Dotyczy
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Oryginalna data publikacji: Kwiecień 2023 r.

Identyfikator BAZY WIEDZY: 5036534

Zmień datę

Opis

8 kwietnia 2025 r.

  • Dodano informacje na temat ochrony przed luką w zabezpieczeniach związaną z uwierzytelnianiem Kerberos w systemie CVE-2025-26647.

19 lutego 2025 r.

  • Poprawiono treść sekcji Wprowadzenie.

  • Usunięto sekcję "Szybkie zaostrzanie zmian", ponieważ informacje są nieaktualne.

  • Dodano sekcję "Inne kluczowe zmiany w systemie Windows" w celu nawiązania do funkcji, które nie są już opracowywane w systemie Windows.

30 stycznia 2025 r.

  • Dodano wpis ze stycznia 2026 r. lub nowszy w sekcji "Zaostrzanie zmian według miesięcy".

17 stycznia 2025 r.

  • Dodano wpisy z kwietnia 2024, stycznia 2025 r. i kwietnia 2025 r. w sekcji "Zaostrzanie zmian według miesiąca".

10 marca 2024 r.

  • Poprawiono miesięczną oś czasu, dodając bardziej zaostrzającą zawartość pokrewne, i usunięto wpis z lutego 2024 r. z osi czasu, ponieważ nie był on bardziej powiązany.

Wprowadzenie

Hartowanie jest kluczowym elementem naszej bieżącej strategii bezpieczeństwa, która pomaga chronić Twoją posiadłość, gdy skupiasz się na swojej pracy. Coraz bardziej kreatywne cyberoszerości celują w słabości wszędzie, gdzie to możliwe, od mikroukładu po chmurę.

W tym artykule opisano obszary wymagające szczególnego traktowania, które ulegają zmianom zaostrzającym zaimplementowanym za pośrednictwem aktualizacji zabezpieczeń systemu Windows. Publikujemy również przypomnienia w Centrum wiadomości systemu Windows , aby powiadomić administratorów IT o zaostrzaniu kluczowych dat w miarę zbliżania się terminu.  

Uwaga: Ten artykuł będzie z czasem aktualizowany w celu dostarczenia najnowszych informacji na temat zaostrzania zmian i harmonogramów. Zapoznaj się z sekcją Dziennik zmian , aby śledzić najnowsze zmiany.

Zaostrzanie zmian według miesiąca

Zapoznaj się ze szczegółami ostatnich i nadchodzących zmian zaostrzania o miesiąc, aby ułatwić planowanie każdej fazy i ostatecznego wymuszania.

  • Zmiany protokołu Netlogon KB5021130 | Faza 2 Początkowa faza wymuszania. Usuwa możliwość wyłączenia uszczelniania RPC, ustawiając wartość 0 na podkluczu Rejestru RequireSeal .

  • KB5014754 uwierzytelniania opartego na certyfikacie | Faza 2 Powoduje usunięcie trybu wyłączonego.

  • Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 1 Początkowa faza wdrażania. System Windows Aktualizacje wydany w dniu 9 maja 2023 r. lub później, dotyczy luk omówionych w cve-2023-24932, zmian składników rozruchu systemu Windows oraz dwóch plików odwołania, które można ręcznie zastosować (zasady integralności kodu i zaktualizowana lista nie zezwalania na bezpieczny rozruch (DBX)).

  • Zmiany protokołu Netlogon KB5021130 | Faza 3 Domyślnie wymuszanie. RequireSeal podklucz zostanie przeniesiony do trybu wymuszania, chyba że jawnie skonfigurujesz go w trybie zgodności.

  • KB5020805 podpisów PAC protokołu Kerberos | Faza 3 Trzecia faza wdrażania. Usuwa możliwość wyłączenia dodawania podpisu PAC przez ustawienie podklucza KrbtgtFullPacSignature na wartość 0.

  • Zmiany protokołu Netlogon KB5021130 | Faza 4 Ostateczne egzekwowanie. Aktualizacje systemu Windows wydane 11 lipca 2023 r. usuną możliwość ustawienia wartości 1 na podkluczu RequireSeal rejestru. Umożliwia to fazę wymuszania CVE-2022-38023.

