Dotyczy
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Oryginalna data publikacji: 8 kwietnia 2025 r.

Identyfikator BAZY WIEDZY: 5057784

Zmień datę

Zmień opis

22 lipca 2025 r.

  • Zaktualizowano akapit w sekcji "Informacje o kluczach rejestru" w sekcji "Ustawienia rejestru i dzienniki zdarzeń".Oryginalny tekst: Poniższy klucz rejestru umożliwia inspekcję scenariuszy wymagających szczególnego traktowania, a następnie wymuszanie tej zmiany po rozwiązaniu problemów z certyfikatami podatnymi na zagrożenia. Klucz rejestru nie zostanie utworzony automatycznie. Zachowanie systemu operacyjnego, gdy klucz rejestru jest niekonfigurowany, zależy od etapu wdrożenia, w którym się znajduje.Poprawiony tekst: Poniższy klucz rejestru umożliwia inspekcję scenariuszy wymagających szczególnego traktowania, a następnie wymuszanie tej zmiany po rozwiązaniu problemów z certyfikatami podatnymi na zagrożenia. Klucz rejestru nie zostanie dodany automatycznie. Jeśli chcesz zmienić to zachowanie, musisz ręcznie utworzyć klucz rejestru i ustawić potrzebną wartość. Należy pamiętać, że zachowanie systemu operacyjnego, gdy klucz rejestru jest niekonfigurowany, zależy od etapu wdrożenia, w którym się znajduje.

  • Zaktualizowano komentarze w sekcji "AllowNtAuthPolicyBypass" w sekcji "Ustawienia rejestru i dzienniki zdarzeń".Oryginalny tekst: Ustawienie rejestru AllowNtAuthPolicyBypass powinno być skonfigurowane tylko na komputerach KDC systemu Windows, takich jak kontrolery domeny, które zainstalowały aktualizacje systemu Windows wydane w maju 2025 r. lub później.Poprawiony tekst: Ustawienie rejestru AllowNtAuthPolicyBypass powinno być skonfigurowane tylko na KDC systemu Windows, które zainstalowały aktualizacje systemu Windows wydane w kwietniu 2025 r. lub po tej dacie.

9 maja 2025 r.

  • W sekcji "Podsumowanie" zamieniono termin "konto uprzywilejowane" na "podmiot zabezpieczeń korzystający z uwierzytelniania opartego na certyfikatach".

  • Przeredagowany krok "Włącz" w sekcji "Podejmij działanie" w celu objaśnienia użycia certyfikatów logowania wydanych przez organy znajdujące się w magazynie NTAuth.Tekst oryginalny:Włącz tryb wymuszania, gdy środowisko nie używa już certyfikatów logowania wydanych przez władze, które nie znajdują się w magazynie NTAuth.

  • W sekcji "8 kwietnia 2025: Faza początkowego wdrażania — tryb inspekcji" wprowadzono obszerne zmiany, podkreślając, że przed włączeniem zabezpieczeń oferowanych przez tę aktualizację muszą istnieć pewne warunki... ta aktualizacja musi być zastosowana do wszystkich kontrolerów domeny ORAZ upewnij się, że certyfikaty logowania wydane przez władze znajdują się w magazynie NTAuth. Dodano kroki przechodzenia do trybu wymuszania i dodano notatkę wyjątku, która opóźnia przenoszenie, gdy masz kontrolery domeny, które obsługują uwierzytelnianie oparte na certyfikatach z podpisem własnym używane w wielu scenariuszach.Oryginalny tekst: Aby włączyć nowe zachowanie i zabezpieczyć się przed luką w zabezpieczeniach, musisz upewnić się, że wszystkie kontrolery domeny systemu Windows są zaktualizowane, a dla klucza rejestru AllowNtAuthPolicyBypass ustawiono wartość 2.

  • Dodano dodatkową zawartość do sekcji "Komentarze" sekcji "Informacje o kluczach rejestru" i "Zdarzenia inspekcji".

  • Dodano sekcję "Znany problem".

