Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Sākotnējās publicēšanas datums: 2023. gada aprīlis

KB ID: 5036534

Datuma maiņa

Apraksta maiņa

2025. gada 17. janvāris

Pievienojās 2024. gada aprīļa, 2025. gada janvāra un 2025. gada aprīļa ierakstus zem sadaļas "Izmaiņu rūdīšana pēc mēneša".

2024. gada 10. marts

Pārskatīts mēneša laika grafika ar vairāk nosavotu saistīto saturu un noņēma 2024. gada februāra ierakstu no laika grafika, jo tas nav grūtāk saistīts.

Ievads

Rūdīšana ir mūsu pašreizējās drošības stratēģijas pamatelements, kas palīdz aizsargāt savu īpašumu, vienlaikus koncentrējoties uz darbu. Arvien radoša kiberdraudi tiek novietoti jebkur iespējams, no mikroshēmas līdz mākonim. Vai esat redzējis mūsu publikācijas par rūcēšanu Windows ziņojumu centrā? Daži no nesen ieviestajiem ir DCOM autentifikācijas rūdīšana un Netjoin: domēna savienojuma rūcēšana. Pārskatsim neaizsargātus apgabalus, kuriem nākamo mēnešu laikā ir veiktas rūcības.

Piezīme.: Šis raksts laika gaitā tiks atjaunināts, lai sniegtu jaunāko informāciju par izmaiņu un laika grafiku rūcēšanu. Pēdējoreiz atjaunināts: 2024. gada 10. marts

Izmaiņu rūcēšana acu uzmetienā

Pārskatiet vizuālo laika grafiku, lai koncentrētos uz konkrētām izmaiņām, kas jūs varētu interesēt. Atrodiet detalizētu informāciju par katru tālāko posmu. 

Izmaiņu rūdīšana 2023. gadā

Figure 1: Vizuāls laika grafiks ar rūdīgu izmaiņu veikšanu 2023. gadā.

Izmaiņu rūdīšana 2024. gadā

Figure 2:  2024. gadā tiek veikts vizuāls rūdīgu izmaiņu laika grafiks.

Izmaiņu rūdīšana pēc mēneša

Skatiet detalizētu informāciju par gaidāmajām izmaiņu rūdēm pa mēnesi, lai palīdzētu plānot katru posmu un galīgo ieviešanas posmu.

  • Netlogon protokola izmaiņas KB5021130 | 2. posms Initial Enforcement phase. Noņem iespēju atspējot RPC apzīmogošanu, iestatot vērtību 0 uz reģistra apakšatslēgu RequireSeal .

  • Autentifikācija, kuras pamatā ir sertifikāti KB5014754 | 2. posms Noņem atspējošanas režīmu.

  • Droša sāknēšanas apiešanas aizsardzība KB5025885 | 1. posms Sākotnējā izvietošanas fāze. Operētājsistēma Windows Atjauninājumi, kas izlaista 2023. gada 9. maijā vai pēc tās, ir iztirzāta CVE-2023-24932, izmaiņas Windows palaišanas komponentos un divos atsaukšanas failos, kurus var lietot manuāli (koda integritātes politika un atjaunināts drošās sāknēšanas saraksts (DBX)).

  • Netlogon protokola izmaiņas KB5021130 | 3. posms Ieviešana pēc noklusējuma. Pieprasīta apakšatslēga tiks pārvietota uz ieviešanas režīmu, ja vien to nekonfigurējat saderības režīmā.

  • Kerberos PAC signatures KB5020805 | 3. posms Trešā izvietošanas fāze. Noņem iespēju atspējot PAC paraksta saskaitšanu, iestatot apakšatslēgu KrbtgtFullPacSignature uz vērtību 0.

  • Netlogon protokola izmaiņas KB5021130 | 4. posms Galīgā ieviešana. Windows atjauninājumi, kas izlaisti 2023. gada 11. jūlijā, noņems iespēju iestatīt 1. vērtību uz reģistra apakšatslēgu RequireSeal. Tas iespējo CVE-2022-38023 ieviešanas posmu.

  • Kerberos PAC signatures KB5020805 | 4. posms Initial Enforcement mode. Noņem iespēju iestatīt apakšatslēgas KrbtgtFullPacSignature vērtību 1 un pāriet uz ieviešanas režīmu kā noklusējumu (KrbtgtFullPacSignature = 3), kuru varat ignorēt ar tiešu audita iestatījumu. 

