Se aplică la
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Data de publicare inițială: 8 aprilie 2025

ID KB: 5057784

Modificare dată

Modificare descriere

22 iulie 2025

  • S-a actualizat paragraful de sub "Informații cheie de registry" în secțiunea "Setări de registry și jurnale de evenimente".Text original: Următoarea cheie de registry permite auditarea scenariilor vulnerabile și impunerea modificării după ce sunt abordate certificatele vulnerabile. Cheia de registry nu va fi creată automat. Comportamentul sistemului de operare atunci când cheia de registry este neconfigurată va depinde de faza de implementare în care se află.Text revizuit: Următoarea cheie de registry permite auditarea scenariilor vulnerabile și impunerea modificării după ce sunt abordate certificatele vulnerabile. Cheia de registry nu este adăugată automat. Dacă trebuie să modificați comportamentul, trebuie să creați manual cheia de registry și să setați valoarea de care aveți nevoie. Rețineți că comportamentul sistemului de operare atunci când cheia de registry este neconfigurată va depinde de faza de implementare în care se află.

  • S-au actualizat Comentariile din "AllowNtAuthPolicyBypass" în secțiunea "Setări de registry și jurnale de evenimente".Text original: Setarea de registry AllowNtAuthPolicyBypass ar trebui configurată doar pe KDC-uri Windows, cum ar fi controlere de domeniu care au instalat actualizările Windows lansate în sau după mai 2025.Text revizuit: Setarea de registry AllowNtAuthPolicyBypass ar trebui configurată doar pe KDC-urile Windows care au instalat actualizările Windows lansate în sau după aprilie 2025.

9 mai 2025

  • S-a înlocuit termenul "cont privilegiat" cu "principal de securitate utilizând autentificarea bazată pe certificat" în secțiunea "Rezumat".

  • Am reformulat pasul "Activare" din secțiunea "Luați măsuri" pentru a clarifica utilizarea certificatelor de conectare emise de autoritățile din magazinul NTAuth.Text original:ENABLE Enforcement mode după ce mediul dvs. nu mai utilizează certificate de conectare emise de autorități care nu se află în depozitul NTAuth.

  • În secțiunea "8 aprilie 2025: Faza inițială de implementare - mod audit", s-au efectuat modificări extinse, evidențiind că trebuie să existe anumite condiții înainte de a activa protecțiile oferite de această actualizare... această actualizare trebuie aplicată tuturor controlerelor de domeniu ȘI asigurați-vă că certificatele de conectare emise de autorități se află în magazinul NTAuth. S-au adăugat pași pentru a trece la modul Impunere și s-a adăugat o notă de excepție pentru a întârzia mutarea atunci când aveți controlere de domeniu care acceptă autentificarea autosemnată bazată pe certificat utilizată în mai multe scenarii.Text original: Pentru a activa comportamentul nou și a fi sigur de vulnerabilitate, trebuie să vă asigurați că toate controlerele de domeniu Windows sunt actualizate și că setarea cheii de registry AllowNtAuthPolicyBypass este setată la 2.

  • Adăugasem conținut suplimentar la secțiunile "Comentarii" din secțiunile "Informații cheie de registry" și "Evenimente de audit".

  • S-a adăugat o secțiune "Problemă cunoscută".

În acest articol

Rezumat

Actualizările de securitate Windows lansate la sau după 8 aprilie 2025 conțin protecții pentru o vulnerabilitate cu autentificare Kerberos. Această actualizare furnizează o modificare a comportamentului atunci când autoritatea emitentă a certificatului utilizat pentru autentificarea bazată pe certificat a unui principal de securitate (CBA) este de încredere, dar nu în depozitul NTAuth și în atributul altSecID al principalului de securitate, utilizând autentificarea bazată pe certificat. Pentru a afla mai multe despre această vulnerabilitate, consultați CVE-2025-26647.

Acționați

Pentru a contribui la protejarea mediului și a preveni întreruperile, vă recomandăm următorii pași:

  1. ACTUALIZAți toate controlerele de domeniu cu o actualizare Windows lansată la sau după 8 aprilie 2025.

  2. MONITORIZAȚI evenimentele noi care vor fi vizibile pe controlerele de domeniu pentru a identifica autoritățile de certificare afectate.

  3. ACTIVA Modul impunere după mediul dvs. utilizează acum doar certificate de conectare emise de autoritățile din magazinul NTAuth.

atribute altSecID

Următorul tabel listează toate atributele Alternative Security Identifiers (altSecIDs) și altSecIDs care sunt afectate de această modificare.