W tym artykule

Podsumowanie

Aktualizacje zabezpieczeń systemu Windows wydane 8 kwietnia 2025 r. lub później zawierają zabezpieczenia przed luką w zabezpieczeniach związaną z uwierzytelnianiem Kerberos. Ta aktualizacja zapewnia zmianę w zachowaniu, gdy urząd wydający certyfikat używany do uwierzytelniania opartego na certyfikatach (CBA) podmiotu zabezpieczeń jest zaufany, ale nie w magazynie NTAuth, a mapowanie identyfikatora klucza podmiotu (SKI) jest obecne w atrybutzie altSecID podmiotu zabezpieczeń przy użyciu uwierzytelniania opartego na certyfikatach. Aby dowiedzieć się więcej o tej luce, zobacz CVE-2025-26647.

Podejmij działanie

Aby pomóc chronić środowisko i zapobiec awariom, zalecamy następujące czynności:

  1. ZAKTUALIZUJ wszystkie kontrolery domeny za pomocą aktualizacji systemu Windows wydanej 8 kwietnia 2025 r. lub później.

  2. Monitoruj nowe zdarzenia, które będą widoczne na kontrolerach domeny w celu zidentyfikowania odpowiednich urzędów certyfikacji.

  3. UMOŻLIWIAĆ Tryb wymuszania po środowisku jest teraz tylko przy użyciu certyfikatów logowania wydanych przez władze, które znajdują się w magazynie NTAuth.

Atrybuty altSecID

W poniższej tabeli wymieniono wszystkie atrybuty identyfikatorów zabezpieczeń alternatywnych (altSecID) i identyfikatory altSecID, których dotyczy ta zmiana.

Lista atrybutów certyfikatu, które można zamapować na identyfikatory altSecID 

Identyfikatory AltSecID wymagające zgodnego certyfikatu do łańcucha do magazynu NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Oś czasu zmian

8 kwietnia 2025 r.: Faza początkowego wdrażania — tryb inspekcji

Początkowa faza wdrażania (tryb inspekcji ) rozpoczyna się od aktualizacji wydanych 8 kwietnia 2025 r. Te aktualizacje zmieniają zachowanie wykrywające luki w zabezpieczeniach związane z podwyższeniem uprawnień opisane w cve-2025-26647 , ale początkowo jej nie wymuszają.

W trybie inspekcjiidentyfikator zdarzenia: 45 będzie rejestrowany na kontrolerze domeny po otrzymaniu żądania uwierzytelniania Kerberos z niebezpiecznym certyfikatem. Żądanie uwierzytelniania będzie dozwolone i nie są oczekiwane żadne błędy klienta.

Aby włączyć zmianę zachowania i zabezpieczyć się przed luką w zabezpieczeniach, należy upewnić się, że wszystkie kontrolery domeny systemu Windows są zaktualizowane o aktualizację systemu Windows w dniu lub po 8 kwietnia 2025 r., a dla ustawienia klucza rejestru AllowNtAuthPolicyBypass ustawiono wartość 2 w celu skonfigurowania trybu wymuszania .

W trybie wymuszenia , jeśli kontroler domeny otrzyma żądanie uwierzytelniania Kerberos z niebezpiecznym certyfikatem, zarejestruje starszy identyfikator zdarzenia: 21 i odrzuci żądanie.

Aby włączyć zabezpieczenia oferowane przez tę aktualizację, wykonaj następujące czynności:

  1. Zastosuj aktualizację systemu Windows wydaną 8 kwietnia 2025 r. lub później do wszystkich kontrolerów domeny w środowisku. Po zastosowaniu aktualizacji ustawienie AllowNtAuthPolicyBypass domyślnie wynosi 1 (Inspekcja), co umożliwia sprawdzanie ntauth i zdarzenia ostrzeżenia dziennika inspekcji.WAŻNY Jeśli nie chcesz przystąpić do stosowania zabezpieczeń oferowanych w tej aktualizacji, ustaw klucz rejestru na 0 , aby tymczasowo wyłączyć tę zmianę. Aby uzyskać więcej informacji, zobacz sekcję Informacje o kluczach rejestru .