  • KB5020805 podpisów PAC protokołu Kerberos | Faza 4 Tryb wy wymuszania początkowego. Usuwa możliwość ustawienia wartości 1 dla podklucza KrbtgtFullPacSignature i przejście do trybu wymuszania jako domyślnego (KrbtgtFullPacSignature = 3), które można zastąpić jawnym ustawieniem inspekcji. 

  • Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 2 Druga faza wdrażania. Aktualizacje dla systemu Windows wydane 11 lipca 2023 r. obejmują automatyczne wdrażanie plików odwołań, nowe zdarzenia dziennika zdarzeń informujące o tym, czy wdrożenie odwołania zakończyło się pomyślnie, oraz pakiet aktualizacji dynamicznej SafeOS dla usługi WinRE.

  • KB5020805 podpisów PAC protokołu Kerberos | Faza 5

    Faza pełnego wymuszania. Usuwa obsługę podklucza rejestru KrbtgtFullPacSignature, usuwa obsługę trybu inspekcji , a wszystkie bilety usługi bez nowych podpisów PAC zostaną odrzucone uwierzytelnianie.

  • Aktualizacje uprawnień usługi Active Directory (AD) KB5008383 | Faza 5 Ostateczna faza wdrażania. Ostatnia faza wdrażania może się rozpocząć po wykonaniu kroków wymienionych w sekcji "Wykonywanie akcji" KB5008383. Aby przejść do trybu wymuszania , postępuj zgodnie z instrukcjami w sekcji "Wskazówki dotyczące wdrażania", aby ustawić 28 i 29 bity atrybutu dSHeuristics . Następnie monitoruj zdarzenia 3044-3046. Raportują, gdy tryb wymuszania zablokował operację dodawania lub modyfikowania LDAP, która mogła być wcześniej dozwolona w trybie inspekcji

  • Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 3 Trzecia faza wdrażania. Ta faza spowoduje dodanie dodatkowych środków łagodzących menedżera rozruchu. Ta faza rozpocznie się nie wcześniej niż 9 kwietnia 2024 r.

  • Zmiany sprawdzania poprawności pac KB5037754 | Faza trybu zgodności

    Początkowa faza wdrażania rozpoczyna się wraz z aktualizacjami wydanymi 9 kwietnia 2024 r. Ta aktualizacja dodaje nowe zachowanie, które zapobiega podniesieniu luk w zabezpieczeniach uprawnień opisanych w cve-2024-26248 i CVE-2024-29056, ale nie wymusza ich, chyba że zostaną zaktualizowane zarówno kontrolery domeny systemu Windows, jak i klienci systemu Windows w środowisku.

    Aby włączyć nowe zachowanie i ograniczyć luki w zabezpieczeniach, musisz upewnić się, że zaktualizowano całe środowisko systemu Windows (w tym zarówno kontrolery domeny, jak i klientów). Zdarzenia inspekcji zostaną zarejestrowane, aby ułatwić identyfikowanie urządzeń, które nie są aktualizowane.

  • Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza 3 Obowiązkowa faza wymuszania. Odwołania (zasady rozruchu integralności kodu i lista niedozwolonych bezpiecznego rozruchu) będą programowo wymuszane po zainstalowaniu aktualizacji systemu Windows dla wszystkich systemów, których dotyczy problem, bez możliwości wyłączenia.

  • Zmiany sprawdzania poprawności pac KB5037754 | Domyślna faza wymuszania

    Aktualizacje wydana w styczniu 2025 r. lub później przeniesie wszystkie kontrolery domeny i klientów systemu Windows w środowisku do trybu Wymuszone. Ten tryb domyślnie wymusza bezpieczne zachowanie. Istniejące ustawienia klucza rejestru, które zostały wcześniej ustawione, zastąpią tę zmianę domyślnego zachowania.

    Domyślne ustawienia trybu wymuszonego mogą zostać zastąpione przez administratora, aby przywrócić tryb zgodności.

