KB5036534: Cele mai recente instrucțiuni și date cheie pentru consolidarea Windows

Modificările protocolului Netlogon KB5021130 | Faza 2

Faza de impunere inițială. Elimină capacitatea de a dezactiva închiderea RPC prin setarea valorii 0 la subcheia registry RequireSeal .

Autentificare pe bază de certificat KB5014754 | Faza 2

Elimină modul Dezactivat .

Protecții secure bypass boot KB5025885 | Faza 1

Faza inițială de implementare. Windows Actualizări lansat la sau după 9 mai 2023 tratează vulnerabilitățile discutate în CVE-2023-24932, modificările la componentele de boot Windows și două fișiere revocate care pot fi aplicate manual (o politică de integritate a codului și o listă secure Boot disallow (DBX) actualizată).

Modificările protocolului Netlogon KB5021130 | Faza 3

Impunere implicită. RequireSeal subkey will be moved to Enforcement mode unless you explicitly configure it to be under Compatibility mode.

Semnături PAC Kerberos KB5020805 | Faza 3

A treia fază de implementare. Elimină capacitatea de a dezactiva adăugarea semnăturilor PAC setând subcheia KrbtgtFullPacSignature la valoarea 0.

Modificările protocolului Netlogon KB5021130 | Faza 4

Impunere finală. Actualizările Windows lansate pe 11 iulie 2023 vor elimina capacitatea de a seta valoarea 1 la subcheia registry RequireSeal. Acest lucru permite etapa de impunere a CVE-2022-38023.

Semnături PAC Kerberos KB5020805 | Faza 4

Modul Impunere inițială. Elimină capacitatea de a seta valoarea 1 pentru subcheia KrbtgtFullPacSignature și trece la modul Impunere ca implicit (KrbtgtFullPacSignature = 3), pe care îl puteți înlocui cu o setare de audit explicită. 

Protecții secure bypass boot KB5025885 | Faza 2

A doua fază de implementare. Actualizări pentru Windows lansat la sau după 11 iulie 2023 includ implementarea automată a fișierelor revocate, evenimentele noului jurnal de evenimente pentru a raporta dacă implementarea revocării a reușit și pachetul de actualizare dinamică SafeOS pentru WinRE.

Semnături PAC Kerberos KB5020805 | Faza 5

Faza de impunere completă. Elimină suportul pentru subcheile de registry KrbtgtFullPacSignature, elimină suportul pentru modul audit și toate tichetele de serviciu fără noile semnături PAC vor fi refuzate autentificării.

Actualizările permisiunilor Active Directory (AD) KB5008383 | Faza 5

Faza finală de implementare. Faza finală de implementare poate începe după ce ați terminat pașii listați în secțiunea "Acțiune" din KB5008383. Pentru a trece la modul Impunere , urmați instrucțiunile din secțiunea "Instrucțiuni de implementare" pentru a seta biții 28 și 29 pe atributul dSHeuristics . Apoi monitorizați evenimentele 3044-3046. Acestea raportează atunci când modul Impunere a blocat o operațiune adăugare saumodificare LDAP care a fost permisă anterior în modul Auditare . 

Protecții secure bypass boot KB5025885 | Faza 3

A treia fază de implementare. Această fază va adăuga atenuări suplimentare ale managerului de boot. Această fază va începe nu mai devreme de 9 aprilie 2024.

Protecții secure bypass boot KB5025885 | Faza 3

Etapă de impunere obligatorie. Revocările (politica de bootare a integrității codului și lista de permisiuni pentru bootarea securizată) vor fi impuse programatic după instalarea actualizărilor pentru Windows pe toate sistemele afectate, fără opțiunea de dezactivare.

Autentificare pe bază de certificat KB5014754 | Faza 3

Modul Impunere completă. Dacă un certificat nu poate fi mapat puternic, autentificarea va fi refuzată.