  2. Monitorowanie nowych zdarzeń, które będą widoczne na kontrolerach domeny w celu zidentyfikowania odpowiednich urzędów certyfikacji, które nie należą do magazynu NTAuth. Identyfikator zdarzenia, który należy monitorować, to Identyfikator zdarzenia: 45. Aby uzyskać więcej informacji na temat tych zdarzeń, zobacz sekcję Inspekcja zdarzeń .

  3. Upewnij się, że wszystkie certyfikaty klienta są prawidłowe i przypięte do zaufanego urzędu certyfikacji wystawiającego w magazynie NTAuth.

  4. Po rozwiązaniu wszystkich identyfikatorów zdarzeń: 45 zdarzeń możesz przejść do trybu wymuszania . W tym celu ustaw wartość rejestru AllowNtAuthPolicyBypass na 2. Aby uzyskać więcej informacji, zobacz sekcję Informacje o kluczach rejestru .Nuta Zalecamy tymczasowe opóźnienie ustawienia AllowNtAuthPolicyBypass = 2 do momentu zastosowania aktualizacji systemu Windows wydanej po maju 2025 r. do kontrolerów domeny, które obsługują uwierzytelnianie oparte na certyfikatach z podpisem własnym używane w wielu scenariuszach. Dotyczy to również kontrolerów domeny, które obsługują Windows Hello dla firm zaufania kluczy i uwierzytelniania kluczy publicznych urządzenia przyłączonych do domeny.

Lipiec 2025 r.: Wymuszona domyślnie faza

Aktualizacje wydana w lipcu 2025 r. lub później będzie domyślnie wymuszać kontrolę ntauth Store. Ustawienie klucza rejestru AllowNtAuthPolicyBypass nadal umożliwia klientom powrót do trybu inspekcji w razie potrzeby. Jednak możliwość całkowitego wyłączenia tej aktualizacji zabezpieczeń zostanie usunięta.

Październik 2025 r.: tryb wymuszania

Aktualizacje wydana w październiku 2025 r. lub później przestanie obsługiwać klucz rejestru AllowNtAuthPolicyBypass przez firmę Microsoft. Na tym etapie wszystkie certyfikaty muszą być wystawione przez organy należące do magazynu NTAuth. 

Ustawienia rejestru i dzienniki zdarzeń

Informacje o kluczu rejestru

Poniższy klucz rejestru umożliwia inspekcję scenariuszy wymagających szczególnego traktowania, a następnie wymuszanie tej zmiany po rozwiązaniu problemów z certyfikatami podatnymi na zagrożenia. Klucz rejestru nie zostanie dodany automatycznie. Jeśli chcesz zmienić to zachowanie, musisz ręcznie utworzyć klucz rejestru i ustawić potrzebną wartość. Należy pamiętać, że zachowanie systemu operacyjnego, gdy klucz rejestru jest niekonfigurowany, zależy od etapu wdrożenia, w którym się znajduje.

AllowNtAuthPolicyBypass

Podklucz rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Wartość

AllowNtAuthPolicyBypass

Typ danych

REG_DWORD

Dane wartości

0

Całkowicie wyłącza zmianę.

1

Wykonuje zdarzenie ostrzegawcze ntauth i dziennik wskazujące certyfikat, który został wydany przez urząd, który nie jest częścią magazynu NTAuth (tryb inspekcji). (Domyślne zachowanie począwszy od wersji z 8 kwietnia 2025 r.)

2

Wykonaj sprawdzanie ntauth, a jeśli się nie powiedzie, nie zezwalaj na logowanie. Zarejestruj normalne zdarzenia (istniejące) w przypadku błędu AS-REQ z kodem błędu wskazującym, że sprawdzanie ntauth nie powiodło się (tryb wymuszony ).

Komentarze

Ustawienie rejestru AllowNtAuthPolicyBypass powinno być skonfigurowane tylko na KDC systemu Windows, które zainstalowały aktualizacje systemu Windows wydane w kwietniu 2025 r. lub po tej dacie.

