Pôvodný dátum publikovania: Apríl 2023
KB ID: 5036534
|
Zmeniť dátum |
Popis |
|---|---|
|
8. apríla 2025 |
|
|
19. februára 2025 |
|
|
30. januára 2025 |
|
|
17. januára 2025 |
|
|
10. marca 2024 |
|
Úvod
Stvrdnutie je kľúčovým prvkom našej prebiehajúcej bezpečnostnej stratégie, ktorá pomáha chrániť vaše panstvo, kým sa sústredíte na svoju prácu. Čoraz kreatívnejšie kybernetické útoky sa zameriavajú na nedostatky všade, kde je to možné, od čipu až po cloud.
Tento článok sa týka zraniteľných oblastí, ktoré prechádzajú stvrdnutými zmenami implementovanými prostredníctvom aktualizácií zabezpečenia windowsu. V Centre správ systému Windows tiež uverejníme pripomenutia, aby správcovia IT upozorňovali na vytvrdnutie kľúčových dátumov počas ich približovania.
Poznámka: Tento článok sa bude časom aktualizovať a poskytne najnovšie informácie o spevnení zmien a časových osách. Najnovšie zmeny nájdete v časti Denník zmien .
Kalenie zmien podľa mesiacov
Pozrite si podrobnosti o najnovších a nadchádzajúcich vystupujúcich zmenách podľa mesiacov, ktoré vám pomôžu naplánovať každú fázu a konečné uplatnenie.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 1 Počiatočná fáza nasadenia. Windows Aktualizácie vydaný 9. mája 2023 alebo po ňom a zaoberá sa zraniteľnosťami s adresami diskutovanými v CVE-2023-24932, zmenami súčastí spúšťania systému Windows a dvomi súbormi na zrušenie, ktoré možno manuálne použiť (politika integrity kódu a aktualizovaný zoznam nepovolených funkcií zabezpečeného spustenia (DBX).
-
Zmeny protokolu Netlogon KB5021130 | Fáza 3 Predvolene vynútenie. Podkľúč RequireSeal sa presunie do režimu vynútenia, pokiaľ ho explicitne nenakonfigurujete tak, aby bol v režime kompatibility.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 3 Tretia fáza nasadenia. Odstráni možnosť zakázať pridanie podpisu PAC nastavením podkľúča KrbtgtFullPacSignature na hodnotu 0.
-
Zmeny protokolu Netlogon KB5021130 | Fáza 4 Konečná exekútorka. Aktualizácie Windowsu vydané 11. júla 2023 odstránia možnosť nastaviť hodnotu 1 na podkľúč RequireSeal Registry. To umožňuje fázu presadzovania cve-2022-38023.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 4 Počiatočný režim vynútenia. Odstráni možnosť nastaviť hodnotu 1 pre podkľúč KrbtgtFullPacSignature a prejde do režimu presadzovania ako predvolený (KrbtgtFullPacSignature = 3), ktorý môžete prepísať explicitným nastavením auditu.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 2 Druhá fáza nasadenia. Aktualizácie pre Windows vydané 11. júla 2023 alebo po nej zahŕňajú automatizované nasadenie súborov zrušenia, nové udalosti denníka udalostí, ktoré hlásia, či bolo nasadenie zrušenia úspešné, a balík dynamickej aktualizácie SafeOS pre WinRE.
-
Podpisy PAC protokolu Kerberos KB5020805 | Fáza 5
Fáza úplného presadzovania. Odstráni podporu pre podkľúč Databázy Registry KrbtgtFullPacSignature, odstráni podporu režimu auditu a všetky žiadosti o službu bez nových podpisov PAC budú zamietnuté.
-
Aktualizácie povolení služby Active Directory (AD) KB5008383 | Fáza 5 Finálna fáza nasadenia. Konečná fáza nasadenia sa môže začať po dokončení krokov uvedených v časti "Vykonať akciu" v KB5008383. Ak sa chcete presunúť do režimu presadzovania , postupujte podľa pokynov v časti Pokyny na nasadenie a nastavte 28. a 29. bity atribútu dSHeuristics . Potom sledujte udalosti 3044-3046. Hlásia sa, keď režim vynútenia zablokoval operáciu pridania alebo úpravy LDAP, ktorá mohla byť predtým povolená v režime auditu .
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 3 Tretia fáza nasadenia. Táto fáza pridá ďalšie obmedzenia rizík správcu spustenia. Táto fáza sa začne najskôr 9. apríla 2024.
-
Zmeny overenia PAC KB5037754 | Fáza režimu kompatibility
Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 9. apríla 2024. Táto aktualizácia pridáva nové správanie, ktoré zabraňuje zvýšenia zraniteľnosti oprávnení popísaných v CVE-2024-26248 a CVE-2024-29056, ale nevynucuje ju, pokiaľ sa neaktualizujú radiče domény systému Windows aj klienti windowsu v prostredí.
Ak chcete povoliť nové správanie a zmierniť slabé miesta, musíte skontrolovať, či je aktualizované celé prostredie systému Windows (vrátane radičov domény aj klientov). Udalosti auditu sa zapíšu do denníka, čo pomôže identifikovať zariadenia, ktoré sa neaktualizovali.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza 3 Povinná fáza presadzovania. Zrušenia (politika spustenia integrity kódu a zoznam nepovolených zabezpečenia zabezpečeného spustenia) sa budú programovo uplatňovať po inštalácii aktualizácií windowsu do všetkých dotknutých systémov bez možnosti vypnutia.
-
Zmeny overenia PAC KB5037754 | Predvolená fáza vynútenia
Aktualizácie vydané v januári 2025 alebo po jeho vydaní premiestnia všetky radiče domény systému Windows a klientov v prostredí do vynúteného režimu. Tento režim predvolene vynucuje zabezpečené správanie. Existujúce nastavenia kľúča databázy Registry, ktoré boli predtým nastavené, prepíšu túto predvolenú zmenu správania.
Predvolené nastavenia vynúteného režimu môže správca prepísať, aby sa vrátil do režimu kompatibility.
-
Overovanie na základe certifikátu KB5014754 | Fáza 3 Režim úplného vynútenia. Ak certifikát nie je možné pevne priradiť, overovanie sa zamietne.
-
Zmeny overenia PAC KB5037754 | Fáza presadzovania Aktualizácie zabezpečenia systému Windows vydané v apríli 2025 alebo po ňom odstránia podporu podkľúčových kľúčov databázy Registry PacSignatureValidationLevel a CrossDomainFilteringLevel a vynucujú nové zabezpečené správanie. Po inštalácii aktualizácie z apríla 2025 nebude k dispozícii žiadna podpora režimu kompatibility.
-
Ochrana overenia protokolu Kerberos pre CVE-2025-26647 KB5057784 | Režim auditu Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 8. apríla 2025. Tieto aktualizácie pridávať nové správanie, ktoré zisťuje zvýšenie zraniteľnosti oprávnenia popísané v CVE-2025-26647 , ale nevynucuje ho. Ak chcete povoliť nové správanie a byť v bezpečí pred zraniteľnosťou, musíte zabezpečiť aktualizáciu všetkých radičov domény systému Windows a nastavenie kľúča AllowNtAuthPolicyBypass databázy Registry je nastavené na hodnotu 2.
-
Ochrana overenia protokolu Kerberos pre CVE-2025-26647 KB5057784 | Vynútená predvolenou fázou Aktualizácie vydaná v júli 2025 alebo po jej vydaní, predvolene vynúti kontrolu ukladacieho priestoru NTAuth. Nastavenie kľúča databázy Registry AllowNtAuthPolicyBypass umožní zákazníkom v prípade potreby prejsť späť do režimu auditu. Možnosť úplného vypnutia tejto aktualizácie zabezpečenia sa však odstráni.
-
Ochrana overenia protokolu Kerberos pre CVE-2025-26647 KB5057784 | Režim vynútenia Aktualizácie vydaná v októbri 2025 alebo po jej skončení ukončí podporu spoločnosti Microsoft pre kľúč databázy Registry AllowNtAuthPolicyBypass. V tejto fáze musia všetky certifikáty vydávať orgány, ktoré sú súčasťou ukladacieho priestoru NTAuth.
-
Zabezpečenie ochrany pred obídením spustenia KB5025885 | Fáza presadzovania Fáza presadzovania sa nezačne skôr ako v januári 2026 a pred začatím tejto fázy poskytneme v tomto článku aspoň šesť mesiacov vopred upozornenie. Po vydaní aktualizácií pre fázu presadzovania budú obsahovať tieto aktualizácie:
-
Certifikát Windows Production PCA 2011 sa automaticky zruší tým, že sa pridá do zoznamu povolených zariadení so zakázaným spustením UEFI (DBX). Tieto aktualizácie sa programovo vynútia po inštalácii aktualizácií windowsu do všetkých dotknutých systémov bez možnosti vypnutia.
-
Ďalšie kľúčové zmeny vo Windowse
Každá verzia klienta a Windows Server systému Windows pridáva nové funkcie. Niekedy nové verzie tiež odstránia funkcie a funkcie, často preto, že existuje novšia možnosť. Podrobnosti o funkciách a funkciách, ktoré sa už nevyvíjajú vo Windowse, nájdete v nasledujúcich článkoch.
Klient
Server
Získanie najnovších noviniek
Ak chcete jednoducho nájsť najnovšie aktualizácie a pripomenutia, označte centrum správ vo Windowse záložkou. Ak ste správcom IT s prístupom k Centrum spravovania služby Microsoft 365, nastavte si predvoľby e-mailu v Centrum spravovania služby Microsoft 365, aby ste dostávali dôležité oznámenia a aktualizácie.
