Исходная дата публикации: 29 августа 2025 г.
Идентификатор базы знаний: 5066470
Введение
В этой статье подробно описаны последние и предстоящие изменения в Windows 11 версии 24H2 и Windows Server 2025 г., с акцентом на аудите и последующем применении блокировки шифрования на основе NTLMv1. Эти изменения являются частью более широкой инициативы Майкрософт по поэтапному отказу от NTLM.
Краткое описание ситуации
Корпорация Майкрософт удалила протокол NTLMv1 (см. раздел Удаленные функции и функции) из Windows 11 версии 24H2 и Windows Server 2025 и более поздних версиях. Однако, хотя протокол NTLMv1 удаляется, остатки шифрования NTLMv1 по-прежнему присутствуют в некоторых сценариях, например при использовании MS-CHAPv2 в среде, присоединенной к домену.
Credential Guard обеспечивает полную защиту как устаревшей шифрования NTLMv1, так и многих других направлений атак, поэтому корпорация Майкрософт настоятельно рекомендует ее развертывание и включение при выполнении требований Credential Guard. Предстоящие изменения затрагивают только те устройства, на которых отключено Credential Guard. Если на устройстве включена функция Windows Credential Guard, изменения, описанные в этой статье, не вступают в силу.
Цель
После прекращения использования NTLM (см. раздел Нерекомендуемые функции) и удаления протокола NTLMv1 корпорация Майкрософт работает над завершением отключения NTLMv1 путем отключения учетных данных, производных от NTLMv1.
Предстоящие изменения
В это обновление включены два новых изменения: введение нового раздела реестра и новые журналы событий. Временная шкала этих изменений см. в разделе Развертывание изменений.
Новый раздел реестра
Добавлен новый раздел реестра, определяющий, находятся ли изменения в режиме аудита или в режиме принудительного применения.
|
Расположение реестра |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value (Значение) |
BlockNtlmv1SSO |
|
Type (Тип) |
REG_DWORD |
|
Data (Данные) |
|
Новые возможности аудита
-
При использовании параметров аудита (по умолчанию)
Журнал событий
Microsoft-Windows-NTLM/Operational
Тип мероприятия
Предупреждение
Источник события
NTLM
Идентификатор события
4024
Текст события
Аудит попытки использования учетных данных, производных от NTLMv1, для единого входа Целевой сервер: <domain_name> Предоставленный пользователь: <user_name> Предоставленный домен: <domain_name> PID клиентского процесса: <process_identifier> Имя клиентского процесса: <process_name> LUID клиентского процесса: <locally_unique_identifier> Идентификатор пользователя клиентского процесса: <user_name> Доменное имя удостоверения пользователя клиентского процесса: <domain_name> OID механизма: <object_identifier> Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2321802.
-
При использовании параметров принудительного применения
Журнал событий
Microsoft-Windows-NTLM/Operational
Тип мероприятия
Ошибка
Источник события
NTLM
Идентификатор события
4025
Текст события
Попытка использовать учетные данные, производные от NTLMv1, для отдельной Sign-On была заблокирована из-за политики.Целевой сервер: <domain_name> Предоставленный пользователь: <user_name> Предоставленный домен: <domain_name> PID клиентского процесса: <process_identifier> Имя клиентского процесса: <process_name> LUID клиентского процесса: <locally_unique_identifier> Идентификатор пользователя клиентского процесса: <user_name> Доменное имя удостоверения пользователя клиентского процесса: <domain_name> OID механизма: <object_identifier> Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2321802.
Дополнительные сведения о других улучшениях аудита см. в статье Обзор усовершенствований аудита NTLM в Windows 11 версии 24H2 и Windows Server 2025 г.
Развертывание изменений
В сентябре 2025 г. и более поздних обновлениях изменения будут развернуты для Windows 11 версии 24H2 и более поздних версий клиентской ОС в режиме аудита. В этом режиме идентификатор события: 4024 будет регистрироваться при каждом использовании учетных данных, производных от NTLMv1, но проверка подлинности будет продолжать работать. Развертывание достигнет Windows Server 2025 году позже в этом году.
В октябре 2026 г. корпорация Майкрософт установит для раздела реестра BlockNTLMv1SSO значение 1 (Принудительно), а не 0 (аудит), если раздел реестра BlockNTLMv1SSO не был развернут на устройстве.
Временная шкала
|
Дата |
Изменение |
|
Конец августа 2025 г. |
Журналы аудита для использования NTLMv1, включенные на Windows 11, версии 24H2 и более поздних клиентов. |
|
Ноябрь 2025 г. |
Начните развертывание изменений Windows Server 2025 г. |
|
Октябрь 2026 г. |
Значение по умолчанию раздела реестра BlockNtlmv1SSO меняется с режима аудита (0) на режим принудительного применения (1) в будущем обновлении Windows, что усиливает ограничения NTLMv1. Это изменение по умолчанию вступает в силу только в том случае, если раздел реестра BlockNtlmv1SSO не развернут. |
Примечание. Эти даты являются предварительными и могут быть изменены.
Часто задаваемые вопросы
Корпорация Майкрософт использует метод постепенного развертывания для распространения обновления выпуска в течение определенного периода времени, а не сразу. Это означает, что пользователи получают обновления в разное время, и они могут быть доступны не сразу для всех пользователей.
Учетные данные, производные от NTLMv1, используются в некоторых протоколах более высокого уровня для отдельных Sign-On целей; примеры включают развертывания Wi-Fi, Ethernet и VPN с использованием MS-CHAPv2 проверки подлинности. Как и при включении Credential Guard, потоки с одним Sign-On для этих протоколов не будут работать, но ввод учетных данных вручную будет продолжать работать даже в режиме принудительного применения . Дополнительные сведения и рекомендации см. в разделе Рекомендации и известные проблемы при использовании Credential Guard.
Единственное сходство между этим обновлением и Credential Guard — это защита учетных данных пользователя от шифрования на основе NTLMv1. Это обновление не обеспечивает широкую и надежную защиту Credential Guard. Корпорация Майкрософт рекомендует включить Credential Guard на всех поддерживаемых платформах.