  • KB5014754 uwierzytelniania opartego na certyfikacie | Faza 3 Tryb pełnego wymuszania. Jeśli nie można silnie zamapować certyfikatu, zostanie odrzucone uwierzytelnianie.

  • Zmiany sprawdzania poprawności pac KB5037754 | Faza wymuszania Aktualizacje zabezpieczeń systemu Windows wydane w kwietniu 2025 r. lub później usuną obsługę podkluczy rejestru PacSignatureValidationLevel i CrossDomainFilteringLevel oraz wymuszą nowe bezpieczne zachowanie. Po zainstalowaniu aktualizacji z kwietnia 2025 r. nie będzie dostępna obsługa trybu zgodności.

  • Zabezpieczenia uwierzytelniania Kerberos dla KB5057784 CVE-2025-26647 | Tryb inspekcji Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 8 kwietnia 2025 r. Te aktualizacje dodają nowe zachowanie, które wykrywa lukę w zabezpieczeniach podwyższenia uprawnień opisaną w cve-2025-26647 , ale nie wymusza jej. Aby włączyć nowe zachowanie i zabezpieczyć się przed luką w zabezpieczeniach, musisz upewnić się, że wszystkie kontrolery domeny systemu Windows są zaktualizowane, a dla klucza rejestru AllowNtAuthPolicyBypass ustawiono wartość 2.

  • Zabezpieczenia uwierzytelniania Kerberos dla KB5057784 CVE-2025-26647 | Wymuszona przez fazę domyślną Aktualizacje wydana w lipcu 2025 r. lub później, domyślnie wymusi sprawdzenie magazynu NTAuth. Ustawienie klucza rejestru AllowNtAuthPolicyBypass nadal umożliwia klientom powrót do trybu inspekcji w razie potrzeby. Jednak możliwość całkowitego wyłączenia tej aktualizacji zabezpieczeń zostanie usunięta.

  • Zabezpieczenia uwierzytelniania Kerberos dla KB5057784 CVE-2025-26647 | Tryb wymuszania ​​​​​​​Aktualizacje wydana w październiku 2025 r. lub później, przestanie obsługiwać klucz rejestru AllowNtAuthPolicyBypass przez firmę Microsoft. Na tym etapie wszystkie certyfikaty muszą być wystawione przez organy należące do magazynu NTAuth.

  • Ochrona przed obejściem bezpiecznego rozruchu KB5025885 | Faza wymuszania Faza wymuszania nie rozpocznie się przed styczniem 2026 r. W tym artykule zostanie wyświetlone ostrzeżenie z co najmniej sześciomiesięcznym wyprzedzeniem przed rozpoczęciem tej fazy. Po wydaniu aktualizacji dla fazy wymuszania będą one obejmować następujące elementy:

    • Certyfikat "Windows Production PCA 2011" zostanie automatycznie odwołany przez dodanie go do listy zakazanych plików UEFI bezpiecznego rozruchu (DBX) na urządzeniach z obsługą. Te aktualizacje będą programowo wymuszane po zainstalowaniu aktualizacji systemu Windows we wszystkich systemach, których dotyczy problem, bez możliwości wyłączenia.

Inne kluczowe zmiany w systemie Windows

Każda wersja klienta i Windows Server systemu Windows dodaje nowe funkcje i funkcje. Od czasu do czasu nowe wersje usuwają również funkcje i funkcje, często dlatego, że istnieje nowsza opcja. Zobacz poniższe artykuły, aby uzyskać szczegółowe informacje na temat funkcji, które nie są już opracowywane w systemie Windows.

Klient

Serwer

Pobierz najnowsze wiadomości

Dodaj zakładkę do Centrum wiadomości systemu Windows, aby łatwo znaleźć najnowsze aktualizacje i przypomnienia. Jeśli jesteś administratorem IT z dostępem do Centrum administracyjne platformy Microsoft 365, skonfiguruj preferencje Email na Centrum administracyjne platformy Microsoft 365, aby otrzymywać ważne powiadomienia i aktualizacje.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu