Data de publicare inițială: 29 august 2025
ID KB: 5066470
Introducere
Acest articol prezintă în detaliu modificările recente și viitoare din Windows 11, versiunea 24H2 și Windows Server 2025, concentrându-se pe auditare și eventuala impunere a blocării criptografiei derivate din NTLMv1. Aceste modificări fac parte din inițiativa mai largă a Microsoft de eliminare treptată a NTLM.
Fundal
Microsoft a eliminat protocolul NTLMv1 (consultați Caracteristici și funcționalități eliminate) din Windows 11, versiunea 24H2 și Windows Server 2025 și versiunile mai recente. Cu toate acestea, în timp ce protocolul NTLMv1 este eliminat, rămășițele criptografiei NTLMv1 sunt încă prezente în unele scenarii, cum ar fi atunci când utilizați MS-CHAPv2 într-un mediu asociat unui domeniu.
Credential Guard oferă protecție completă atât pentru criptografia moștenită NTLMv1, cât și pentru multe alte suprafețe de atac și, prin urmare, Microsoft recomandă ferm implementarea și activarea sa dacă sunt îndeplinite cerințele Credential Guard. Modificările viitoare afectează doar dispozitivele pe care este dezactivat Credential Guard; dacă Windows Credential Guard este activat pe dispozitiv, modificările descrise în acest articol nu au efect.
Obiectiv
Odată cu perimarea NTLM (consultați Caracteristici perimate) și eliminarea protocolului NTLMv1, Microsoft lucrează la finalizarea dezactivării NTLMv1 prin dezactivarea utilizând acreditări derivate din NTLMv1.
Modificări viitoare
Două modificări noi, introducerea unei chei de registry noi și a jurnalelor de evenimente noi, sunt incluse în această actualizare. Pentru o cronologie a acestor modificări, consultați secțiunea Implementarea modificărilor .
Cheie de registry nouă
Este introdusă o nouă cheie de registry, care stabilește dacă modificările sunt în modul Auditare sau Impunere.
|
Locație registry |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Valoare |
BlockNtlmv1SSO |
|
Tip |
REG_DWORD |
|
Date |
|
Noi capacități de audit
-
Atunci când utilizați setările de auditare (implicit)
Jurnal de evenimente
Microsoft-Windows-NTLM/Operațional
Tip eveniment
Avertisment
Sursa de eveniment
NTLM
ID eveniment
4024
Text eveniment
Auditarea unei încercări de a utiliza acreditări derivate din NTLMv1 pentru Sign-On unic Server țintă: <domain_name> Utilizator furnizat: <user_name> Domeniu furnizat: <domain_name> PID proces client: <process_identifier> Numele procesului clientului: <process_name> DD-ul procesului clientului: <locally_unique_identifier> Identitatea utilizatorului procesului client: <user_name> Numele de domeniu al identității de utilizator a procesului client: <domain_name> OID mecanism: <object_identifier> Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?linkid=2321802.
-
Atunci când utilizați Impuneți setările
Jurnal de evenimente
Microsoft-Windows-NTLM/Operațional
Tip eveniment
Eroare
Sursa de eveniment
NTLM
ID eveniment
4025
Text eveniment
O încercare de a utiliza acreditări derivate din NTLMv1 pentru Sign-On unic a fost blocată din cauza politicii.Server țintă: <domain_name> Utilizator furnizat: <user_name> Domeniu furnizat: <domain_name> PID proces client: <process_identifier> Numele procesului clientului: <process_name> DD-ul procesului clientului: <locally_unique_identifier> Identitatea utilizatorului procesului client: <user_name> Numele de domeniu al identității de utilizator a procesului client: <domain_name> OID mecanism: <object_identifier> Pentru mai multe informații, consultați https://go.microsoft.com/fwlink/?linkid=2321802.
Pentru mai multe informații despre alte îmbunătățiri ale auditării, consultați Prezentare generală a îmbunătățirilor auditării NTLM din Windows 11, versiunea 24H2 și Windows Server 2025.
Lansarea modificărilor
În septembrie 2025 și actualizările ulterioare, modificările vor fi lansate pentru a Windows 11, versiunea 24H2 și sistemul de operare client ulterior în modul Audit. În acest mod, ID-ul de eveniment: 4024 va fi înregistrat ori de câte ori se utilizează acreditări derivate din NTLMv1, dar autentificarea va continua să funcționeze. Lansarea va ajunge Windows Server 2025 mai târziu în cursul anului.
În octombrie 2026, Microsoft va seta valoarea implicită a cheii de registry BlockNTLMv1SSO la 1 (Impunere) în loc de 0 (Audit) dacă cheia de registry BlockNTLMv1SSO nu a fost implementată pe dispozitiv.
Cronologie
|
Dată |
Modificare |
|
La sfârșitul lunii august 2025 |
Jurnalele de auditare pentru utilizarea NTLMv1 activată pe Windows 11, versiunea 24H2 și clienții mai noi. |
|
Noiembrie 2025 |
Începeți implementarea modificărilor în Windows Server 2025. |
|
Octombrie 2026 |
Valoarea implicită a cheii de registry BlockNtlmv1SSO este schimbată din modul audit (0) în modul Impunere (1) printr-o actualizare Windows viitoare, consolidând restricțiile NTLMv1. Această modificare a setărilor implicite are efect doar dacă cheia de registry BlockNtlmv1SSO nu a fost implementată. |
Notă Aceste date sunt provizorii și se pot modifica.
Întrebări frecvente (Întrebări frecvente)
Microsoft utilizează o metodă de implementare treptată pentru a distribui o actualizare de lansare pe o perioadă de timp, nu simultan. Acest lucru înseamnă că utilizatorii primesc actualizările în momente diferite și este posibil ca acestea să nu fie disponibile imediat tuturor utilizatorilor.
Acreditările derivate din NTLMv1 sunt utilizate de anumite protocoale de nivel superior pentru Sign-On unice; Printre exemple se numără implementările Wi-Fi, Ethernet și VPN care utilizează autentificarea MS-CHAPv2. În mod similar, atunci când este activat Credential Guard, fluxurile Sign-On unice pentru aceste protocoale nu vor funcționa, dar introducerea manuală a acreditărilor va continua să funcționeze chiar și în modul Impunere . Pentru mai multe informații și bune practici, consultați Considerații și probleme cunoscute atunci când utilizați Credential Guard.
Singura similitudine dintre această actualizare și Credential Guard este protecțiile din jurul acreditărilor de utilizator din criptografia derivată din NTLMv1. Această actualizare nu oferă o protecție largă și robustă a Credential Guard; Microsoft recomandă activarea Credential Guard pe toate platformele acceptate.