Inspekcja zdarzeń

Identyfikator zdarzenia: 45 | Zdarzenie inspekcji sprawdzania magazynu nt

Administratorzy powinni watch na następujące zdarzenie dodane przez instalację aktualizacji systemu Windows wydanych 8 kwietnia 2025 r. lub później. Jeśli istnieje, oznacza to, że certyfikat został wystawiony przez organ, który nie jest częścią magazynu NTAuth.

Dziennik zdarzeń

Log System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

Centrum dystrybucji Kerberos

Identyfikator zdarzenia

45

Tekst zdarzenia

Centrum dystrybucji kluczy napotkało certyfikat klienta, który był prawidłowy, ale nie połączony z katalogiem głównym w magazynie NTAuth. Obsługa certyfikatów, które nie są łańcuchowe do magazynu NTAuth jest przestarzałe.

Obsługa łańcuchów certyfikatów do magazynów innych niż NTAuth jest przestarzała i niebezpieczna.Zobacz https://go.microsoft.com/fwlink/?linkid=2300705 , aby dowiedzieć się więcej.

 Użytkownik: <nazwa_użytkownika>  Temat certyfikatu:> temat certyfikatu<  Emitent certyfikatu: <Emitent certyfikatu>  Numer seryjny certyfikatu: numer seryjny certyfikatu<>  Certificate Thumbprint: < CertThumbprint>

Komentarze

  • Przyszłe aktualizacje systemu Windows zoptymalizują liczbę zdarzeń 45 zalogowanych na kontrolerach domeny chronionych przez CVE-2025-26647.

  • Administratorzy mogą ignorować rejestrowanie zdarzenia Kerberos-Key-Distribution-Center 45 w następujących okolicznościach:

    • Windows Hello dla firm (WHfB) użytkownik loguje się tam, gdzie temat certyfikatów i wystawca są zgodne z formatem: <SID>/<identyfikator użytkownika>/login.windows.net/<identyfikator dzierżawy>/<użytkownika upn>

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) loguje się, gdy użytkownik jest kontem komputera (zakończonym znakiem $), podmiot i wystawcą są tym samym komputerem, a numer seryjny to 01.

Identyfikator zdarzenia: 21 | Zdarzenie błędu AS-REQ

Po rozwiązaniu problemu Kerberos-Key-Distribution-Center Event 45, rejestrowanie tego ogólnego, starszego zdarzenia wskazuje, że certyfikat klienta nadal NIE jest zaufany. To zdarzenie może być rejestrowane z wielu powodów, z których jednym jest to, że prawidłowy certyfikat klienta NIE jest przykuty do urzędu certyfikacji wydawania w magazynie NTAuth.

Dziennik zdarzeń

Log System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

Centrum dystrybucji Kerberos

Identyfikator zdarzenia

21

Tekst zdarzenia

Certyfikat klienta dla użytkownika <Domain\UserName> jest nieprawidłowy i skutkowało niepowodzeniem logowania przy użyciu karty inteligentnej.

Skontaktuj się z użytkownikiem, aby uzyskać więcej informacji na temat certyfikatu, którego próbuje użyć do logowania przy użyciu karty inteligentnej.

Stan łańcucha to: Łańcuch certyfikacji został przetworzony poprawnie, ale jeden z certyfikatów urzędu certyfikacji nie jest zaufany przez dostawcę zasad.

Komentarze

  • Identyfikator zdarzenia: 21, który odwołuje się do konta użytkownika lub "komputera", opisuje podmiot zabezpieczeń inicjujący uwierzytelnianie Kerberos.

  • Windows Hello dla firm (WHfB) będzie odwoływać się do konta użytkownika.

  • Kryptografia klucza publicznego komputera do uwierzytelniania początkowego (PKINIT) odwołuje się do konta komputera.

Znany problem

Klienci zgłaszali problemy z identyfikatorem zdarzenia: 45 i identyfikatorem zdarzenia: 21 wyzwalanym przez uwierzytelnianie oparte na certyfikatach przy użyciu certyfikatów z podpisem własnym. Aby uzyskać więcej informacji, zobacz znany problem udokumentowany w kondycji wersji systemu Windows:

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu