Oryginalna data publikacji: Kwiecień 2023 r.
Identyfikator BAZY WIEDZY: 5036534
Zmień datę |
Zmień opis |
---|---|
17 stycznia 2025 r. |
Dodano wpisy z kwietnia 2024, stycznia 2025 r. i kwietnia 2025 r. w sekcji "Zaostrzanie zmian według miesiąca". |
10 marca 2024 r. |
Poprawiono miesięczną oś czasu, dodając bardziej zaostrzającą zawartość pokrewne, i usunięto wpis z lutego 2024 r. z osi czasu, ponieważ nie był on bardziej powiązany. |
Wprowadzenie
Hartowanie jest kluczowym elementem naszej bieżącej strategii bezpieczeństwa, która pomaga chronić Twoją posiadłość, gdy skupiasz się na swojej pracy. Coraz bardziej kreatywne cyberoszerości celują w słabości wszędzie, gdzie to możliwe, od mikroukładu po chmurę. Widziałeś(-aś) nasze publikacje na temat udoskonalania w Centrum wiadomości systemu Windows? Niektóre z tych ostatnio wymuszone obejmują zaostrzenie uwierzytelniania DCOM i Netjoin: zaostrzenie sprzężenia domeny. Przejrzyjmy wrażliwe obszary, które w nadchodzących miesiącach ulegają zaostrzeniu.
Uwaga: Ten artykuł będzie z czasem aktualizowany w celu dostarczenia najnowszych informacji na temat zaostrzania zmian i harmonogramów. Ostatnia aktualizacja: 10 marca 2024 r.
Rzut oka na zaostrzanie zmian
Przejrzyj wizualną oś czasu, aby skupić się na konkretnych zmianach, które Cię interesują. Poniżej znajdziesz szczegółowe informacje o poszczególnych fazach.
Rysunek 1. Wizualna oś czasu zmian zaostrzających, które zajdą w 2023 r.
Rysunek 2. Wizualna oś czasu zaostrzania zmian, które zajdą w 2024 r.
Zaostrzanie zmian według miesiąca
Zapoznaj się ze szczegółami wszystkich nadchodzących zmian zaostrzania o miesiąc, aby ułatwić planowanie każdej fazy i ostatecznego wymuszania.
-
Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 1 Początkowa faza wdrażania. System Windows Aktualizacje wydany w dniu 9 maja 2023 r. lub później, dotyczy luk omówionych w cve-2023-24932, zmian składników rozruchu systemu Windows oraz dwóch plików odwołania, które można ręcznie zastosować (zasady integralności kodu i zaktualizowana lista nie zezwalania na bezpieczny rozruch (DBX)).
-
Zmiany protokołu Netlogon KB5021130 | Faza 3 Domyślnie wymuszanie. RequireSeal podklucz zostanie przeniesiony do trybu wymuszania, chyba że jawnie skonfigurujesz go w trybie zgodności.
-
KB5020805 podpisów PAC protokołu Kerberos | Faza 3 Trzecia faza wdrażania. Usuwa możliwość wyłączenia dodawania podpisu PAC przez ustawienie podklucza KrbtgtFullPacSignature na wartość 0.
-
Zmiany protokołu Netlogon KB5021130 | Faza 4 Ostateczne egzekwowanie. Aktualizacje systemu Windows wydane 11 lipca 2023 r. usuną możliwość ustawienia wartości 1 na podkluczu RequireSeal rejestru. Umożliwia to fazę wymuszania CVE-2022-38023.
-
KB5020805 podpisów PAC protokołu Kerberos | Faza 4 Tryb wy wymuszania początkowego. Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature i przejście do trybu wymuszania jako domyślnego (KrbtgtFullPacSignature = 3), które można zastąpić jawnym ustawieniem inspekcji.
-
Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 2 Druga faza wdrażania. Aktualizacje dla systemu Windows wydane 11 lipca 2023 r. obejmują automatyczne wdrażanie plików odwołań, nowe zdarzenia dziennika zdarzeń informujące o tym, czy wdrożenie odwołania zakończyło się pomyślnie, oraz pakiet aktualizacji dynamicznej SafeOS dla usługi WinRE.
-
KB5020805 podpisów PAC protokołu Kerberos | Faza 5
Faza pełnego wymuszania. Usuwa obsługę podklucza rejestru KrbtgtFullPacSignature, usuwa obsługę trybu inspekcji , a wszystkie bilety usługi bez nowych podpisów PAC zostaną odrzucone uwierzytelnianie.
-
Aktualizacje uprawnień usługi Active Directory (AD) KB5008383 | Faza 5 Ostateczna faza wdrażania. Ostatnia faza wdrażania może się rozpocząć po wykonaniu kroków wymienionych w sekcji "Wykonywanie akcji" KB5008383. Aby przejść do trybu wymuszania , postępuj zgodnie z instrukcjami w sekcji "Wskazówki dotyczące wdrażania", aby ustawić 28 i 29 bity atrybutu dSHeuristics . Następnie monitoruj zdarzenia 3044-3046. Raportują, gdy tryb wymuszania zablokował operację dodawania lub modyfikowania LDAP, która mogła być wcześniej dozwolona w trybie inspekcji .
-
Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 3 Trzecia faza wdrażania. Ta faza spowoduje dodanie dodatkowych środków łagodzących menedżera rozruchu. Ta faza rozpocznie się nie wcześniej niż 9 kwietnia 2024 r.
-
Zmiany sprawdzania poprawności pac KB5037754 | Faza trybu zgodności
Początkowa faza wdrażania rozpoczyna się wraz z aktualizacjami wydanymi 9 kwietnia 2024 r. Ta aktualizacja dodaje nowe zachowanie, które zapobiega podniesieniu luk w zabezpieczeniach uprawnień opisanych w cve-2024-26248 i CVE-2024-29056, ale nie wymusza ich, chyba że zostaną zaktualizowane zarówno kontrolery domeny systemu Windows, jak i klienci systemu Windows w środowisku.
Aby włączyć nowe zachowanie i ograniczyć luki w zabezpieczeniach, musisz upewnić się, że zaktualizowano całe środowisko systemu Windows (w tym zarówno kontrolery domeny, jak i klientów). Zdarzenia inspekcji zostaną zarejestrowane, aby ułatwić identyfikowanie urządzeń, które nie są aktualizowane.
-
Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 3 Obowiązkowa faza wymuszania. Odwołania (zasady rozruchu integralności kodu i lista niedozwolonych bezpiecznego rozruchu) będą programowo wymuszane po zainstalowaniu aktualizacji systemu Windows dla wszystkich systemów, których dotyczy problem, bez możliwości wyłączenia.
-
Zmiany sprawdzania poprawności pac KB5037754 | Domyślna faza wymuszania
Aktualizacje wydana w styczniu 2025 r. lub później przeniesie wszystkie kontrolery domeny i klientów systemu Windows w środowisku do trybu Wymuszone. Ten tryb domyślnie wymusza bezpieczne zachowanie. Istniejące ustawienia klucza rejestru, które zostały wcześniej ustawione, zastąpią tę zmianę domyślnego zachowania.
Domyślne ustawienia trybu wymuszonego mogą zostać zastąpione przez administratora, aby przywrócić tryb zgodności.
-
KB5014754 uwierzytelniania opartego na certyfikacie | Faza 3 Tryb pełnego wymuszania. Jeśli nie można silnie zamapować certyfikatu, zostanie odrzucone uwierzytelnianie.
-
Zmiany sprawdzania poprawności pac KB5037754 | Faza wymuszania Aktualizacje zabezpieczeń systemu Windows wydane w kwietniu 2025 r. lub później usuną obsługę podkluczy rejestru PacSignatureValidationLevel i CrossDomainFilteringLevel oraz wymuszą nowe bezpieczne zachowanie. Po zainstalowaniu aktualizacji z kwietnia 2025 r. nie będzie dostępna obsługa trybu zgodności.
Pobierz najnowsze wiadomości
Dodaj zakładkę do Centrum wiadomości systemu Windows, aby łatwo znaleźć najnowsze aktualizacje i przypomnienia. Jeśli jesteś administratorem IT z dostępem do Centrum administracyjne platformy Microsoft 365, skonfiguruj preferencje Email na Centrum administracyjne platformy Microsoft 365, aby otrzymywać ważne powiadomienia i aktualizacje.