Pôvodný dátum publikovania: 8. apríla 2025
IDENTIFIKÁCIA DATABÁZY KB: 5057784
|
Zmeniť dátum |
Zmeniť popis |
|
22. júla 2025 |
|
|
9. mája 2025 |
|
V tomto článku
Zhrnutie
Aktualizácie zabezpečenia systému Windows vydané 8. apríla 2025 alebo po ich vydaní obsahujú ochranu pred zraniteľnosťou pri overovaní protokolom Kerberos. Táto aktualizácia poskytuje zmenu správania, keď je vydávajúca autorita certifikátu použitého na overenie založenú na certifikáte subjektu zabezpečenia (CBA) dôveryhodná, ale nie v ukladacom priestore NTAuth a priradenie kľúča predmetu (SKI) sa nachádza v atribúte altSecID objektu zabezpečenia pomocou overovania založeného na certifikáte. Ďalšie informácie o tomto zraniteľnosti nájdete v téme CVE-2025-26647.
Vykonať akciu
Ak chcete chrániť svoje prostredie a zabrániť výpadkom, odporúčame vykonať tieto kroky:
-
AKTUALIZUJTE všetky radiče domény aktualizáciou Windowsu vydanou 8. apríla 2025 alebo po jej vydaní.
-
Monitorujte nové udalosti, ktoré budú viditeľné na radičoch domény na identifikáciu dotknutých certifikačných úradov.
-
ZAPNÚŤ Režim presadzovania výkonu po vašom prostredí teraz používa iba prihlasovacie certifikáty vydané orgánmi, ktoré sú v ukladaní NTAuth.
atribúty altSecID
V nasledujúcej tabuľke sú uvedené všetky atribúty alternatívnych identifikátorov zabezpečenia (altSecIDs) a identifikátory ALTSecID, ktoré sú ovplyvnené touto zmenou.
|
Zoznam atribútov certifikátu, ktoré je možné priradiť k identifikátorom altSecIDs |
Identifikátory AltSecIDs, ktoré vyžadujú zhodný certifikát na reťaz s ukladacím priestorom NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Časová os zmien
8. apríla 2025: Počiatočná fáza nasadenia – režim auditu
Počiatočná fáza nasadenia (režim auditu ) sa začína aktualizáciami vydanými 8. apríla 2025. Tieto aktualizácie menia správanie, ktoré zisťuje zvýšenie zraniteľnosti oprávnenia popísané v CVE-2025-26647 , ale spočiatku ho nevynucuje.
V režime auditu sa id udalosti: 45 prihlási do radiča domény, keď dostane požiadavku na overenie protokolu Kerberos s nebezpečným certifikátom. Požiadavka na overenie bude povolená a neočakávajú sa žiadne chyby klienta.
Ak chcete povoliť zmenu správania a byť zabezpečené pred zraniteľnosťou, musíte zabezpečiť, aby boli všetky radiče domény systému Windows aktualizované vydaním aktualizácie systému Windows 8. apríla 2025 alebo po jej skončení a nastavenie kľúča Databázy Registry AllowNtAuthPolicyBypass je nastavené na hodnotu 2 na konfiguráciu režimu vynútenia .
Ak v režime presadzovania získa radič domény požiadavku na overenie protokolu Kerberos s nebezpečným certifikátom, zaznamená staršiu identifikáciu udalosti: 21 a požiadavku zamietne.
Ak chcete zapnúť ochrany, ktoré ponúka táto aktualizácia, postupujte takto:
-
Použite aktualizáciu Windowsu vydanú 8. apríla 2025 alebo po jej skončení na všetky radiče domén vo vašom prostredí. Po použití aktualizácie, AllowNtAuthPolicyBypass nastavenie predvolene 1 (audit), ktorý umožňuje kontrolu NTAuth a udalosti upozornenia denníka auditu.DÔLEŽITÝ Ak nie ste pripravení pokračovať v použití ochrany ponúkanej touto aktualizáciou, nastavte kľúč databázy Registry na hodnotu 0 a dočasne vypnite túto zmenu. Ďalšie informácie nájdete v časti Informácie o kľúči databázy Registry .
-
Monitorovanie nových udalostí, ktoré budú viditeľné na radičoch domény na identifikáciu dotknutých certifikačných úradov, ktoré nie sú súčasťou ukladacieho priestoru NTAuth. Identifikácia udalosti, ktorú potrebujete monitorovať, je IDENTIFIKÁCIA udalosti: 45. Ďalšie informácie o týchto udalostiach nájdete v časti Udalosti auditu .
-
Uistite sa, že všetky klientske certifikáty sú platné a zviazané s dôveryhodnou certifikačnou autoritou issuing v ukladacom priestore NTAuth.
-
Po vyriešení všetkých ID udalosti: 45 udalostí, potom môžete prejsť do režimu presadzovania . Ak to chcete urobiť, nastavte hodnotu databázy Registry AllowNtAuthPolicyBypass na hodnotu 2. Ďalšie informácie nájdete v časti Informácie o kľúči databázy Registry .Nota Odporúčame dočasne odložiť nastavenie AllowNtAuthPolicyBypass = 2 až po použití aktualizácie windowsu vydanej po máji 2025 na radiče domén, ktoré používajú samopodpísané overovanie založené na certifikáte, ktoré sa používa vo viacerých scenároch. Patria sem radiče domény, ktoré služby Windows Hello for Business Key Trust a overenie verejného kľúča zariadenia pripojeného k doméne.
Júl 2025: Vynútené predvolenou fázou
Aktualizácie vydaná v júli 2025 alebo po jej skončení predvolene vynúti kontrolu ukladacieho priestoru NTAuth. Nastavenie kľúča databázy Registry AllowNtAuthPolicyBypass umožní zákazníkom v prípade potreby prejsť späť do režimu auditu . Možnosť úplného vypnutia tejto aktualizácie zabezpečenia sa však odstráni.
Október 2025: Režim presadzovania práva
Aktualizácie vydaná v októbri 2025 alebo po jej skončení prestane spoločnosť Microsoft podporovať kľúč AllowNtAuthPolicyBypass databázy Registry. V tejto fáze musia všetky certifikáty vydávať orgány, ktoré sú súčasťou ukladacieho priestoru NTAuth.
Nastavenia databázy Registry a denníky udalostí
Informácie o kľúči databázy Registry
Nasledujúci kľúč databázy Registry umožňuje auditovanie zraniteľných scenárov a následné vynucovanie zmeny po riešení zraniteľných certifikátov. Kľúč databázy Registry sa nepridá automaticky. Ak potrebujete zmeniť správanie, musíte manuálne vytvoriť kľúč databázy Registry a nastaviť požadovanú hodnotu. Všimnite si, že správanie operačného systému, keď nie je nakonfigurovaný kľúč databázy Registry, bude závisieť od fázy nasadenia, v ktorom sa nachádza.
AllowNtAuthPolicyBypass
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Hodnota |
AllowNtAuthPolicyBypass |
|
|
Typ údajov |
REG_DWORD |
|
|
Údaje hodnôt |
0 |
Úplne vypne zmenu. |
|
1 |
Vykoná udalosť upozornenia kontroly NTAuth a denníka označujúcu certifikát vydaný autoritou, ktorá nie je súčasťou ukladacieho priestoru NTAuth (režim auditu). (Predvolené správanie od vydania z 8. apríla 2025.) |
|
|
2 |
Vykonajte kontrolu NTAuth a ak zlyhá, nepovoľte prihlásenie. Zapíšte do denníka normálne udalosti (existujúce) pre zlyhanie AS-REQ s kódom chyby označujúcim zlyhanie kontroly NTAuth (vynútený režim). |
|
|
Komentáre |
Nastavenie databázy Registry AllowNtAuthPolicyBypass by malo byť nakonfigurované len v počítačoch WindowsU, ktoré nainštalovali aktualizácie windowsu vydané v apríli 2025 alebo po jeho skončení. |
|
Udalosti auditu
Identifikácia udalosti: 45 | Udalosť auditu kontroly ukladacieho priestoru NT Auth
Správcovia by si mali pozrieť nasledujúcu udalosť pridanú inštaláciou aktualizácií Windowsu vydaných 8. apríla 2025 alebo po tomto dátume. Ak existuje, znamená to, že certifikát bol vydaný autoritou, ktorá nie je súčasťou ukladacieho priestoru NTAuth.
|
Denník udalostí |
Systém denníka |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kerberos-Key-Distribution-Center |
|
Identifikačné číslo udalosti |
45 |
|
Text udalosti |
V centre distribúcie kľúčov (KDC) sa vyskytol certifikát klienta, ktorý bol platný, ale nie je združený ku koreňovej časti ukladacieho priestoru NTAuth. Podpora certifikátov, ktoré sa nepripájajú k ukladacieho priestoru NTAuth, je zastaraná. Podpora pre certifikáty reťazenie na non-NTAuth obchody je zastarané a nezabezpečené.Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2300705 . Používateľ: <username> Predmet certifikátu: <Predmet certifikátu> Vydavateľ certifikátu: >vydavateľa certifikátu<certifikátu Sériové číslo certifikátu: <sériové číslo certifikátu> Odtlačok certifikátu:< CertThumbprint> |
|
Komentáre |
|
Identifikácia udalosti: 21 | Udalosť zlyhania AS-REQ
Po vyriešení udalosti 45 centra distribúcie kľúčov Kerberos-Key-Center zapisovanie tejto všeobecnej, staršej udalosti do denníka znamená, že certifikát klienta stále nie je dôveryhodný. Táto udalosť sa môže zaznamenať z viacerých dôvodov, z ktorých jeden je, že platný certifikát klienta nie je reťazený na vydávajúcu certifikačnú autoritu v ukladacom priestore NTAuth.
|
Denník udalostí |
Systém denníka |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kerberos-Key-Distribution-Center |
|
Identifikačné číslo udalosti |
21 |
|
Text udalosti |
Certifikát klienta pre používateľa <Domain\UserName> nie je platný a mal za následok neúspešné prihlásenie do karty SmartCard. Ďalšie informácie o certifikáte, ktorý sa pokúša použiť na prihlasovanie do karty SmartCard, získate od používateľa. Stav reťazca: Certifikačný reťazec sa spracoval správne, ale jeden z certifikátov CA nie je dôveryhodný poskytovateľom politiky. |
|
Komentáre |
|
Známy problém
Zákazníci hlásili problémy s identifikáciou udalosti: 45 a identifikáciou udalosti: 21 spustené overovaním na základe certifikátu pomocou certifikátov s vlastným podpisom. Ďalšie informácie nájdete v známom probléme, ktorý je zdokumentovaný v stave vydania Windowsu:
-
Windows Server 2025: Prihlásenie môže zlyhať s Windows Hello v režime kľúčovej dôveryhodnosti a zaznamenávať udalosti protokolu Kerberos
-
Windows Server 2022: Prihlásenie môže zlyhať s Windows Hello v režime kľúčovej dôveryhodnosti a zaznamenávať udalosti protokolu Kerberos
-
Windows Server 2019: Prihlásenie môže zlyhať s Windows Hello v režime kľúčovej dôveryhodnosti a zaznamenávať udalosti protokolu Kerberos
-
Windows Server 2016: Prihlásenie môže zlyhať s Windows Hello v režime kľúčovej dôveryhodnosti a zaznamenávať udalosti protokolu Kerberos
