Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Исходная дата публикации: 8 апреля 2025 г.

Идентификатор базы знаний: 5057784

Дата изменения

Описание изменений

9 мая 2025 г.

  • В разделе "Сводка" термин "привилегированная учетная запись" заменен на "субъект безопасности с использованием проверки подлинности на основе сертификата".

  • Переформулировал шаг "Включить" в разделе "Действие", чтобы уточнить использование сертификатов входа, выданных центрами, которые находятся в хранилище NTAuth.Исходный текст:включить режим принудительного применения, когда в вашей среде больше не используются сертификаты входа, выданные центрами, которые не находятся в хранилище NTAuth.

  • В разделе "8 апреля 2025 г. Этап первоначального развертывания — режим аудита" внесены значительные изменения, подчеркнув, что перед включением защиты, предлагаемой этим обновлением, должны существовать определенные условия... Это обновление должно быть применено ко всем контроллерам домена и убедитесь, что сертификаты входа, выданные центрами, находятся в хранилище NTAuth. Добавлены шаги для перехода в режим принудительного применения и добавлено примечание об исключении для задержки перемещения при наличии контроллеров домена, которые используют самозаверяющую проверку подлинности на основе сертификатов.Исходный текст: Чтобы включить новое поведение и защититься от уязвимости, необходимо убедиться, что все контроллеры домена Windows обновлены, а параметру реестра AllowNtAuthPolicyBypass присвоено значение 2.

  • Добавлено дополнительное содержимое в раздел "Комментарии" разделов "Сведения о разделе реестра" и "События аудита".

  • Добавлен раздел "Известная проблема".

В этой статье

Сводка

Обновления системы безопасности Windows, выпущенные 8 апреля 2025 г. или позже, содержат средства защиты от уязвимости с проверкой подлинности Kerberos. Это обновление обеспечивает изменение в поведении, если центр выдачи сертификата, используемый для проверки подлинности на основе сертификата субъекта безопасности (CBA), является доверенным, но не в хранилище NTAuth, а сопоставление идентификатора ключа субъекта (SKI) присутствует в атрибуте altSecID субъекта безопасности, использующего проверку подлинности на основе сертификата. Дополнительные сведения об этой уязвимости см. в статье CVE-2025-26647.

Действие

Чтобы защитить среду и предотвратить сбои, мы рекомендуем выполнить следующие действия.

  1. ОБНОВЛЕНИЕ всех контроллеров домена с обновлением Windows, выпущенным 8 апреля 2025 г. или позже.

  2. Отслеживайте новые события, которые будут отображаться на контроллерах домена для выявления затронутых центров сертификации.

  3. ДАВАТЬ ВОЗМОЖНОСТЬ Режим принудительного применения после того, как среда теперь использует только сертификаты входа, выданные центрами, которые находятся в хранилище NTAuth.

Атрибуты altSecID

В следующей таблице перечислены все атрибуты альтернативных идентификаторов безопасности (altSecID) и altSecID, на которые влияет это изменение.

Список атрибутов сертификата, которые можно сопоставить с altSecID 

AltSecID, для которых требуется соответствующий сертификат для цепочки с хранилищем NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Временная шкала изменений

8 апреля 2025 г.: этап начального развертывания — режим аудита

Начальный этап развертывания (режим аудита ) начинается с обновлений, выпущенных 8 апреля 2025 г. Эти обновления изменяют поведение, которое обнаруживает уязвимость к повышению привилегий, описанную в CVE-2025-26647 , но изначально не применяет ее.

В режиме аудитаидентификатор события: 45 будет зарегистрирован на контроллере домена при получении запроса на проверку подлинности Kerberos с небезопасным сертификатом. Запрос проверки подлинности будет разрешен, и никаких ошибок клиента не ожидается.

Чтобы включить изменение в поведении и защититься от уязвимости, необходимо убедиться, что все контроллеры домена Windows обновлены с 8 апреля 2025 г. или позже, а параметру реестра AllowNtAuthPolicyBypass присвоено значение 2 , чтобы настроить режим принудительного применения .

В режиме принудительного применения , если контроллер домена получает запрос на проверку подлинности Kerberos с небезопасным сертификатом, он регистрирует устаревший идентификатор события: 21 и отклоняет запрос.

Чтобы включить защиту, предлагаемую этим обновлением, выполните следующие действия.

  1. Примените обновление Windows, выпущенное 8 апреля 2025 г. или позже, ко всем контроллерам домена в вашей среде. После применения обновления для параметра реестра AllowNtAuthPolicyBypass устанавливается значение 1, которое включает проверка NTAuth и события предупреждений журнала аудита.ВАЖНЫЙ Если вы не готовы применить защиту, предлагаемую этим обновлением, задайте для раздела реестра значение 0 , чтобы временно отключить это изменение. Дополнительные сведения см. в разделе Сведения о разделе разделов реестра .

  2. Отслеживайте новые события, которые будут отображаться на контроллерах домена, чтобы определить затронутые центры сертификации, которые не являются частью хранилища NTAuth. Идентификатор события, который необходимо отслеживать, — это идентификатор события: 45. Дополнительные сведения об этих событиях см. в разделе События аудита .

  3. Убедитесь, что все клиентские сертификаты действительны и привязаны к доверенному ЦС выдачи в хранилище NTAuth.

  4. После разрешения всех событий с идентификатором события: 45, можно перейти в режим принудительного применения . Для этого задайте для параметра реестра AllowNtAuthPolicyBypass значение 2. Дополнительные сведения см. в разделе Сведения о разделе разделов реестра .Заметка Рекомендуется временно отложить задание AllowNtAuthPolicyBypass = 2 до тех пор, пока не будет применено обновление Windows, выпущенное после мая 2025 г., к контроллерам домена, которые используют самозаверяющую проверку подлинности на основе сертификатов, которая используется в нескольких сценариях. Сюда входят контроллеры домена, службы которых Windows Hello для бизнеса доверия к ключам и проверки подлинности устройства с открытым ключом, присоединенным к домену.

Июль 2025 г.: этап принудительного применения по умолчанию

Обновления, выпущенные в июле 2025 года или позже, по умолчанию применяются проверка NTAuth Store. Параметр реестра AllowNtAuthPolicyBypass по-прежнему позволяет клиентам при необходимости вернуться в режим аудита . Однако возможность полностью отключить это обновление для системы безопасности будет удалена.

Октябрь 2025 г.: режим принудительного применения

Обновления выпущенном в октябре 2025 года или позже, корпорация Майкрософт прекратит поддержку раздела реестра AllowNtAuthPolicyBypass. На этом этапе все сертификаты должны быть выданы центрами, входящими в хранилище NTAuth. 

Параметры реестра и журналы событий

Сведения о разделе реестра

Следующий раздел реестра позволяет выполнять аудит уязвимых сценариев, а затем применять изменения после устранения проблем с уязвимыми сертификатами. Раздел реестра не будет создан автоматически. Поведение ОС, когда раздел реестра не настроен, будет зависеть от того, на каком этапе развертывания она находится.

AllowNtAuthPolicyBypass

Подраздел реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значение

AllowNtAuthPolicyBypass

Тип данных

REG_DWORD

Данные о значении

0

Полностью отключает изменение.

1

Выполняет проверка NTAuth и событие предупреждения журнала, указывающее сертификат, выданный центром, который не входит в хранилище NTAuth (режим аудита). (Поведение по умолчанию начиная с выпуска от 8 апреля 2025 г.)

2

Выполните проверка NTAuth и в случае сбоя не разрешите вход. Регистрировать обычные события (существующие) для сбоя AS-REQ с кодом ошибки, указывающим на сбой проверка NTAuth (принудительный режим).

Комментарии

Параметр реестра AllowNtAuthPolicyBypass должен быть настроен только на контроллерах домена Windows, таких как контроллеры домена, на которых установлены обновления Windows, выпущенные в мае 2025 года или позже.

События аудита

Идентификатор события: 45 | Событие аудита проверки проверки подлинности NT

Администраторы должны watch для следующего события, добавленного при установке обновлений Windows, выпущенных 8 апреля 2025 г. или позже. Если он существует, это означает, что сертификат был выдан центром, который не является частью хранилища NTAuth.

Журнал событий

Система журналов

Тип события

Предупреждение

Источник события

Kerberos-Key-Distribution-Center

Идентификатор события

45

Текст события

Центр распространения ключей (KDC) обнаружил сертификат клиента, который был действительным, но не привязан к корню в хранилище NTAuth. Поддержка сертификатов, которые не связаны с хранилищем NTAuth, устарела.

Поддержка цепочки сертификатов в хранилищах, отличных от NTAuth, является нерекомендуемой и небезопасной.Дополнительные сведения см . в https://go.microsoft.com/fwlink/?linkid=2300705 .

 User: <UserName>  Субъект сертификата: <Cert Subject>  Издатель сертификата: <издателя сертификата>  Серийный номер сертификата: серийный номер сертификата<>  Отпечаток сертификата: < CertThumbprint>

Комментарии

  • Будущие обновления Windows оптимизируют количество событий 45s, зарегистрированных на контроллерах домена, защищенных CVE-2025-26647.

  • Администраторы могут игнорировать ведение журнала события Kerberos-Key-Distribution-Center 45 в следующих случаях:

    • Windows Hello для бизнеса входа пользователя (WHfB), где субъект и издатель сертификатов соответствуют формату: <sid>/<UID>/login.windows.net/<идентификатор клиента>/<user UPN>

    • Шифрование открытого ключа компьютера для входа в систему начальной проверки подлинности (PKINIT), где пользователь является учетной записью компьютера (завершается конечным символом $), субъект и издатель являются одним и тем же компьютером, а серийный номер равен 01.

Идентификатор события: 21 | Событие сбоя AS-REQ

После обращения к событию Kerberos-Key-Distribution-Center 45 ведение журнала этого универсального устаревшего события указывает на то, что сертификат клиента по-прежнему НЕ является доверенным. Это событие может быть зарегистрировано по нескольким причинам, одна из которых заключается в том, что действительный сертификат клиента НЕ связан с выдающим ЦС в хранилище NTAuth.

Журнал событий

Система журналов

Тип события

Предупреждение

Источник события

Kerberos-Key-Distribution-Center

Идентификатор события

21

Текст события

Сертификат клиента для пользователя <домен\имя_пользователя> недопустим и привел к сбою входа со смарт-картой.

Обратитесь к пользователю за дополнительными сведениями о сертификате, который он пытается использовать для входа с помощью смарт-карты.

Состояние цепочки было: цепочка сертификации обработана правильно, но один из сертификатов ЦС не является доверенным поставщиком политики.

Комментарии

  • Идентификатор события: 21, который ссылается на учетную запись пользователя или компьютера, описывает субъект безопасности, инициирующий проверку подлинности Kerberos.

  • Windows Hello для бизнеса входы (WHfB) будут ссылаться на учетную запись пользователя.

  • Шифрование с открытым ключом компьютера для начальной проверки подлинности (PKINIT) ссылается на учетную запись компьютера.

Известная проблема

Клиенты сообщили о проблемах с идентификатором события: 45 и идентификатором события: 21, вызванными проверкой подлинности на основе сертификата с использованием самозаверяемых сертификатов. Дополнительные сведения см. в статье Об известной проблеме, описанной в разделе Работоспособность выпуска Windows:

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей