Gjelder for
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Opprinnelig publiseringsdato: 8. april 2025

KB-ID: 5057784

Endre dato

Endre beskrivelse

22. juli 2025 kl.

  • Oppdaterte avsnittet under "Registernøkkelinformasjon" i delen Registerinnstillinger og hendelseslogger.Opprinnelig tekst: Følgende registernøkkel gjør det mulig å overvåke sårbare scenarioer og deretter gjennomføre endringen når sårbare sertifikater er adressert. Registernøkkelen opprettes ikke automatisk. Virkemåten til operativsystemet når registernøkkelen ikke er konfigurert, avhenger av hvilken fase av distribusjonen den er i.Revidert tekst: Følgende registernøkkel gjør det mulig å overvåke sårbare scenarioer og deretter gjennomføre endringen når sårbare sertifikater er adressert. Registernøkkelen legges ikke til automatisk. Hvis du må endre virkemåten, må du opprette registernøkkelen manuelt og angi verdien du trenger. Vær oppmerksom på at virkemåten til operativsystemet når registernøkkelen ikke er konfigurert, avhenger av hvilken fase av distribusjonen den er i.

  • Oppdaterte kommentarene under AllowNtAuthPolicyBypass i delen Registerinnstillinger og hendelseslogger.Opprinnelig tekst:Registerinnstillingen AllowNtAuthPolicyBypass bør bare konfigureres på Windows-KDCer, for eksempel domenekontrollere som har installert Windows-oppdateringene utgitt i eller etter mai 2025.Revidert tekst:Registerinnstillingen AllowNtAuthPolicyBypass bør bare konfigureres på Windows KDCer som har installert Windows-oppdateringene utgitt i eller etter april 2025.

9. mai 2025 kl.

  • Erstattet termen «privilegert konto» med «sikkerhetskontohaver ved hjelp av sertifikatbasert godkjenning» i «Sammendrag»-delen.

  • Omordet «Aktiver»-trinnet i «Utfør handling»-delen for å tydeliggjøre bruken av påloggingssertifikater utstedt av myndigheter som er i NTAuth-lageret.Opprinnelig tekst:AKTIVER Håndhevelsesmodus når miljøet ikke lenger bruker påloggingssertifikater utstedt av myndigheter som ikke er i NTAuth-butikken.

  • I delen «8. april 2025: Innledende distribusjonsfase – overvåkingsmodus» gjorde du omfattende endringer ved å understreke at det må finnes visse betingelser før beskyttelsen som tilbys av denne oppdateringen... denne oppdateringen må brukes på alle domenekontrollere OG sørge for at påloggingssertifikater utstedt av myndighetene er i NTAuth-lageret. La til trinn for å flytte til håndhevelsesmodus og la til et unntaksnotat for å forsinke flytting når du har domenekontrollere som betjener selvsignert sertifikatbasert godkjenning som brukes i flere scenarier.Opprinnelig tekst: Hvis du vil aktivere den nye virkemåten og være sikker mot sikkerhetsproblemet, må du sørge for at alle Windows-domenekontrollere oppdateres og at registernøkkelinnstillingen AllowNtAuthPolicyBypass er satt til 2.

  • Lagt til tilleggsinnhold i «Kommentarer» i inndelingene Registernøkkelinformasjon og Overvåkingshendelser.

  • La til en Kjent problem-inndeling.

I denne artikkelen

Oppsummering

Windows-sikkerhetsoppdateringene som ble utgitt 8. april 2025, inneholder beskyttelse for et sikkerhetsproblem med Kerberos-godkjenning. Denne oppdateringen gir en endring i virkemåten når utstedelsesinstansen for sertifikatet som brukes for en sikkerhetskontohavers sertifikatbaserte godkjenning (CBA), er klarert, men ikke i NTAuth-lageret, og en tilordning av emnenøkkelidentifikator (SKI) finnes i altSecID-attributtet til sikkerhetskontohaveren ved hjelp av sertifikatbasert godkjenning. Hvis du vil vite mer om dette sikkerhetsproblemet, kan du se CVE-2025-26647.

Utfør handling

Vi anbefaler følgende fremgangsmåte for å beskytte miljøet og forhindre avbrudd:

  1. OPPDATER alle domenekontrollere med en Windows-oppdatering utgitt 8. april 2025.

  2. OVERVåk nye hendelser som vil være synlige på domenekontrollere for å identifisere berørte sertifiseringsinstanser.

  3. AKTIVERE Håndhevelsesmodus etter miljøet ditt bruker nå bare påloggingssertifikater utstedt av myndigheter som er i NTAuth-butikken.

altSecID-attributter

Tabellen nedenfor viser alle alternative sikkerhetsidentifikatorer (altSecIDs)-attributter og altSecID-er som påvirkes av denne endringen.

