Opprinnelig publiseringsdato: April 2023
KB-ID: 5036534
|
Endre dato |
Beskrivelse |
|---|---|
|
8. april 2025 |
|
|
19. februar 2025 kl. |
|
|
30. januar 2025 kl. |
|
|
17. januar 2025 kl. |
|
|
10. mars 2024 kl. |
|
Innføring
Herding er et viktig element i vår pågående sikkerhetsstrategi for å holde din eiendom beskyttet mens du fokuserer på jobben din. Stadig mer kreative cybertrusler retter seg mot svakheter hvor som helst mulig, fra brikken til skyen.
Denne artikkelen gjennomgår sårbare områder som gjennomgår herdingsendringer implementert via Windows-sikkerhetsoppdateringer. Vi legger også ut påminnelser i meldingssenteret i Windows for å varsle IT-administratorer om å herde viktige datoer etter hvert som de nærmer seg.
Obs!: Denne artikkelen oppdateres over tid for å gi den nyeste informasjonen om herding av endringer og tidslinjer. Se avsnittet Endre logg for å spore de siste endringene.
Herding av endringer etter måned
Se detaljene for nylige og kommende herdingsendringer etter måned for å hjelpe deg med å planlegge for hver fase og endelig håndhevelse.
-
Netlogon-protokollendringer KB5021130 | Fase 2 Første håndhevelsesfase. Fjerner muligheten til å deaktivere RPC-forsegling ved å angi verdi 0 til registerundernøkkelen RequireSeal .
-
Sertifikatbasert godkjenning KB5014754 | Fase 2 Fjerner deaktivert modus.
-
Beskyttelse mot sikker oppstartsforløp KB5025885 | Fase 1 Innledende distribusjonsfase. Windows Oppdateringer utgitt på eller etter 9 mai 2023 adresserer sårbarheter som er beskrevet i CVE-2023-24932, endringer i Windows-oppstartskomponenter og to tilbakekallingsfiler som kan brukes manuelt (en policy for kodeintegritet og en oppdatert liste over ikke-tillatte sikkerhetsoppstarter (DBX).
-
Netlogon-protokollendringer KB5021130 | Fase 3 Håndhevelse som standard. RequireSeal-undernøkkelen flyttes til håndhevelsesmodus med mindre du eksplisitt konfigurerer den til å være under kompatibilitetsmodus.
-
Kerberos PAC Signaturer KB5020805 | Fase 3 Tredje distribusjonsfase. Fjerner muligheten til å deaktivere PAC-signaturtillegg ved å angi undernøkkelen KrbtgtFullPacSignature til verdien 0.
-
Netlogon-protokollendringer KB5021130 | Fase 4 Endelig håndhevelse. Windows-oppdateringene som ble utgitt 11. juli 2023, fjerner muligheten til å sette verdi 1 til requireseal-registerundernøkkelen. Dette muliggjør håndhevelsesfasen av CVE-2022-38023.
-
Kerberos PAC Signaturer KB5020805 | Fase 4 Første håndhevelsesmodus. Fjerner muligheten til å angi verdi 1 for undernøkkelen KrbtgtFullPacSignature, og går til håndhevelsesmodus som standard (KrbtgtFullPacSignature = 3), som du kan overstyre med en eksplisitt overvåkingsinnstilling.
-
Beskyttelse mot sikker oppstartsforløp KB5025885 | Fase 2 Andre distribusjonsfase. Oppdateringer for Windows utgitt 11. juli 2023 inkluderer automatisert distribusjon av tilbakekallingsfilene, nye hendelseslogghendelser for å rapportere om tilbakekallingsdistribusjonen var vellykket, og Dynamisk oppdateringspakke for WinRE for SafeOS.
-
Kerberos PAC Signaturer KB5020805 | Fase 5
Full håndhevelsesfase. Fjerner støtte for registerundernøkkelen KrbtgtFullPacSignature, fjerner støtte for overvåkingsmodus , og alle tjenesteforespørsler uten de nye PAC-signaturene vil bli nektet godkjenning.
-
Active Directory-tillatelser (AD) oppdateres KB5008383 | Fase 5 Siste distribusjonsfase. Den endelige distribusjonsfasen kan begynne når du har fullført trinnene som er oppført i «Utfør handling»-delen av KB5008383. Hvis du vil flytte til håndhevelsesmodus , følger du instruksjonene i delen «Veiledning for distribusjon» for å angi 28. og 29. biter på dSHeuristics-attributtet . Deretter overvåker du hendelser 3044-3046. De rapporterer når håndhevelsesmodus har blokkert en LDAP-tilleggs- eller endringsoperasjon som tidligere var tillatt i overvåkingsmodus.
-
Beskyttelse mot sikker oppstartsforløp KB5025885 | Fase 3 Tredje distribusjonsfase. Denne fasen vil legge til flere begrensninger for oppstartsbehandling. Denne fasen starter ikke før 9. april 2024.
-
ENDRINGER I PAC-validering KB5037754 | Kompatibilitetsmodusfase
Den første distribusjonsfasen starter med oppdateringene som ble utgitt 9. april 2024. Denne oppdateringen legger til ny virkemåte som forhindrer sikkerhetsproblemer med rettighetsutvidelser som er beskrevet i CVE-2024-26248 og CVE-2024-29056, men som ikke håndhever den med mindre både Windows-domenekontrollere og Windows-klienter i miljøet oppdateres.
Hvis du vil aktivere den nye virkemåten og redusere sikkerhetsproblemene, må du sørge for at hele Windows-miljøet (inkludert både domenekontrollere og klienter) er oppdatert. Overvåkingshendelser logges for å identifisere enheter som ikke er oppdatert.
-
Beskyttelse mot sikker oppstartsforløp KB5025885 | Fase 3 Obligatorisk håndhevelsesfase. Tilbakekallingene (policyen for oppstart av kodeintegritet og listen over forbudte sikkerhetsoppstarter) håndheves programmatisk etter installasjon av oppdateringer for Windows til alle berørte systemer uten mulighet til å deaktiveres.
-
ENDRINGER I PAC-validering KB5037754 | Håndhevelse som standardfase
Oppdateringer utgitt i eller etter januar 2025 flytter alle Windows-domenekontrollere og -klienter i miljøet til fremtvunget modus. Denne modusen fremtvinger sikker virkemåte som standard. Eksisterende innstillinger for registernøkkel som er angitt tidligere, overstyrer denne standard virkemåteendringen.
Standardinnstillingene for fremtvunget modus kan overstyres av en administrator for å gå tilbake til kompatibilitetsmodus.
-
Sertifikatbasert godkjenning KB5014754 | Fase 3 Full håndhevelsesmodus. Hvis et sertifikat ikke kan tilordnes på det sterkeste, vil godkjenning nektes.
-
PAC-valideringsendringer KB5037754 | Håndhevelsesfase Windows-sikkerhetsoppdateringene som ble utgitt i eller etter april 2025, vil fjerne støtte for registerundernøklene PacSignatureValidationLevel og CrossDomainFilteringLevel og håndheve den nye sikre virkemåten. Det vil ikke være støtte for kompatibilitetsmodus når du har installert oppdateringen for april 2025.
-
Kerberos-godkjenningsbeskyttelse for CVE-2025-26647 KB5057784 | Overvåkingsmodus Den første distribusjonsfasen starter med oppdateringene utgitt 8. april 2025. Disse oppdateringene legger til ny virkemåte som oppdager sikkerhetsproblemet for opphøyning av rettigheter som er beskrevet i CVE-2025-26647 , men som ikke håndhever den. Hvis du vil aktivere den nye virkemåten og være sikker mot sikkerhetsproblemet, må du sørge for at alle Windows-domenekontrollere oppdateres og at registernøkkelinnstillingen AllowNtAuthPolicyBypass er satt til 2.
-
Kerberos-godkjenningsbeskyttelse for CVE-2025-26647 KB5057784 | Håndheves av standardfasen Oppdateringer utgitt i eller etter juli 2025, vil håndheve NTAuth Store-kontrollen som standard. Registernøkkelinnstillingen AllowNtAuthPolicyBypass tillater fortsatt kunder å gå tilbake til overvåkingsmodus om nødvendig. Muligheten til å deaktivere denne sikkerhetsoppdateringen vil imidlertid bli fjernet.
-
Kerberos-godkjenningsbeskyttelse for CVE-2025-26647-KB5057784 | Håndhevelsesmodus Oppdateringer utgitt i eller etter oktober 2025, avvikler Microsoft-støtte for registernøkkelen AllowNtAuthPolicyBypass. På dette stadiet må alle sertifikater utstedes av myndigheter som er en del av NTAuth Store.
-
Beskyttelse mot sikker oppstartsforløp KB5025885 | Håndhevelsesfase Håndhevelsesfasen vil ikke begynne før januar 2026, og vi vil gi minst seks måneders forhåndsvarsel i denne artikkelen før denne fasen begynner. Når oppdateringer utgis for håndhevelsesfasen, vil de inkludere følgende:
-
Sertifikatet «Windows Production PCA 2011» tilbakekalles automatisk ved å bli lagt til i UEFI Forbidden List (DBX) for sikker oppstart på kompatible enheter. Disse oppdateringene håndheves programmatisk etter installasjon av oppdateringer for Windows til alle berørte systemer uten mulighet til å deaktiveres.
-
Andre viktige endringer i Windows
Hver versjon av Windows-klienten og Windows Server legger til nye funksjoner og funksjonalitet. Noen ganger fjerner nye versjoner også funksjoner og funksjonalitet, ofte fordi det finnes et nyere alternativ. Se følgende artikler for mer informasjon om funksjonene og funksjonalitetene som ikke lenger utvikles i Windows.
Klient
Server
Få de siste nyhetene
Legg til et bokmerke i meldingssenteret i Windows for enkelt å finne de nyeste oppdateringene og påminnelsene. Hvis du er IT-administrator med tilgang til Administrasjonssenter for Microsoft 365, konfigurerer du e-postinnstillinger på Administrasjonssenter for Microsoft 365 for å motta viktige varsler og oppdateringer.
