Oryginalna data publikacji: 29 sierpnia 2025 r.
Identyfikator BAZY WIEDZY: 5066470
Wprowadzenie
W tym artykule opisano ostatnie i nadchodzące zmiany w Windows 11, wersji 24H2 i Windows Server 2025 r., skupiając się na inspekcji i ewentualnym wymuszaniu blokowania kryptografii pochodzącej z NTLMv1. Zmiany te są częścią szerszej inicjatywy firmy Microsoft mającej na celu stopniowe wycofywanie NTLM.
Tło
Firma Microsoft usunęła protokół NTLMv1 (zobacz Usunięte funkcje i funkcje) z Windows 11, wersja 24H2 i Windows Server 2025 i nowsze wersje. Jednak po usunięciu protokołu NTLMv1, resztki kryptografii NTLMv1 są nadal obecne w niektórych scenariuszach, na przykład podczas używania MS-CHAPv2 w środowisku przyłączonym do domeny.
Credential Guard zapewnia pełną ochronę zarówno starszej kryptografii NTLMv1, jak i wielu innych powierzchni ataku, dlatego firma Microsoft zdecydowanie zaleca jej wdrożenie i włączenie, jeśli spełnione są wymagania credential guard. Nadchodzące zmiany mają wpływ tylko na urządzenia, na których funkcja Credential Guard jest wyłączona. jeśli funkcja Windows Credential Guard jest włączona na urządzeniu, zmiany opisane w tym artykule nie zostaną zastosowane.
Cel
Wraz z wycofaniem NTLM (zobacz Przestarzałe funkcje) i usunięciem protokołu NTLMv1 firma Microsoft pracuje nad sfinalizowaniem wyłączenia NTLMv1 przez wyłączenie przy użyciu poświadczeń pochodnych NTLMv1.
Nadchodzące zmiany
W tej aktualizacji uwzględniono dwie nowe zmiany, wprowadzenie nowego klucza rejestru i nowe dzienniki zdarzeń. Aby zapoznać się z osią czasu tych zmian, zobacz sekcję Wdrażanie zmian .
Nowy klucz rejestru
Wprowadzono nowy klucz rejestru, który określa, czy zmiany są w trybie inspekcji , czy w trybie wymuszania.
|
Lokalizacja rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value (Wartość) |
BlockNtlmv1SSO |
|
Type (Typ) |
REG_DWORD |
|
Dane |
|
Nowe funkcje inspekcji
-
Podczas korzystania z ustawień inspekcji (domyślnych)
Dziennik zdarzeń
Microsoft-Windows-NTLM/Operational
Typ zdarzenia
Ostrzeżenie
Źródło zdarzenia
NTLM
Identyfikator zdarzenia
4024
Tekst zdarzenia
Inspekcja próby użycia poświadczeń pochodnych NTLMv1 dla logowania jednokrotnego Serwer docelowy: <domain_name> Podany użytkownik: <user_name> Dostarczona domena: <domain_name> Identyfikator PID procesu klienta: <process_identifier> Nazwa procesu klienta: <process_name> IDENTYFIKATOR LUID procesu klienta: <locally_unique_identifier> Tożsamość użytkownika procesu klienta: <user_name> Nazwa domeny tożsamości użytkownika procesu klienta: <domain_name> Mechanizm OID: <object_identifier> Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2321802.
-
Podczas korzystania z opcji Wymuś ustawienia
Dziennik zdarzeń
Microsoft-Windows-NTLM/Operational
Typ zdarzenia
Błąd
Źródło zdarzenia
NTLM
Identyfikator zdarzenia
4025
Tekst zdarzenia
Próba użycia poświadczeń pochodnych NTLMv1 dla Sign-On pojedynczego została zablokowana z powodu zasad.Serwer docelowy: <domain_name> Podany użytkownik: <user_name> Dostarczona domena: <domain_name> Identyfikator PID procesu klienta: <process_identifier> Nazwa procesu klienta: <process_name> IDENTYFIKATOR LUID procesu klienta: <locally_unique_identifier> Tożsamość użytkownika procesu klienta: <user_name> Nazwa domeny tożsamości użytkownika procesu klienta: <domain_name> Mechanizm OID: <object_identifier> Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2321802.
Aby uzyskać więcej informacji na temat innych ulepszeń inspekcji, zobacz Omówienie ulepszeń inspekcji NTLM w Windows 11, wersja 24H2 i Windows Server 2025.
Wdrażanie zmian
We wrześniu 2025 r. i w nowszych aktualizacjach zmiany zostaną wprowadzone w systemie Windows 11 w wersji 24H2 i nowszych w trybie inspekcji. W tym trybie identyfikator zdarzenia: 4024 będzie rejestrowany za każdym razem, gdy są używane poświadczenia pochodne NTLMv1, ale uwierzytelnianie będzie nadal działać. Wdrożenie nastąpi Windows Server 2025 r. w dalszej części roku.
W październiku 2026 r. firma Microsoft ustawi domyślną wartość klucza rejestru BlockNTLMv1SSOna wartość 1 (Wymuszaj) zamiast 0 (Inspekcja), jeśli klucz rejestru BlockNTLMv1SSO nie został wdrożony na urządzeniu.
Oś czasu
|
Data |
Zmiana |
|
Koniec sierpnia 2025 r. |
Dzienniki inspekcji dotyczące użycia protokołu NTLMv1 włączone dla Windows 11, wersja 24H2 i nowsi klienci. |
|
Listopad 2025 r. |
Rozpoczynanie wdrażania zmian w Windows Server 2025 r. |
|
Październik 2026 r. |
Wartość domyślna klucza rejestru BlockNtlmv1SSO jest zmieniana z trybu inspekcji (0) na tryb wymuszania (1) do przyszłej aktualizacji systemu Windows, wzmacniając ograniczenia NTLMv1. Ta zmiana w ustawieniach domyślnych jest stosowana tylko wtedy, gdy klucz rejestru BlockNtlmv1SSO nie został wdrożony. |
Uwaga Te daty są wstępnie zaakceptowane i mogą ulec zmianie.
Często zadawane pytania (często zadawane pytania)
Firma Microsoft stosuje metodę stopniowego wdrażania w celu rozpowszechniania aktualizacji wersji w danym okresie, a nie jednocześnie. Oznacza to, że użytkownicy otrzymują aktualizacje w różnych godzinach i mogą nie być natychmiast dostępne dla wszystkich użytkowników.
Poświadczenia pochodne NTLMv1 są używane przez niektóre protokoły wyższego poziomu do celów Sign-On pojedynczych; Przykładami są wdrożenia sieci Wi-Fi, Ethernet i VPN przy użyciu uwierzytelniania MS-CHAPv2. Podobnie jak w przypadku włączenia funkcji Credential Guard przepływy Sign-On pojedyncze dla tych protokołów nie będą działać, ale ręczne wprowadzanie poświadczeń będzie nadal działać nawet w trybie wymuszania . Aby uzyskać więcej informacji i najważniejsze wskazówki, zobacz Zagadnienia i znane problemy podczas korzystania z funkcji Credential Guard.
Jedynym podobieństwem między tą aktualizacją a credential Guard jest ochrona wokół poświadczeń użytkownika z kryptografii pochodzącej z NTLMv1. Ta aktualizacja nie zapewnia szerokiej i niezawodnej ochrony Credential Guard. Firma Microsoft zaleca włączenie funkcji Credential Guard na wszystkich obsługiwanych platformach.
