiešanas aizsardzība KB5025885 | 3. posms Trešā izvietošanas fāze. Šajā posmā tiks pievienots papildu sāknn pārvaldnieka atvieglojumus. Šis posms sāksies ne agrāk kā 2024. gada 9. aprīlī.
-
PAC validācijas izmaiņas KB5037754 | Saderības režīma fāze
Sākotnējais izvietošanas posms sākas ar 2024. gada 9. aprīlī izlaistajiem atjauninājumiem. Šajā atjauninājumā pievienota jauna darbība, kas novērš CVE-2024-26248 un CVE-2024-29056 aprakstītās privilēģiju ievainojamības, taču tās netiek ieviestas, ja vien tiek atjauninātas gan Windows domēna kontrolleri, gan Windows klienti vidē.
Lai iespējotu jauno darbību un mazinātu ievainojamību, pārliecinieties, vai tiek atjaunināta visa jūsu Windows vide (tostarp domēna kontrolleri un klienti). Audita notikumi tiks reģistrēti, lai palīdzētu identificēt ierīces, kas nav atjauninātas.
-
Droša sāknēšanas apiešanas aizsardzība KB5025885 | 3. posms Obligātas ieviešanas posms. Pēc Windows atjauninājumu instalēšanas visām ietekmētajām sistēmām tiek programmiski ieviestas atsaukšanas (koda integritātes sāknēšanas politika un saraksts Droša sāknēšana), kuru darbību nevar atspējot.
-
PAC validācijas izmaiņas KB5037754 | Ieviešana pēc noklusējuma
Atjauninājumi 2025. gada janvārī vai pēc tam, visi Windows domēna kontrolleri un klienti tiks pārvietoti vidē uz ieviesto režīmu. Šis režīms ieviesīs drošu rīcību pēc noklusējuma. Iepriekš iestatītie esošie reģistra atslēgas iestatījumi ignorēs šīs noklusējuma darbības izmaiņas.
Lai atjaunotu saderības režīmu, administrators var ignorēt noklusējuma ieviestā režīma iestatījumus.
-
PAC validācijas izmaiņas KB5037754 | Ieviešanas posms Windows drošības atjauninājumi, kas izlaisti 2025. gada aprīlī vai pēc tam, noņems atbalstu reģistra apakšatslēgām PacSignatureValidationLevel un CrossDomainFilteringLevel un ieviesīs jauno drošo darbību. Pēc 2025. gada aprīļa atjauninājuma instalēšanas saderības režīmam netiks nodrošināts atbalsts.
-
Kerberos authentication protections for CVE-2025-26647 KB5057784 | Audita režīms Sākotnējais izvietošanas posms sākas ar 2025. gada 8. aprīlī izlaistajiem atjauninājumiem. Šie atjauninājumi pievieno jaunu darbību, kas nosaka CVE-2025-26647 aprakstīto privilēģiju ievainojamību, bet neievieš to. Lai iespējotu jauno darbību un aizsargātu pret ievainojamību, pārliecinieties, vai tiek atjauninātas visas Windows domēna kontrolleri un reģistra atslēgas AllowNtAuthPolicyBypass iestatījums ir 2.
-
Kerberos authentication protections for CVE-2025-26647 KB5057784 | Ieviests pēc noklusējuma Atjauninājumi , kas izlaists 2025. gada jūlijā vai pēc jūlija, pēc noklusējuma ieviesīs NTAuth Store pārbaudi. Reģistra atslēgas AllowNtAuthPolicyBypass iestatījums joprojām ļaus klientiem pāriet atpakaļ uz audita režīmu, ja nepieciešams. Tomēr iespēja pilnībā atspējot šo drošības atjauninājumu tiks noņemta.
-
Kerberos authentication protections for CVE-2025-26647 KB5057784 | Ieviešanas režīms Atjauninājumi izlaisti 2025. gada oktobrī vai pēc tam, vairs neatbalstīs Microsoft atbalstu reģistra atslēgai AllowNtAuthPolicyBypass. Šajā posmā visi sertifikāti ir jāizsniedz iestādēm, kas ir daļa no NTAuth krātuves.
-
Droša sāknēšanas apiešanas aizsardzība KB5025885 | Ieviešanas posms Ieviešanas posms nesākas pirms 2026. gada janvāra, un mēs šajā rakstā nodrošināsim vismaz sešus mēnešus iepriekšu brīdinājumu pirms šī posma sākuma. Kad atjauninājumi tiek izlaisti ieviešanas fāzē, tie ietver:
-
Sertifikāts "Windows Production PCA 2011" tiks automātiski atsaukts, to pievienojot drošas sāknēšanas UEFI Forbidden List (DBX) ierīcēs. Šie atjauninājumi tiks programmiski ieviesti pēc windows atjauninājumu instalēšanas visām ietekmētajām sistēmām, un tos nevar atspējot.
-
Citas galvenās izmaiņas operētājsistēmā Windows
Katra Windows klienta un klienta versija Windows Server jaunus līdzekļus un funkcionalitāti. Dažkārt jaunās versijās tiek noņemti arī līdzekļi un funkcionalitāte, bieži vien tāpēc, ka pastāv jaunāka opcija. Detalizētu informāciju par līdzekļiem un funkcijām, kas vairs netiek izstrādātas operētājsistēmā Windows, skatiet tālāk norādītajos rakstos.
Klients
Serveris
Iegūstiet jaunākās ziņas
Lūdzu, pievienojiet grāmatzīmi Windows ziņojumu centram, lai viegli atrastu jaunākos atjauninājumus un atgādinājumus. Ja esat IT administrators, kas var piekļūt lietojumprogrammām Microsoft 365 administrēšanas centrs, iestatiet e-pasta preferences savā Microsoft 365 administrēšanas centrs saņemtu svarīgus paziņojumus un atjauninājumus.