  • Droša sāknēšanas apiešanas aizsardzība KB5025885 | 2. posms Otrā izvietošanas posms. Atjauninājumi operētājsistēmai Windows, kas izlaista 2023. gada 11. jūlijā vai pēc tam, ietver automātisku atsaukšanas failu izvietošanu, jaunus notikumu žurnāla notikumus, lai ziņotu par atsaukšanas izvietošanu, un SafeOS dinamiskā atjauninājuma pakotni winRE.

  • Kerberos PAC signatures KB5020805 | 5. posms

    Pilnīgas ieviešanas posms. Noņem atbalstu reģistra apakšatslēgai KrbtgtFullPacSignature, noņem atbalstu audita režīmam un visām pakalpojumu biļetēm bez jaunā PAC paraksta autentifikācija tiks liegta.

  • Active Directory (AD) atļauju atjauninājumi KB5008383 | 5. posms Beigu izvietošanas posms. Pēdējais izvietošanas posms var sākties, kad esat pabeidzis darbības, kas norādītas programmas KB5008383. Lai pārietu uz ieviešanas režīmu, izpildiet norādījumus sadaļā "Izvietošanas norādījumi", lai iestatītu 28. un 29. bitu vērtību dSHeuristics atribūtā . Pēc tam pārraugiet, vai nav notikumu 3044–3046. Tie ziņo, ja ieviešanas režīms ir bloķējis LDAP pievienošanas vai modificēšanas darbību, kas, iespējams, iepriekš bija atļauta audita režīmā. 

  • Droša sāknēšanas apiešanas aizsardzība KB5025885 | 3. posms Trešā izvietošanas fāze. Šajā posmā tiks pievienots papildu sāknn pārvaldnieka atvieglojumus. Šis posms sāksies ne agrāk kā 2024. gada 9. aprīlī.

  • PAC validācijas izmaiņas KB5037754 | Saderības režīma fāze

    Sākotnējais izvietošanas posms sākas ar 2024. gada 9. aprīlī izlaistajiem atjauninājumiem. Šajā atjauninājumā pievienota jauna darbība, kas novērš CVE-2024-26248 un CVE-2024-29056 aprakstītās privilēģiju ievainojamības, taču tās netiek ieviestas, ja vien tiek atjauninātas gan Windows domēna kontrolleri, gan Windows klienti vidē.

    Lai iespējotu jauno darbību un mazinātu ievainojamību, pārliecinieties, vai tiek atjaunināta visa jūsu Windows vide (tostarp domēna kontrolleri un klienti). Audita notikumi tiks reģistrēti, lai palīdzētu identificēt ierīces, kas nav atjauninātas.

  • Droša sāknēšanas apiešanas aizsardzība KB5025885 | 3. posms Obligātas ieviešanas posms. Pēc Windows atjauninājumu instalēšanas visām ietekmētajām sistēmām tiek programmiski ieviestas atsaukšanas (koda integritātes sāknēšanas politika un saraksts Droša sāknēšana), kuru darbību nevar atspējot.

  • PAC validācijas izmaiņas KB5037754 | Ieviešana pēc noklusējuma

    Atjauninājumi 2025. gada janvārī vai pēc tam, visi Windows domēna kontrolleri un klienti tiks pārvietoti vidē uz ieviesto režīmu. Šis režīms ieviesīs drošu rīcību pēc noklusējuma. Iepriekš iestatītie esošie reģistra atslēgas iestatījumi ignorēs šīs noklusējuma darbības izmaiņas.

    Lai atjaunotu saderības režīmu, administrators var ignorēt noklusējuma ieviestā režīma iestatījumus.

  • Autentifikācijas, kuras pamatā ir sertifikāti KB5014754 | 3. posms Pilnekrāna režīms. Ja sertifikātu nevar stingri kartēt, autentifikācija tiks liegta.

  • PAC validācijas izmaiņas KB5037754 | Ieviešanas posms Windows drošības atjauninājumi, kas izlaisti 2025. gada aprīlī vai pēc tam, noņems atbalstu reģistra apakšatslēgām PacSignatureValidationLevel un CrossDomainFilteringLevel un ieviesīs jauno drošo darbību. Pēc 2025. gada aprīļa atjauninājuma instalēšanas saderības režīmam netiks nodrošināts atbalsts.

Iegūstiet jaunākās ziņas

Lūdzu, pievienojiet grāmatzīmi Windows ziņojumu centram, lai viegli atrastu jaunākos atjauninājumus un atgādinājumus. Ja esat IT administrators, kas var piekļūt lietojumprogrammām Microsoft 365 administrēšanas centrs, iestatiet e-pasta preferences savā Microsoft 365 administrēšanas centrs saņemtu svarīgus paziņojumus un atjauninājumus.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.