Modificare dată |
Modificare descriere |
---|---|
10 martie 2024 |
Am revizuit cronologia lunară, adăugând mai mult conținut asociat de consolidare și am eliminat intrarea din februarie 2024 din cronologie, deoarece nu are legătură. |
Introducere
Hardening este un element cheie al strategiei noastre continue de securitate, pentru a vă menține proprietatea protejată în timp ce vă concentrați asupra locului dvs. de muncă. Cyberthreats din ce în ce mai creativ țintă punctele slabe oriunde este posibil, de la cip la cloud. Ați văzut publicațiile noastre despre întărirea centrului de mesaje Windows? Printre cele impuse recent se numără consolidarea autentificării DCOM și Netjoin: consolidarea asocierii la domeniu. Să revizuim zonele vulnerabile care vor suferi întarire în lunile următoare.
Notă: Acest articol va fi actualizat în timp pentru a furniza cele mai recente informații despre întărirea modificărilor și cronologiilor. Ultima actualizare: 10 martie 2024.
Întărirea modificărilor dintr-o privire
Revizuiți cronologia vizuală pentru a vă concentra pe modificările specifice care vă interesează. Găsiți detaliile pentru fiecare etapă de mai jos.
Figura 1: În 2023 are loc o cronologie vizuală a modificărilor de consolidare.
Figura 2: O cronologie vizuală a modificărilor de întărire care au loc în 2024.
Se întăresc modificările după lună
Consultați detaliile pentru toate modificările viitoare de consolidare în funcție de lună, pentru a vă ajuta să planificați fiecare etapă și impunerea finală.
-
Protecții secure bypass boot KB5025885 | Faza 1
Faza inițială de implementare. Windows Actualizări lansat la sau după 9 mai 2023 tratează vulnerabilitățile discutate în CVE-2023-24932, modificările la componentele de boot Windows și două fișiere revocate care pot fi aplicate manual (o politică de integritate a codului și o listă secure Boot disallow (DBX) actualizată).
-
Modificările protocolului Netlogon KB5021130 | Faza 3
Impunere implicită. RequireSeal subkey will be moved to Enforcement mode unless you explicitly configure it to be under Compatibility mode. -
Semnături PAC Kerberos KB5020805 | Faza 3
A treia fază de implementare. Elimină capacitatea de a dezactiva adăugarea semnăturilor PAC setând subcheia KrbtgtFullPacSignature la valoarea 0.
-
Modificările protocolului Netlogon KB5021130 | Faza 4
Impunere finală. Actualizările Windows lansate pe 11 iulie 2023 vor elimina capacitatea de a seta valoarea 1 la subcheia registry RequireSeal. Acest lucru permite etapa de impunere a CVE-2022-38023. -
Semnături PAC Kerberos KB5020805 | Faza 4
Modul Impunere inițială. Elimină capacitatea de a seta valoarea 1 pentru subcheia KrbtgtFullPacSignature și trece la modul Impunere ca implicit (KrbtgtFullPacSignature = 3), pe care îl puteți înlocui cu o setare de audit explicită. -
Protecții secure bypass boot KB5025885 | Faza 2
A doua fază de implementare. Actualizări pentru Windows lansat la sau după 11 iulie 2023 includ implementarea automată a fișierelor revocate, evenimentele noului jurnal de evenimente pentru a raporta dacă implementarea revocării a reușit și pachetul de actualizare dinamică SafeOS pentru WinRE.
-
Semnături PAC Kerberos KB5020805 | Faza 5
Faza de impunere completă. Elimină suportul pentru subcheile de registry KrbtgtFullPacSignature, elimină suportul pentru modul audit și toate tichetele de serviciu fără noile semnături PAC vor fi refuzate autentificării.
-
Actualizările permisiunilor Active Directory (AD) KB5008383 | Faza 5
Faza finală de implementare. Faza finală de implementare poate începe după ce ați terminat pașii listați în secțiunea "Acțiune" din KB5008383. Pentru a trece la modul Impunere , urmați instrucțiunile din secțiunea "Instrucțiuni de implementare" pentru a seta biții 28 și 29 pe atributul dSHeuristics . Apoi monitorizați evenimentele 3044-3046. Acestea raportează atunci când modul Impunere a blocat o operațiune adăugare saumodificare LDAP care a fost permisă anterior în modul Auditare .
-
Protecții secure bypass boot KB5025885 | Faza 3
A treia fază de implementare. Această fază va adăuga atenuări suplimentare ale managerului de boot. Această fază va începe nu mai devreme de 9 aprilie 2024.
-
Protecții secure bypass boot KB5025885 | Faza 3
Etapă de impunere obligatorie. Revocările (politica de bootare a integrității codului și lista de permisiuni pentru bootarea securizată) vor fi impuse programatic după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de dezactivare.
-
Autentificare pe bază de certificat KB5014754 | Faza 3
Modul Impunere completă. Dacă un certificat nu poate fi mapat puternic, autentificarea va fi refuzată.
Obțineți cele mai recente știri
Marcați centrul de mesaje Windows pentru a găsi cu ușurință cele mai recente actualizări și mementouri. Iar dacă sunteți administrator IT și aveți acces la Centru de administrare Microsoft 365, configurați Preferințe pentru e-mail pe Centru de administrare Microsoft 365 pentru a primi notificări și actualizări importante.