Listă de atribute certificate care ar putea fi mapate la altSecIDs 

AltSecIDs care necesită un certificat care se potrivește la lanțul de la magazinul NTAuth

X509IssuerSubject

Număr X509IssuerSerialNumber

X509SKI

Cheie X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

Număr X509IssuerSerialNumber

X509SKI

Cheie X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Cronologia modificărilor

8 aprilie 2025: Etapa inițială de implementare – modul auditare

Faza inițială de implementare (mod audit ) începe cu actualizările lansate pe 8 aprilie 2025. Aceste actualizări modifică comportamentul care detectează creșterea vulnerabilității privilegiilor descrisă în CVE-2025-26647 , dar nu o impune inițial.

În modul auditare , ID-ul de eveniment: 45 va fi conectat la controlerul de domeniu atunci când primește o solicitare de autentificare Kerberos cu un certificat nesigur. Solicitarea de autentificare va fi permisă și nu se așteaptă erori de client.

Pentru a activa modificarea comportamentului și a fi în siguranță de vulnerabilitate, trebuie să vă asigurați că toate controlerele de domeniu Windows sunt actualizate cu o lansare de actualizare Windows la sau după 8 aprilie 2025, iar setarea cheii de registry AllowNtAuthPolicyBypass este setată la 2 pentru a configura modul Impunere .

Atunci când sunteți în modul Impunere , dacă controlerul de domeniu primește o solicitare de autentificare Kerberos cu un certificat nesigur, acesta va înregistra în jurnal ID-ul de eveniment moștenit: 21 și va refuza solicitarea.

Pentru a activa protecțiile oferite de această actualizare, urmați acești pași:

  1. Aplicați actualizarea Windows lansată la sau după 8 aprilie 2025 la toate controlerele de domeniu din mediul dvs. După aplicarea actualizării, setarea AllowNtAuthPolicyBypass este setată implicit la 1 (Audit), care permite verificarea NTAuth și evenimentele de avertizare a jurnalului de auditare.IMPORTANT Dacă nu sunteți gata să aplicați protecțiile oferite de această actualizare, setați cheia de registry la 0 pentru a dezactiva temporar această modificare. Consultați secțiunea Informații despre cheia de registry pentru mai multe informații.

  2. Monitorizați evenimentele noi care vor fi vizibile pe controlerele de domeniu pentru a identifica autoritățile de certificare afectate care nu fac parte din depozitul NTAuth. ID-ul de eveniment pe care trebuie să-l monitorizați este ID-ul de eveniment: 45. Consultați secțiunea Evenimente de auditare pentru mai multe informații despre aceste evenimente.

  3. Asigurați-vă că toate certificatele client sunt valide și înlănțuite la o autoritate de certificare emitentă de încredere din magazinul NTAuth.

  4. După ce toate ID-ul de eveniment: 45 de evenimente sunt rezolvate, apoi puteți trece la modul Impunere . Pentru a face acest lucru, setați valoarea de registry AllowNtAuthPolicyBypass la 2. Consultați secțiunea Informații despre cheia de registry pentru mai multe informații.Notă Vă recomandăm să amânați temporar setarea AllowNtAuthPolicyBypass = 2 până după aplicarea actualizării Windows lansate după mai 2025 la controlerele de domeniu care oferă servicii de autentificare autosemnată, bazată pe certificat, utilizată în mai multe scenarii. Printre acestea se numără controlerele de domeniu care serviciu Windows Hello pentru business autentificarea cheii de încredere și autentificarea cheii publice de dispozitiv asociate la domeniu.

Iulie 2025: Faza implicită

Actualizări lansate în sau după iulie 2025 vor impune verificarea NTAuth Store în mod implicit. Setarea cheii de registry AllowNtAuthPolicyBypass le va permite în continuare clienților să revină la modul auditare , dacă este necesar. Totuși, capacitatea de a dezactiva complet această actualizare de securitate va fi eliminată.

Octombrie 2025: Mod impunere

Actualizări lansate în sau după octombrie 2025 vor întrerupe asistența Microsoft pentru cheia de registry AllowNtAuthPolicyBypass. În acest stadiu, toate certificatele trebuie să fie emise de către autoritățile care fac parte din magazinul NTAuth. 

Setări de registry și jurnale de evenimente

Informații cheie de registry

Următoarea cheie de registry permite auditarea scenariilor vulnerabile și impunerea modificării după ce sunt abordate certificatele vulnerabile. Cheia de registry nu este adăugată automat. Dacă trebuie să modificați comportamentul, trebuie să creați manual cheia de registry și să setați valoarea de care aveți nevoie. Rețineți că comportamentul sistemului de operare atunci când cheia de registry este neconfigurată va depinde de faza de implementare în care se află.

AllowNtAuthPolicyBypass

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valoare

AllowNtAuthPolicyBypass

Tip de date

REG_DWORD

Date valoare

0

Dezactivează modificarea în întregime.

1

Efectuează evenimentul de avertizare de verificare și înregistrare în jurnal NTAuth care indică certificatul care a fost emis de o autoritate care nu face parte din depozitul NTAuth (mod audit). (Comportament implicit începând cu lansarea din 8 aprilie 2025.)

2

Efectuați verificarea NTAuth și, dacă nu reușește, nu permiteți conectarea. Înregistrați evenimentele normale (existente) pentru o eroare AS-REQ cu un cod de eroare care indică faptul că verificarea NTAuth nu a reușit (mod impus ).

Comentarii

Setarea de registry AllowNtAuthPolicyBypass ar trebui configurată doar pe KDC-urile Windows care au instalat actualizările Windows lansate în sau după aprilie 2025.

Evenimente de audit

ID eveniment: 45 | Eveniment de auditare a verificării stocului de autentificare NT

Administratorii ar trebui să urmărească următorul eveniment adăugat prin instalarea actualizărilor Windows lansate la sau după 8 aprilie 2025. Dacă există, înseamnă că un certificat a fost emis de o autoritate care nu face parte din magazinul NTAuth.

Jurnal de evenimente

Sistem jurnal

Tip eveniment

Avertisment

Sursa de eveniment

Kerberos-Key-Distribution-Center

ID eveniment

45

Text eveniment

Centrul de distribuire cheie (KDC) a întâlnit un certificat de client care era valid, dar nu a fost înlănțuit la o rădăcină din depozitul NTAuth. Suportul pentru certificatele care nu se înlănțuie la magazinul NTAuth este perimat.

Suportul pentru legarea certificatelor la magazine non-NTAuth este perimat și nesigur.Consultați https://go.microsoft.com/fwlink/?linkid=2300705 pentru a afla mai multe.

 Utilizator: <> UserName  Subiect certificat: <subiect certificat>  Emitent certificat: <emitent certificat>  Număr de serie certificat: număr de serie certificat<>  Amprenta certificatului: < CertThumbprint>

Comentarii

  • Viitoarele actualizări Windows vor optimiza numărul de controlere de domeniu protejate cu CVE-2025-26647 conectate la Eveniment 45.

  • Administratorii pot ignora înregistrarea în jurnal a evenimentului 45 Kerberos-Key-Distribution-Center în următoarele circumstanțe:

    • Windows Hello pentru business (WHfB) conectează utilizatorul acolo unde subiectul și emitentul certificatelor corespund formatului: <SID>/<UID>/login.windows.net/<ID-ul de entitate găzduită>/<>

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) logons where the user is a computer account (terminate by a trailing $character)), the subject and issuer are the same computer, and the serial number is 01.

ID eveniment: 21 | Eveniment eroare AS-REQ

După abordarea evenimentului 45 Kerberos-Key-Distribution-Center, înregistrarea în jurnal a acestui eveniment generic, moștenit indică faptul că certificatul client nu este încă de încredere. Acest eveniment poate fi înregistrat din mai multe motive, dintre care unul este că un certificat de client valid NU este înlănțuit la o autoritate de certificare emitentă din magazinul NTAuth.

Jurnal de evenimente

Sistem jurnal

Tip eveniment

Avertisment

Sursa de eveniment

Kerberos-Key-Distribution-Center

ID eveniment

21

Text eveniment

Certificatul de client pentru utilizatorul <domeniu\numeutilizator> nu este valid și a avut ca rezultat o conectare smartcard nereușită.

Contactați utilizatorul pentru mai multe informații despre certificatul pe care încearcă să-l utilizeze pentru conectarea smartcard.

Starea lanțului a fost: un lanț de certificare procesat corect, dar unul dintre certificatele CA nu este de încredere de către furnizorul de politică.

Comentarii

  • Un ID eveniment: 21 care face referire la un cont "utilizator" sau "computer" descrie coordonatorul de securitate care inițiază autentificarea Kerberos.

  • Windows Hello pentru business (WHfB) va face referire la un cont de utilizator.

  • Machine Public Key Cryptography for Initial Authentication (PKINIT) face referire la un cont de computer.

Problemă cunoscută

Clienții au raportat probleme cu ID-ul de eveniment: 45 și ID-ul de eveniment: 21 declanșate de autentificarea bazată pe certificat utilizând certificate autosemnate. Pentru a vedea mai multe informații, consultați problema cunoscută documentată despre starea de bună funcționare a windowsului:

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate