Spremeni datum |
Opis spremembe |
---|---|
10. marec 2024 |
Spremenili smo mesečno časovnico z dodajanjem bolj utrjenih povezanih vsebin in odstranili vnos iz februarja 2024 s časovnice, saj ne utrjevanje povezano. |
Uvod
Utrjevanje je ključni element naše trenutne varnostne strategije, ki vam pomaga, da je vaše premoženje zaščiteno, medtem ko se vi osredotočate na svoje delo. Vse bolj ustvarjalni kibernetski napadi kamor koli, od čipa do oblaka, so šibke točke. Ste videli naše publikacije o utrjenju v središču za sporočila sistema Windows? Nekatere od teh nedavno uveljavljenih storitev vključujejo utrjevanje preverjanja pristnosti DCOM in Netjoin: utrjevanje pridruževanje domeni. Pregledamo ranljiva področja, ki se bodo v prihodnjih mesecih utrjila.
Opomba: Ta članek bo sčasoma posodobljen tako, da bo na voljo najnovejše informacije o utrjenih spremembah in časovnicah. Zadnja posodobitev: 10. marec 2024.
Hiter pregled za utrjevanje sprememb
Preglejte vizualno časovnico, da se osredotočite na določene spremembe, ki vas zanimajo. Podrobnosti za vsako fazo najdete spodaj.
Slika 1: Vizualna časovnica utrjenih sprememb v letu 2023.
Slika 2: Vizualna časovnica za utrjevanje sprememb v letu 2024.
Utrjevanje sprememb po mesecih
Oglejte si podrobnosti o vseh prihajajočih spremembah za utrjevanje po mesecih, da boste lažje načrtovali vsako fazo in končno uveljavitev.
-
Netlogon protocol changes KB5021130 | 2. faza
Začetna faza uveljavljanja. Odstrani možnost onemogočanja zapečanja RPC z nastavitvijo vrednosti 0 na registrski podključ RequireSeal . -
Preverjanje pristnosti na osnovi potrdila KB5014754 | 2. faza
Odstrani onemogočen način .
-
Zaščita pred obhodom varnega zagona KB5025885 | 1. faza
Faza začetnega uvajanja. Windows Posodobitve izdan 9. maja 2023 ali po tem, odpravlja ranljivosti, o katerih se razpravlja v CVE-2023-24932, spremembah komponent zagona sistema Windows in dveh datotekah s preklicem, ki jih je mogoče ročno uporabiti (pravilnik o celovitosti kode in posodobljen seznam onemogočitve varnega zagona (DBX)).
-
Netlogon protocol changes KB5021130 | 3. faza
Uveljavljanje je privzeto. Podključ RequireSeal bo premaknjen v način uveljavljanja, razen če ga izrecno konfigurirate v združljivostnem načinu. -
Kerberos PAC Signatures KB5020805 | 3. faza
Tretja faza uvajanja. Odstrani možnost onemogočanja dodajanja podpisa PAC tako, da podključ KrbtgtFullPacSignature nastavite na vrednost 0.
-
Netlogon protocol changes KB5021130 | 4. faza
Zadnje uveljavljanje. S posodobitvami sistema Windows, izdanimi 11. julija 2023, ne bo mogoče nastaviti vrednosti 1 na registrski podključ RequireSeal. To omogoča izvajanje faze CVE-2022-38023. -
Kerberos PAC Signatures KB5020805 | 4. faza
Način začetnega uveljavljanja. Odstrani možnost nastavitve vrednosti 1 za podključ KrbtgtFullPacSignature in se premakne v privzeti način uveljavljanja (KrbtgtFullPacSignature = 3), ki ga lahko preglasite z eksplicitno nastavitvijo Nadzora. -
Zaščita pred obhodom varnega zagona KB5025885 | 2. faza
Faza drugega uvajanja. Posodobitve za Windows, ki je bil izdan 11. julija 2023 ali po njem, vključujejo samodejno uvajanje datotek ukinjenih naslovov, nove dogodke dnevnika dogodkov, ki poročajo o tem, ali je bilo uvajanje ukinjenih uspešno, in paket dinamične posodobitve SafeOS za WinRE.
-
Podpisi za Kerberos PAC KB5020805 | 5. faza
Celotna faza uveljavljanja. Odstrani podporo za registrski podključ KrbtgtFullPacSignature, odstrani podporo za način nadzora in vse vstopnice storitve brez novih podpisov PAC bodo zavrnjene za preverjanje pristnosti.
-
Posodobitve dovoljenj imenika Active Directory (AD) KB5008383 | 5. faza
Končna faza uvajanja. Faza končne uvedbe se lahko začne, ko dokončate korake, navedene v razdelku »Ukrepajte« v KB5008383. Če se želite premakniti v način uveljavljanja, upoštevajte navodila v razdelku »Navodila za uvedbo«, da nastavite 28. in 29. bit na atributu dSHeuristics. Nato spremljajte dogodke 3044-3046. Prijavijo se, ko je način uveljavljanja blokiral postopek dodajanja ali prilagajanja LDAP, ki je bil morda že dovoljen v načinu nadzora.
-
Zaščita pred obhodom varnega zagona KB5025885 | 3. faza
Tretja faza uvajanja. V tej fazi bodo na voljo dodatne ublažitve posledic upravitelja zagona. Ta faza se bo začel ne prej kot 9. april 2024.
-
Zaščita pred obhodom varnega zagona KB5025885 | 3. faza
Obvezno izvajanje. Preklici (pravilnik o neoporečljivosti za zagon kode in seznam o onemogočanju varnega zagona) bodo programsko uveljavljeni po namestitvi posodobitev za Windows za vse prizadete sisteme, pri tem pa možnost za onemogočanje ni na voljo.
-
Preverjanje pristnosti na osnovi potrdila KB5014754 | 3. faza
Način popolnega uveljavljanja. Če potrdila ni mogoče močno preslikati, bo preverjanje pristnosti zavrnjeno.
Prejemajte najnovejše novice
Dodajte med zaznamke središče za sporočila sistema Windows, da boste lažje našli najnovejše posodobitve in opomnike. Če ste skrbnik za IT z dostopom do Skrbniško središče za Microsoft 365, nastavite Nastavitve e-pošte v Skrbniško središče za Microsoft 365 , da prejmete pomembna obvestila in posodobitve.