Meest recente richtlijnen voor windows-beveiliging en belangrijke datums

Wijzigingen in Netlogon-protocol KB5021130 | Fase 2

Initiële afdwingingsfase. Hiermee verwijdert u de mogelijkheid om RPC-afdichting uit te schakelen door de waarde 0 in te stellen op de registersubsleutel RequireSeal .

Verificatie op basis van certificaten KB5014754 | Fase 2

Hiermee verwijdert u de uitgeschakelde modus.

Beveiliging tegen overslaan van beveiligd opstarten KB5025885 | Fase 1

Initiële implementatiefase. Windows Updates uitgebracht op of na 9 mei 2023 aanpakken beveiligingsproblemen die worden besproken in CVE-2023-24932, wijzigingen in Windows-opstartonderdelen en twee intrekkingsbestanden die handmatig kunnen worden toegepast (een beleid voor code-integriteit en een bijgewerkte lijst met niet-toestaan voor beveiligd opstarten (DBX)).

Wijzigingen in Netlogon-protocol KB5021130 | Fase 3

Standaard afdwingen. RequireSeal-subsleutel wordt verplaatst naar de afdwingingsmodus, tenzij u deze expliciet configureert voor compatibiliteitsmodus.

Kerberos PAC Signatures KB5020805 | Fase 3

Derde implementatiefase. Hiermee verwijdert u de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen door de subsleutel KrbtgtFullPacSignature in te stellen op een waarde van 0.

Wijzigingen in Netlogon-protocol KB5021130 | Fase 4

Definitieve afdwinging. De Windows-updates die zijn uitgebracht op 11 juli 2023, zullen de mogelijkheid om waarde 1 in te stellen op de registersubsleutel RequireSeal verwijderen. Hierdoor wordt de afdwingingsfase van CVE-2022-38023 ingeschakeld.

Kerberos PAC Signatures KB5020805 | Fase 4

Initiële afdwingingsmodus. Hiermee verwijdert u de mogelijkheid om de waarde 1 in te stellen voor de subsleutel KrbtgtFullPacSignature en gaat u over naar de afdwingingsmodus als standaard (KrbtgtFullPacSignature = 3), die u kunt overschrijven met een expliciete controle-instelling. 

Beveiliging tegen overslaan van beveiligd opstarten KB5025885 | Fase 2

Tweede implementatiefase. Updates voor Windows die op of na 11 juli 2023 zijn uitgebracht, zijn geautomatiseerde implementatie van de intrekkingsbestanden, nieuwe gebeurtenislogboekgebeurtenissen om te melden of de intrekkingsimplementatie is geslaagd en het SafeOS Dynamic Update-pakket voor WinRE.

Kerberos PAC Signatures KB5020805 | Fase 5

Volledige afdwingingsfase. Hiermee wordt de ondersteuning voor de registersubsleutel KrbtgtFullPacSignature verwijderd, wordt de ondersteuning voor de auditmodus verwijderd en alle servicetickets zonder de nieuwe PAC-handtekeningen worden verificatie geweigerd.

Active Directory-machtigingen (AD) worden bijgewerkt KB5008383 | Fase 5

Laatste implementatiefase. De laatste implementatiefase kan beginnen zodra u de stappen hebt voltooid die worden vermeld in de sectie Actie ondernemen van KB5008383. Als u naar de afdwingingsmodus wilt gaan, volgt u de instructies in de sectie Implementatierichtlijnen om de 28e en 29e bits in te stellen op het kenmerk dSHeuristics . Controleer vervolgens op gebeurtenissen 3044-3046. Ze melden wanneer de afdwingingsmodus een LDAP-bewerking voor toevoegen of wijzigen heeft geblokkeerd die mogelijk eerder was toegestaan in de controlemodus . 

Beveiliging tegen overslaan van beveiligd opstarten KB5025885 | Fase 3

Derde implementatiefase. In deze fase worden extra oplossingen voor opstartbeheer toegevoegd. Deze fase start niet eerder dan 9 april 2024.

Wijzigingen in PAC-validatie KB5037754 | Compatibiliteitsmodusfase

De eerste implementatiefase begint met de updates die zijn uitgebracht op 9 april 2024. Deze update voegt nieuw gedrag toe dat misbruik van bevoegdheden voorkomt, zoals beschreven in CVE-2024-26248 en CVE-2024-29056, maar dwingt dit niet af, tenzij zowel Windows-domeincontrollers als Windows-clients in de omgeving worden bijgewerkt.

Om het nieuwe gedrag in te schakelen en de beveiligingsproblemen te verhelpen, moet u ervoor zorgen dat uw volledige Windows-omgeving (inclusief domeincontrollers en clients) wordt bijgewerkt. Controlegebeurtenissen worden vastgelegd om apparaten te identificeren die niet zijn bijgewerkt.

Beveiliging tegen overslaan van beveiligd opstarten KB5025885 | Fase 3

Verplichte afdwingingsfase. De intrekkingen (Code Integrity Boot policy en Secure Boot disalallow list) worden programmatisch afgedwongen na het installeren van updates voor Windows op alle betrokken systemen zonder optie om te worden uitgeschakeld.

Wijzigingen in PAC-validatie KB5037754 | Standaardfase afdwingen

Updates uitgebracht in of na januari 2025, worden alle Windows-domeincontrollers en -clients in de omgeving verplaatst naar de modus Afgedwongen. Deze modus dwingt standaard veilig gedrag af. Bestaande registersleutelinstellingen die eerder zijn ingesteld, overschrijven deze standaardgedragswijziging.

De standaardinstellingen voor de afgedwongen modus kunnen door een beheerder worden overschreven om terug te keren naar de compatibiliteitsmodus.

Verificatie op basis van certificaten KB5014754 | Fase 3

Volledige afdwingingsmodus. Als een certificaat niet sterk kan worden toegewezen, wordt verificatie geweigerd.

WIJZIGINGEN in PAC-validatie KB5037754 | Afdwingingsfase

De Windows-beveiligingsupdates die in of na april 2025 zijn uitgebracht, zullen de ondersteuning voor de registersubsleutels PacSignatureValidationLevel en CrossDomainFilteringLevel verwijderen en het nieuwe veilige gedrag afdwingen. Er is geen ondersteuning voor de compatibiliteitsmodus na de installatie van de update van april 2025.

Kerberos-verificatiebeveiligingen voor CVE-2025-26647 KB5057784 | Controlemodus

De eerste implementatiefase begint met de updates die zijn uitgebracht op 8 april 2025. Deze updates voegen nieuw gedrag toe dat het beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden detecteert dat wordt beschreven in CVE-2025-26647 , maar dit niet afdwingt. Als u het nieuwe gedrag wilt inschakelen en beveiligd wilt zijn tegen het beveiligingsprobleem, moet u ervoor zorgen dat alle Windows-domeincontrollers zijn bijgewerkt en dat de registersleutelinstelling AllowNtAuthPolicyBypass is ingesteld op 2.

Kerberos-verificatiebeveiligingen voor CVE-2025-26647 KB5057784 | De standaardfase

afgedwongen Updates uitgebracht in of na juli 2025, dwingt standaard de controle van het NTAuth Store af. Met de registersleutelinstelling AllowNtAuthPolicyBypass kunnen klanten nog steeds zo nodig teruggaan naar de controlemodus. De mogelijkheid om deze beveiligingsupdate volledig uit te schakelen, wordt echter verwijderd.

Kerberos-verificatiebeveiligingen voor CVE-2025-26647 KB5057784 | Afdwingingsmodus

​​​​​​​Updates uitgebracht in of na oktober 2025, wordt de microsoft-ondersteuning voor de registersleutel AllowNtAuthPolicyBypass stopgezet. In deze fase moeten alle certificaten worden uitgegeven door instanties die deel uitmaken van het NTAuth-archief.

Beveiliging tegen overslaan van beveiligd opstarten KB5025885 | Afdwingingsfase

De afdwingingsfase begint niet vóór januari 2026 en we geven ten minste zes maanden van tevoren een waarschuwing in dit artikel voordat deze fase begint. Wanneer updates worden uitgebracht voor de afdwingingsfase, bevatten deze het volgende:

• Het certificaat 'Windows Production PCA 2011' wordt automatisch ingetrokken door te worden toegevoegd aan de Secure Boot UEFI Forbidden List (DBX) op compatibele apparaten. Deze updates worden programmatisch afgedwongen na het installeren van updates voor Windows op alle betrokken systemen zonder optie om uit te schakelen.