|
Zmeniť dátum |
Zmeniť popis |
|---|---|
|
10. marca 2024 |
Revidovala sa mesačná časová os, ktorá pridala ďalší stvrdnutý súvisiaci obsah a odstránila položku z februára 2024 z časovej osi, pretože nevytvrdzuje súvisiace položky. |
Úvod
Stvrdnutie je kľúčovým prvkom našej prebiehajúcej bezpečnostnej stratégie, ktorá pomáha chrániť vaše panstvo, kým sa sústredíte na svoju prácu. Čoraz kreatívnejšie kybernetické útoky sa zameriavajú na nedostatky všade, kde je to možné, od čipu až po cloud. Videli ste naše publikácie o spevnení v centre správ pre Windows? Niektoré z týchto nedávno vynútené patrí DCOM overovanie stvrdnutie a Netjoin: doména pripojiť stvrdnutie. Pozrime sa na zraniteľné oblasti, ktoré v nadchádzajúcich mesiacoch prechádzajú stvrdnutím.
Poznámka: Tento článok sa bude časom aktualizovať a poskytne najnovšie informácie o spevnení zmien a časových osách. Posledná aktualizácia: 10. marca 2024.
Sprísnenie zmien na prvý pohľad
Skontrolujte vizuálnu časovú os a zamerajte sa na konkrétne zmeny, ktoré vás zaujímajú. Podrobnosti o jednotlivých fázach nájdete nižšie.
Obrázok 1: Vizuálna časová os znásobených zmien, ktoré sa uskutočnia v roku 2023.
Obrázok 2: Vizuálna časová os znásobených zmien, ktoré sa uskutočnia v roku 2024.
Kalenie zmien podľa mesiacov
Prečítajte si podrobnosti o všetkých nadchádzajúcich zmenách v oblasti spevnenia podľa mesiacov, ktoré vám pomôžu naplánovať každú fázu a konečné vynútenie.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 1
Počiatočná fáza nasadenia. Windows Aktualizácie vydaný 9. mája 2023 alebo po ňom a zaoberá sa zraniteľnosťami s adresami diskutovanými v CVE-2023-24932, zmenami súčastí spúšťania systému Windows a dvomi súbormi na zrušenie, ktoré možno manuálne použiť (politika integrity kódu a aktualizovaný zoznam nepovolených funkcií zabezpečeného spustenia (DBX).
-
Zmeny protokolu Netlogon KB5021130 | Fáza 3
Predvolene vynútenie. Podkľúč RequireSeal sa presunie do režimu vynútenia, pokiaľ ho explicitne nenakonfigurujete tak, aby bol v režime kompatibility. -
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 3
Tretia fáza nasadenia. Odstráni možnosť zakázať pridanie podpisu PAC nastavením podkľúča KrbtgtFullPacSignature na hodnotu 0.
-
Zmeny protokolu Netlogon KB5021130 | Fáza 4
Konečná exekútorka. Aktualizácie Windowsu vydané 11. júla 2023 odstránia možnosť nastaviť hodnotu 1 na podkľúč RequireSeal Registry. To umožňuje fázu presadzovania cve-2022-38023. -
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 4
Počiatočný režim vynútenia. Odstráni možnosť nastaviť hodnotu 1 pre podkľúč KrbtgtFullPacSignature a prejde do režimu presadzovania ako predvolený (KrbtgtFullPacSignature = 3), ktorý môžete prepísať explicitným nastavením auditu. -
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 2
Druhá fáza nasadenia. Aktualizácie pre Windows vydané 11. júla 2023 alebo po nej zahŕňajú automatizované nasadenie súborov zrušenia, nové udalosti denníka udalostí, ktoré hlásia, či bolo nasadenie zrušenia úspešné, a balík dynamickej aktualizácie SafeOS pre WinRE.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 5
Fáza úplného presadzovania. Odstráni podporu pre podkľúč Databázy Registry KrbtgtFullPacSignature, odstráni podporu režimu auditu a všetky žiadosti o službu bez nových podpisov PAC budú zamietnuté.
-
Aktualizácie povolení služby Active Directory (AD) KB5008383 | Fáza 5
Finálna fáza nasadenia. Konečná fáza nasadenia sa môže začať po dokončení krokov uvedených v časti "Vykonať akciu" v KB5008383. Ak sa chcete presunúť do režimu presadzovania , postupujte podľa pokynov v časti Pokyny na nasadenie a nastavte 28. a 29. bity atribútu dSHeuristics . Potom sledujte udalosti 3044-3046. Hlásia sa, keď režim vynútenia zablokoval operáciu pridania alebo úpravy LDAP, ktorá mohla byť predtým povolená v režime auditu .
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 3
Tretia fáza nasadenia. Táto fáza pridá ďalšie obmedzenia rizík správcu spustenia. Táto fáza sa začne najskôr 9. apríla 2024.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 3
Povinná fáza presadzovania. Zrušenia (politika spustenia integrity kódu a zoznam nepovolených zabezpečenia zabezpečeného spustenia) sa budú programovo uplatňovať po inštalácii aktualizácií windowsu do všetkých dotknutých systémov bez možnosti vypnutia.
-
Overovanie na základe certifikátu KB5014754 | Fáza 3
Režim úplného vynútenia. Ak certifikát nie je možné pevne priradiť, overovanie sa zamietne.
Získanie najnovších noviniek
Ak chcete jednoducho nájsť najnovšie aktualizácie a pripomenutia, označte centrum správ vo Windowse záložkou. Ak ste správcom IT s prístupom k Centrum spravovania služby Microsoft 365, nastavte si predvoľby e-mailu v Centrum spravovania služby Microsoft 365, aby ste dostávali dôležité oznámenia a aktualizácie.
