Pôvodný dátum publikovania: 29. augusta 2025
IDENTIFIKÁCIA DATABÁZY KB: 5066470
Úvod
Tento článok obsahuje podrobnosti o najnovších a nadchádzajúcich zmenách v Windows 11 verzie 24H2 a Windows Server 2025 so zameraním na auditovanie a prípadné presadzovanie blokovania kryptografie odvodenej od NTLMv1. Tieto zmeny sú súčasťou širšej iniciatívy spoločnosti Microsoft na postupné ukončenie NTLM.
Pozadie
Spoločnosť Microsoft odstránila protokol NTLMv1 (pozri odstránené funkcie) z Windows 11 verzie 24H2 a Windows Server 2025 a novších verzií. Avšak, kým NTLMv1 protokol je odstránený, zvyšky NTLMv1 kryptografie sú stále prítomné v niektorých scenároch, napríklad pri použití MS-CHAPv2 v doméne-spojené prostredie.
Credential Guard poskytuje úplnú ochranu staršej kryptografie NTLMv1 a mnohých ďalších útočných plôch, a preto spoločnosť Microsoft dôrazne odporúča jej nasadenie a povolenie, ak sú splnené požiadavky funkcie Credential Guard. Nadchádzajúce zmeny sa prejavia len v zariadeniach, v ktorých je zapnutá ochrana poverení. Ak je v zariadení zapnutá funkcia Windows Credential Guard, zmeny uvedené v tomto článku sa neupnú.
Cieľ
So zrušením NTLM (pozri zastarané funkcie) a odstránením protokolu NTLMv1 spoločnosť Microsoft pracuje na dokončení zakázania ntlmv1 zakázaním pomocou poverení odvodených od NTLMv1.
Nadchádzajúce zmeny
V tejto aktualizácii sú zahrnuté dve nové zmeny, zavedenie nového kľúča databázy Registry a nové denníky udalostí. Časovú os týchto zmien nájdete v časti Zavedenie zmien .
Nový kľúč databázy Registry
Zavádza sa nový kľúč databázy Registry, ktorý určuje, či sú zmeny v režime auditu alebo v režime vynútenia.
|
Umiestnenie databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Hodnota |
BlockNtlmv1SSO |
|
Typ |
REG_DWORD |
|
Údaje |
|
Nové možnosti auditovania
-
Pri použití nastavení auditu (predvolené)
Denník udalostí
Microsoft-Windows-NTLM/Prevádzkové
Typ udalosti
Upozornenie
Zdroj udalosti
NTLM
Identifikačné číslo udalosti
4024
Text udalosti
Auditovanie pokusu o použitie poverení odvodených od NTLMv1 pre jediné prihlásenie Cieľový server: <domain_name> Zadaný používateľ: <user_name> Zadaná doména: <domain_name> PID klientskeho procesu: <process_identifier> Názov klientskeho procesu: <process_name> IDENTIFIKÁTOR LUID klientskeho procesu: <locally_unique_identifier> Identita používateľa klientskeho procesu: <user_name> Názov domény identity používateľa klientskeho procesu: <domain_name> Mechanizmus OID: <object_identifier> Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2321802.
-
Pri použití vynútenia nastavení
Denník udalostí
Microsoft-Windows-NTLM/Prevádzkové
Typ udalosti
Chyba
Zdroj udalosti
NTLM
Identifikačné číslo udalosti
4025
Text udalosti
Pokus o použitie poverení odvodených od NTLMv1 pre jediné Sign-On bol zablokovaný z dôvodu politiky.Cieľový server: <domain_name> Zadaný používateľ: <user_name> Zadaná doména: <domain_name> PID klientskeho procesu: <process_identifier> Názov klientskeho procesu: <process_name> IDENTIFIKÁTOR LUID klientskeho procesu: <locally_unique_identifier> Identita používateľa klientskeho procesu: <user_name> Názov domény identity používateľa klientskeho procesu: <domain_name> Mechanizmus OID: <object_identifier> Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2321802.
Ďalšie informácie o ďalších vylepšeniach auditovania nájdete v téme Prehľad vylepšení auditovania NTLM v Windows 11, verzii 24H2 a Windows Server 2025.
Zavedenie zmien
V septembri 2025 a novších aktualizáciách sa zmeny zadajú do Windows 11 verzie 24H2 a novšieho klientskeho operačného systému v režime auditu. V tomto režime id udalosti: 4024 sa zapíše do denníka vždy, keď sa použijú poverenia odvodené od NTLMv1, ale overovanie bude fungovať aj naďalej. Zavedenie dosiahne Windows Server 2025 neskôr v priebehu roka.
V októbri 2026 nastaví spoločnosť Microsoft predvolenú hodnotu kľúča databázy Registry BlockNTLMv1SSO na hodnotu 1 (Vynútiť) namiesto hodnoty 0 (audit), ak kľúč databázy Registry BlockNTLMv1SSO nebol nasadený v zariadení.
Časová os
|
Dátum |
Zmena |
|
Koniec augusta 2025 |
Denníky auditovania používania NTLMv1 povolené v Windows 11, verzii 24H2 a novších klientoch. |
|
November 2025 |
Začnite zavádzať zmeny do Windows Server 2025. |
|
Október 2026 |
Predvolená hodnota kľúča databázy Registry BlockNtlmv1SSO sa zmení z režimu auditu (0) na režim vynútenia (1) prostredníctvom budúcej aktualizácie Windowsu, čím sa posilnia obmedzenia NTLMv1. Táto zmena predvolených nastavení sa prejaví len vtedy, ak kľúč databázy Registry BlockNtlmv1SSO nebol nasadený. |
Poznámka: Tieto dátumy sú nezáväzné a môžu sa meniť.
Najčastejšie otázky
Spoločnosť Microsoft používa metódu postupného zavádzania na distribúciu aktualizácie vydania v určitom časovom období, a nie všetky naraz. Znamená to, že používatelia dostávajú aktualizácie v rôznom čase a nemusia byť okamžite k dispozícii pre všetkých používateľov.
Poverenia odvodené od NTLMv1 používajú niektoré protokoly vyššej úrovne na účely jednoduchého Sign-On; Príkladmi sú nasadenia Wi-Fi, Ethernet a VPN pomocou overovania MS-CHAPv2. Podobne ako keď je zapnutá funkcia Credential Guard, postupy s jednou Sign-On pre tieto protokoly nebudú fungovať, ale manuálne zadávanie poverení bude fungovať aj v režime vynútenia . Ďalšie informácie a najvhodnejšie postupy nájdete v téme Dôležité informácie a známe problémy pri používaní funkcie Credential Guard.
Jedinou podobnosťou medzi touto aktualizáciou a ochranou poverení je ochrana okolo používateľských poverení z kryptografie odvodenej od NTLMv1. Táto aktualizácia neposkytuje širokú a robustnú ochranu funkcie Credential Guard. Spoločnosť Microsoft odporúča povolenie Credential Guard na všetkých podporovaných platformách.