Liste over sertifikatattributter som kan tilordnes til altSecIDs 

AltSecID-er som krever et samsvarende sertifikat for å kjede til NTAuth-lageret

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Tidslinje for endringer

8. april 2025: Første distribusjonsfase – overvåkingsmodus

Den første distribusjonsfasen (overvåkingsmodus ) starter med oppdateringene som ble utgitt 8. april 2025. Disse oppdateringene endrer virkemåten som oppdager sikkerhetsproblemet for opphøyning av rettigheter som er beskrevet i CVE-2025-26647 , men som i utgangspunktet ikke håndhever det.

Når du er i overvåkingsmodus , blir hendelses-ID: 45 logget på domenekontrolleren når den mottar en Kerberos-godkjenningsforespørsel med et usikkert sertifikat. Godkjenningsforespørselen tillates, og det forventes ingen klientfeil.

Hvis du vil aktivere endringen i virkemåte og være sikker på sikkerhetsproblemet, må du sørge for at alle Windows-domenekontrollere oppdateres med en Windows-oppdateringsutgivelse 8. april 2025, og at registernøkkelinnstillingen AllowNtAuthPolicyBypass er satt til 2 for å konfigurere for håndhevelsesmodus .

Hvis domenekontrolleren mottar en Kerberos-godkjenningsforespørsel med et usikkert sertifikat i håndhevelsesmodus , loggfører den eldre hendelses-ID: 21 og avslår forespørselen.

Følg disse trinnene for å aktivere beskyttelsene som tilbys av denne oppdateringen:

  1. Bruk Windows-oppdateringen som ble utgitt 8. april 2025, på alle domenekontrollere i miljøet ditt. Når du har brukt oppdateringen, er AllowNtAuthPolicyBypass-innstillingen som standard satt til 1 (Overvåking), som aktiverer NTAuth-kontrollen og varselhendelsene for overvåkingsloggen.VIKTIG Hvis du ikke er klar til å fortsette å bruke beskyttelsene som tilbys av denne oppdateringen, angir du registernøkkelen til 0 for å deaktivere denne endringen midlertidig. Se avsnittet Informasjon om registernøkkel hvis du vil ha mer informasjon.

  2. Overvåk nye hendelser som vil være synlige på domenekontrollere for å identifisere berørte sertifiseringsinstanser som ikke er en del av NTAuth-butikken. Hendelses-ID-en du må overvåke, er hendelses-ID: 45. Se delen Overvåkingshendelser hvis du vil ha mer informasjon om disse hendelsene.

  3. Kontroller at alle klientsertifikater er gyldige og lenket til en klarert utstedende sertifiseringsinstans i NTAuth-lageret.

  4. Når all hendelses-ID: 45 hendelser er løst, kan du gå videre til håndhevelsesmodus . Hvis du vil gjøre dette, angir du registerverdien AllowNtAuthPolicyBypass til 2. Se avsnittet Informasjon om registernøkkel hvis du vil ha mer informasjon.Notat Vi anbefaler at du midlertidig forsinker innstillingen AllowNtAuthPolicyBypass = 2 til etter å ha brukt Windows-oppdateringen utgitt etter mai 2025 på domenekontrollere som betjener selvsignert sertifikatbasert godkjenning som brukes i flere scenarioer. Dette inkluderer domenekontrollere som Windows Hello for bedrifter key trust og fellesnøkkelgodkjenning for domenetilføyning.

Juli 2025: Håndheves av standardfase

Oppdateringer utgitt i eller etter juli 2025 vil håndheve NTAuth Store-kontrollen som standard. Registernøkkelinnstillingen AllowNtAuthPolicyBypass tillater fortsatt kunder å gå tilbake til overvåkingsmodus om nødvendig. Muligheten til å deaktivere denne sikkerhetsoppdateringen vil imidlertid bli fjernet.

Oktober 2025: Håndhevelsesmodus

Oppdateringer utgitt i eller etter oktober 2025, avvikler Microsoft-støtte for Registernøkkelen AllowNtAuthPolicyBypass. På dette stadiet må alle sertifikater utstedes av myndigheter som er en del av NTAuth Store. 

Registerinnstillinger og hendelseslogger

Informasjon om registernøkkel

Følgende registernøkkel gjør det mulig å overvåke sårbare scenarioer og deretter gjennomføre endringen når sårbare sertifikater er adressert. Registernøkkelen legges ikke til automatisk. Hvis du må endre virkemåten, må du opprette registernøkkelen manuelt og angi verdien du trenger. Vær oppmerksom på at virkemåten til operativsystemet når registernøkkelen ikke er konfigurert, avhenger av hvilken fase av distribusjonen den er i.

