Documentação de orientação e datas-chave de proteção mais recentes do Windows

Alterações no protocolo Netlogon KB5021130 | Fase 2

Fase de imposição inicial. Remove a capacidade de desabilitar a vedação RPC definindo o valor 0 para a subchave do Registro Obrigatório .

Autenticação baseada em certificado KB5014754 | Fase 2

Remove o modo desabilitado.

Proteções de bypass de inicialização segura KB5025885 | Fase 1

Fase inicial de implantação. O Windows Atualizações lançado em ou após as vulnerabilidades de endereço de 9 de maio de 2023 discutidas no CVE-2023-24932, alterações nos componentes de inicialização do Windows e dois arquivos de revogação que podem ser aplicados manualmente (uma política de Integridade de Código e uma DBX (lista de desautorização de Inicialização Segura) atualizada).

Alterações no protocolo Netlogon KB5021130 | Fase 3

Imposição por padrão. A subchave requireSeal será movida para o modo Enforcement, a menos que você configure-a explicitamente para estar no modo de compatibilidade.

Assinaturas pac kerberos KB5020805 | Fase 3

Terceira fase de implantação. Remove a capacidade de desabilitar a adição de assinatura pac definindo a subchave KrbtgtFullPacSignature como um valor de 0.

Alterações no protocolo Netlogon KB5021130 | Fase 4

Execução final. As atualizações do Windows lançadas em 11 de julho de 2023 removerão a capacidade de definir o valor 1 como a subchave RequireSeal. Isso permite a Fase de imposição do CVE-2022-38023.

Assinaturas pac kerberos KB5020805 | Fase 4

Modo de imposição inicial. Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature e passa para o modo Enforcement como padrão (KrbtgtFullPacSignature = 3), que você pode substituir com uma configuração de Auditoria explícita. 

Proteções de bypass de inicialização segura KB5025885 | Fase 2

Segunda fase de implantação. Atualizações para Windows lançados em 11 de julho de 2023 incluem a implantação automatizada dos arquivos de revogação, novos eventos do Log de Eventos para relatar se a implantação de revogação foi bem-sucedida e o pacote de Atualização Dinâmica do SafeOS para WinRE.

Assinaturas pac kerberos KB5020805 | Fase 5

Fase de execução completa. Remove o suporte para a subchave de registro KrbtgtFullPacSignature, remove o suporte para o modo Auditoria e todos os tíquetes de serviço sem as novas assinaturas pac serão negados à autenticação.

As permissões do Active Directory (AD) são atualizadas KB5008383 | Fase 5

Fase final de implantação. A fase final de implantação pode começar depois de concluir as etapas listadas na seção "Tomar Medidas" do KB5008383. Para migrar para o modo De execução , siga as instruções na seção "Diretrizes de Implantação" para definir os bits 28 e 29 no atributo dSHeuristics . Em seguida, monitore os eventos 3044-3046. Eles relatam quando o modo De execução bloqueou uma operação LDAP Add or Modifi que poderia ter sido permitida anteriormente no modo Auditoria . 

Proteções de bypass de inicialização segura KB5025885 | Fase 3

Terceira fase de implantação. Essa fase adicionará mitigações adicionais do gerenciador de inicialização. Essa fase começará no máximo em 9 de abril de 2024.

Alterações de validação pac KB5037754 | Fase do modo de compatibilidade

A fase inicial de implantação começa com as atualizações lançadas em 9 de abril de 2024. Esta atualização adiciona um novo comportamento que impede a elevação das vulnerabilidades de privilégio descritas em CVE-2024-26248 e CVE-2024-29056, mas não a impõe a menos que os controladores de domínio do Windows e os clientes Windows no ambiente sejam atualizados.

Para habilitar o novo comportamento e mitigar as vulnerabilidades, você deve garantir que todo o ambiente do Windows (incluindo controladores de domínio e clientes) seja atualizado. Eventos de auditoria serão registrados para ajudar a identificar dispositivos não atualizados.

Proteções de bypass de inicialização segura KB5025885 | Fase 3

Fase de imposição obrigatória. As revogações (política de Inicialização de Integridade do Código e Inicialização Segura não permitem) serão impostas programaticamente após a instalação de atualizações do Windows para todos os sistemas afetados sem opção a ser desabilitada.

Alterações de validação pac KB5037754 | Execução por fase padrão

Atualizações lançado em ou após janeiro de 2025 moverá todos os controladores de domínio e clientes do Windows no ambiente para o modo Imposto. Esse modo imporá o comportamento seguro por padrão. As configurações de chave de registro existentes que foram definidas anteriormente substituirão essa alteração de comportamento padrão.

As configurações de modo imposta padrão podem ser substituídas por um administrador para reverter ao modo de compatibilidade.

Autenticação baseada em certificado KB5014754 | Fase 3

Modo de Execução Completa. Se um certificado não puder ser fortemente mapeado, a autenticação será negada.

Alterações de validação pac KB5037754 | Fase

de execução As atualizações de segurança do Windows lançadas em ou após abril de 2025 removerão o suporte para as subchaus de registro PacSignatureValidationLevel e CrossDomainFilteringLevel e imporá o novo comportamento seguro. Não haverá suporte para o modo de compatibilidade após a instalação da atualização de abril de 2025.

Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Modo de auditoria

A fase inicial de implantação começa com as atualizações lançadas em 8 de abril de 2025. Essas atualizações adicionam um novo comportamento que detecta a elevação da vulnerabilidade de privilégio descrita em CVE-2025-26647 , mas não a impõe. Para habilitar o novo comportamento e estar seguro contra a vulnerabilidade, você deve garantir que todos os controladores de domínio do Windows sejam atualizados e que a configuração de chave de registro AllowNtAuthPolicyBypass esteja definida como 2.

Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Imposta pela fase

Padrão Atualizações lançada em ou após julho de 2025, imporá o marcar da NTAuth Store por padrão. A configuração de chave de registro AllowNtAuthPolicyBypass ainda permitirá que os clientes voltem para o modo Audit, se necessário. No entanto, a capacidade de desabilitar completamente essa atualização de segurança será removida.

Proteções de Autenticação Kerberos para CVE-2025-26647 KB5057784 | Modo

de execução ​​​​​​​Atualizações lançado em ou após outubro de 2025, interromperá o suporte da Microsoft para a chave de registro AllowNtAuthPolicyBypass. Nesta fase, todos os certificados devem ser emitidos pelas autoridades que fazem parte do repositório NTAuth.

Proteções de bypass de inicialização segura KB5025885 | Fase

de imposição A Fase de Execução não começará antes de janeiro de 2026 e daremos pelo menos seis meses de aviso prévio neste artigo antes do início desta fase. Quando as atualizações forem lançadas na fase de imposição, elas adicionarão o seguinte:

• O certificado "Windows Production PCA 2011" será automaticamente revogado ao ser adicionado à DBX (Lista Proibida de Inicialização Segura) em dispositivos com capacidade. Essas atualizações serão impostas programaticamente após a instalação de atualizações do Windows para todos os sistemas afetados sem opção de desabilitar.