Cele mai recente instrucțiuni și date cheie pentru consolidarea Windows

Modificările protocolului Netlogon KB5021130 | Faza 2

Faza de impunere inițială. Elimină capacitatea de a dezactiva închiderea RPC prin setarea valorii 0 la subcheia registry RequireSeal .

Autentificare pe bază de certificat KB5014754 | Faza 2

Elimină modul Dezactivat .

Protecții secure bypass boot KB5025885 | Faza 1

Faza inițială de implementare. Windows Actualizări lansat la sau după 9 mai 2023 tratează vulnerabilitățile discutate în CVE-2023-24932, modificările la componentele de boot Windows și două fișiere revocate care pot fi aplicate manual (o politică de integritate a codului și o listă secure Boot disallow (DBX) actualizată).

Modificările protocolului Netlogon KB5021130 | Faza 3

Impunere implicită. RequireSeal subkey will be moved to Enforcement mode unless you explicitly configure it to be under Compatibility mode.

Semnături PAC Kerberos KB5020805 | Faza 3

A treia fază de implementare. Elimină capacitatea de a dezactiva adăugarea semnăturilor PAC setând subcheia KrbtgtFullPacSignature la valoarea 0.

Modificările protocolului Netlogon KB5021130 | Faza 4

Impunere finală. Actualizările Windows lansate pe 11 iulie 2023 vor elimina capacitatea de a seta valoarea 1 la subcheia registry RequireSeal. Acest lucru permite etapa de impunere a CVE-2022-38023.

Semnături PAC Kerberos KB5020805 | Faza 4

Modul Impunere inițială. Elimină capacitatea de a seta valoarea 1 pentru subcheia KrbtgtFullPacSignature și trece la modul Impunere ca implicit (KrbtgtFullPacSignature = 3), pe care îl puteți înlocui cu o setare de audit explicită. 

Protecții secure bypass boot KB5025885 | Faza 2

A doua fază de implementare. Actualizări pentru Windows lansat la sau după 11 iulie 2023 includ implementarea automată a fișierelor revocate, evenimentele noului jurnal de evenimente pentru a raporta dacă implementarea revocării a reușit și pachetul de actualizare dinamică SafeOS pentru WinRE.

Semnături PAC Kerberos KB5020805 | Faza 5

Faza de impunere completă. Elimină suportul pentru subcheile de registry KrbtgtFullPacSignature, elimină suportul pentru modul audit și toate tichetele de serviciu fără noile semnături PAC vor fi refuzate autentificării.

Actualizările permisiunilor Active Directory (AD) KB5008383 | Faza 5

Faza finală de implementare. Faza finală de implementare poate începe după ce ați terminat pașii listați în secțiunea "Acțiune" din KB5008383. Pentru a trece la modul Impunere , urmați instrucțiunile din secțiunea "Instrucțiuni de implementare" pentru a seta biții 28 și 29 pe atributul dSHeuristics . Apoi monitorizați evenimentele 3044-3046. Acestea raportează atunci când modul Impunere a blocat o operațiune adăugare saumodificare LDAP care a fost permisă anterior în modul Auditare . 

Protecții secure bypass boot KB5025885 | Faza 3

A treia fază de implementare. Această fază va adăuga atenuări suplimentare ale managerului de boot. Această fază va începe nu mai devreme de 9 aprilie 2024.

Modificări validare PAC KB5037754 | Fază mod compatibilitate

Faza inițială de implementare începe cu actualizările lansate pe 9 aprilie 2024. Această actualizare adaugă un comportament nou care împiedică sporirea vulnerabilităților de privilegii descrise în CVE-2024-26248 și CVE-2024-29056, dar nu o impune decât dacă sunt actualizate atât controlerele de domeniu Windows, cât și clienții Windows din mediu.

Pentru a activa comportamentul nou și a atenua vulnerabilitățile, trebuie să vă asigurați că întregul mediu Windows (inclusiv controlerele de domeniu și clienții) este actualizat. Evenimentele de auditare vor fi înregistrate în jurnal pentru a ajuta la identificarea dispozitivelor care nu sunt actualizate.

Protecții secure bypass boot KB5025885 | Faza 3

Etapă de impunere obligatorie. Revocările (politica de bootare a integrității codului și lista de permisiuni pentru bootarea securizată) vor fi impuse programatic după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de dezactivare.

Modificări validare PAC KB5037754 | Impunere în mod implicit

Actualizări lansate în sau după ianuarie 2025 vor muta toate controlerele de domeniu și toți clienții Windows din mediu în modul Impus. Acest mod va impune în mod implicit un comportament securizat. Setările cheii de registry existente care au fost setate anterior vor înlocui această modificare implicită de comportament.

Setările mod impus implicit pot fi înlocuite de un administrator pentru a reveni la modul compatibilitate.

Autentificare pe bază de certificat KB5014754 | Faza 3

Modul Impunere completă. Dacă un certificat nu poate fi mapat puternic, autentificarea va fi refuzată.

Modificări validare PAC KB5037754 | Faza

de impunere Actualizările de securitate Windows lansate în sau după aprilie 2025 vor elimina suportul pentru subcheile de registry PacSignatureValidationLevel și CrossDomainFilteringLevel și vor impune noul comportament securizat. Nu va mai exista suport pentru modul de compatibilitate după instalarea actualizării din aprilie 2025.

Protecții secure bypass boot KB5025885 | Faza

de impunere Faza de impunere nu va începe înainte de ianuarie 2026 și vă vom avertiza cu cel puțin șase luni în avans în acest articol înainte de începerea acestei faze. Atunci când sunt lansate actualizări pentru faza de impunere, acestea vor include următoarele:

• Certificatul "Windows Production PCA 2011" va fi revocat automat prin adăugarea la Lista de bootare sigură UEFI Interzis (DBX) pe dispozitivele capabile. Aceste actualizări vor fi impuse prin programare după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de dezactivare.