AllowNtAuthPolicyBypass

Registerundernøkkel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Verdi

AllowNtAuthPolicyBypass

Datatype

REG_DWORD

Verdidata

0

Deaktiverer endringen fullstendig.

1

Utfører ntauth-kontroll- og loggadvarselshendelsen som angir sertifikatet som ble utstedt av en myndighet som ikke er en del av NTAuth Store (overvåkingsmodus). (Standard virkemåte som starter i utgivelsen 8. april 2025.)

2.

Utfør NTAuth-kontrollen, og hvis den mislykkes, tillates ikke påloggingen. Logg normale hendelser (eksisterende) for en AS-REQ-feil med en feilkode som angir at NTAuth-kontrollen mislyktes (fremtvunget modus).

Kommentarer

Registerinnstillingen AllowNtAuthPolicyBypass bør bare konfigureres på Windows KDCer som har installert Windows-oppdateringene utgitt i eller etter april 2025.

Overvåkingshendelser

Hendelses-ID: 45 | Kontrollhendelse for kontroll av NT-godkjenningslager

Administratorer bør se etter følgende hendelse som er lagt til ved installasjon av Windows-oppdateringer utgitt på eller etter 8. april 2025. Hvis det finnes, betyr det at et sertifikat ble utstedt av en myndighet som ikke er en del av NTAuth-butikken.

Hendelseslogg

Loggsystem

Hendelsestype

Advarsel

Hendelseskilde

Kerberos-Key-Distribution-Center

Hendelses-ID

45

Hendelsestekst

KDC (Key Distribution Center) fant et klientsertifikat som var gyldig, men ikke lenket til en rot i NTAuth-lageret. Støtte for sertifikater som ikke kjedes til NTAuth-lageret, er avskrevet.

Støtte for sertifikater som kjedes sammen til ikke-NTAuth-butikker, er avskrevet og usikkert.Se https://go.microsoft.com/fwlink/?linkid=2300705 for å finne ut mer.

 Bruker: <Brukernavn->  Sertifikatemne: <sertifikatemne>  Sertifikatutsteder: <sertifikatutsteder>  Serienummer for sertifikat: <Cert-serienummer>  Sertifikatavtrykk: < CertThumbprint>

Kommentarer

  • Fremtidige Windows-oppdateringer vil optimalisere antall hendelse 45-er som er logget på CVE-2025-26647-beskyttede domenekontrollere.

  • Administratorer kan ignorere loggingen av Kerberos-Key-Distribution-Center-hendelse 45 under følgende omstendigheter:

    • Windows Hello for bedrifter (WHfB)-brukerpålogginger der sertifikatemnet og utstederen samsvarer med formatet: <SID>/<UID>/login.windows.net/<tenant-ID>/<bruker-UPN>

    • Kryptografi for maskin public key for initial authentication (PKINIT) pålogginger der brukeren er en datamaskinkonto (avsluttet med et etterfølgende $ tegn)), emnet og utstederen er den samme datamaskinen, og serienummeret er 01.

Hendelses-ID: 21 | Feilhendelse i AS-REQ

Når du har adressert Kerberos-Key-Distribution-Center-Event 45, indikerer loggingen av denne generiske, eldre hendelsen at klientsertifikatet fortsatt IKKE er klarert. Denne hendelsen kan logges av flere årsaker, og det ene er at et gyldig klientsertifikat IKKE er lenket til en utstedende sertifiseringsinstans i NTAuth-lageret.

Hendelseslogg

Loggsystem

Hendelsestype

Advarsel

Hendelseskilde

Kerberos-Key-Distribution-Center

Hendelses-ID

21

Hendelsestekst

Klientsertifikatet for brukeren <Domain\UserName> er ugyldig og resulterte i en mislykket smartkortpålogging.

Kontakt brukeren hvis du vil ha mer informasjon om sertifikatet de prøver å bruke for smartkortpålogging.

Kjedestatusen var: En sertifiseringskjede behandles riktig, men ett av sertifiseringsinstanssertifikatene er ikke klarert av policyleverandøren.

Kommentarer

  • En hendelses-ID: 21 som refererer til en «bruker»- eller «datamaskin»-konto, beskriver sikkerhetskontohaveren som starter Kerberos-godkjenning.

  • Windows Hello for bedrifter (WHfB)-pålogginger refererer til en brukerkonto.

  • Kryptografi for maskin fellesnøkkel for første godkjenning (PKINIT) refererer til en datamaskinkonto.

Kjent problem

Kunder rapporterte problemer med hendelses-ID: 45 og hendelses-ID: 21 utløst av sertifikatbasert godkjenning ved hjelp av selvsignerte sertifikater. Hvis du vil ha mer informasjon, kan du se det kjente problemet som er dokumentert i Windows-utgivelsestilstanden:

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter