Последние рекомендации по обеспечению защиты Windows и ключевые даты

Изменения протокола netlogon KB5021130 | Этап 2

Начальный этап принудительного применения. Удаляет возможность отключения запечатывания RPC, задав значение 0 в подразделе реестра RequireSeal .

Проверка подлинности на основе сертификатов KB5014754 | Этап 2

Удаляет отключенный режим.

Защита от обхода безопасной загрузки KB5025885 | Этап 1

Этап начального развертывания. Windows Обновления, выпущенные 9 мая 2023 г. или позже, устраняют уязвимости, описанные в CVE-2023-24932, изменения компонентов загрузки Windows и два файла отзыва, которые можно применить вручную (политика целостности кода и обновленный список запрещенных безопасной загрузки (DBX)).

Изменения протокола netlogon KB5021130 | Этап 3

Принудительное применение по умолчанию. Подраздел RequireSeal будет перемещен в режим принудительного применения, если вы явно не настроили его в режиме совместимости.

Подписи PAC Kerberos KB5020805 | Этап 3

Третий этап развертывания. Удаляет возможность отключения добавления подписи PAC, задав для подраздела KrbtgtFullPacSignature значение 0.

Изменения протокола netlogon KB5021130 | Этап 4

Окончательное применение. Обновления Windows, выпущенные 11 июля 2023 г., отключат возможность присваивать значение 1 подразделу реестра RequireSeal. Это включает этап принудительного применения CVE-2022-38023.

Подписи PAC Kerberos KB5020805 | Этап 4

Режим начального принудительного применения. Удаляет возможность задавать значение 1 для подраздела KrbtgtFullPacSignature и переходит в режим принудительного применения по умолчанию (KrbtgtFullPacSignature = 3), который можно переопределить с помощью явного параметра аудита. 

Защита от обхода безопасной загрузки KB5025885 | Этап 2

Второй этап развертывания. Обновления для Windows, выпущенные 11 июля 2023 г. или позже, включают автоматическое развертывание файлов отзыва, новые события журнала событий, сообщающие об успешном развертывании отзыва, и пакет динамического обновления SafeOS для WinRE.

Подписи PAC Kerberos KB5020805 | Этап 5

Этап полного принудительного применения. Удаляет поддержку подраздела реестра KrbtgtFullPacSignature, удаляет поддержку режима аудита , и все билеты службы без новых подписей PAC будут отклонены в проверке подлинности.

Обновления разрешений Active Directory (AD) KB5008383 | Этап 5

Заключительный этап развертывания. Заключительный этап развертывания может начаться после выполнения действий, перечисленных в разделе "Выполнение действий" KB5008383. Чтобы перейти в режим принудительного применения , следуйте инструкциям в разделе Руководство по развертыванию, чтобы задать 28-й и 29-й биты в атрибуте dSHeuristics . Затем отслеживайте события 3044-3046. Они сообщают о том, что режим принудительного применения заблокировал операцию добавления или изменения LDAP, которая ранее могла быть разрешена в режиме аудита . 

Защита от обхода безопасной загрузки KB5025885 | Этап 3

Третий этап развертывания. На этом этапе будут добавлены дополнительные меры по устранению рисков диспетчера загрузки. Этот этап начнется не раньше 9 апреля 2024 г.

Изменения проверки PAC KB5037754 | Этап режима совместимости

Начальный этап развертывания начинается с обновлений, выпущенных 9 апреля 2024 г. Это обновление добавляет новое поведение, которое предотвращает повышение привилегий уязвимостей, описанных в CVE-2024-26248 и CVE-2024-29056, но не применяет его, если контроллеры домена Windows и клиенты Windows в среде не обновляются.

Чтобы включить новое поведение и устранить уязвимости, необходимо убедиться, что вся среда Windows (включая контроллеры домена и клиенты) обновлена. События аудита будут регистрироваться для идентификации устройств, не обновленных.

Защита от обхода безопасной загрузки KB5025885 | Этап 3

Этап обязательного принудительного применения. Отмены (политика загрузки целостности кода и список запретов безопасной загрузки) будут применяться программными средствами после установки обновлений для Windows во всех затронутых системах без возможности отключения.

Изменения проверки PAC KB5037754 | Этап принудительного применения по умолчанию

Обновления, выпущенные в январе 2025 года или позже, переместят все контроллеры домена и клиенты Windows в среде в режим Принудительно. Этот режим по умолчанию обеспечивает безопасное поведение. Существующие параметры раздела реестра, которые были заданы ранее, переопределяют это изменение поведения по умолчанию.

Параметры принудительного режима по умолчанию могут быть переопределены администратором, чтобы отменить изменения в режим совместимости.

Проверка подлинности на основе сертификатов KB5014754 | Этап 3

Режим полного принудительного применения. Если сертификат не может быть строго сопоставлен, проверка подлинности будет отклонена.

Изменения проверки PAC KB5037754 | Этап

принудительного применения Обновления для системы безопасности Windows, выпущенные в апреле 2025 г. или позже, удалят поддержку подразделов реестра PacSignatureValidationLevel и CrossDomainFilteringLevel и приведут к применению нового поведения безопасности. После установки обновления за апрель 2025 г. режим совместимости не будет поддерживаться.

Защита проверки подлинности Kerberos для CVE-2025-26647 KB5057784 | Режим

аудита Начальный этап развертывания начинается с обновлений, выпущенных 8 апреля 2025 г. Эти обновления добавляют новое поведение, которое обнаруживает уязвимость повышения привилегий, описанную в CVE-2025-26647 , но не применяет ее. Чтобы включить новое поведение и защититься от уязвимости, необходимо убедиться, что все контроллеры домена Windows обновлены, а параметру реестра AllowNtAuthPolicyBypass присвоено значение 2.

Защита проверки подлинности Kerberos для CVE-2025-26647 KB5057784 | На этапе

по умолчанию Обновления выпущенном в июле 2025 г. или позже, по умолчанию будет применяться проверка NTAuth Store. Параметр реестра AllowNtAuthPolicyBypass по-прежнему позволяет клиентам при необходимости вернуться в режим аудита. Однако возможность полностью отключить это обновление для системы безопасности будет удалена.

Защита проверки подлинности Kerberos для CVE-2025-26647 KB5057784 | Режим принудительного

применения ​​​​​​​Обновления выпущенном в октябре 2025 года или позже, корпорация Майкрософт прекратит поддержку раздела реестра AllowNtAuthPolicyBypass. На этом этапе все сертификаты должны быть выданы центрами, входящими в хранилище NTAuth.

Защита от обхода безопасной загрузки KB5025885 | Этап принудительного

применения Этап принудительного применения начнется не раньше января 2026 г., и мы предоставим по крайней мере шесть месяцев предварительного предупреждения в этой статье до начала этого этапа. При выпуске обновлений для этапа принудительного применения они будут включать в себя следующее:

• Сертификат Windows Production PCA 2011 будет автоматически отозван, добавив его в список запрещенных UEFI для безопасной загрузки (DBX) на устройствах с поддержкой. Эти обновления будут применяться программным способом после установки обновлений для Windows во всех затронутых системах без возможности отключения.