Velja za
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Datum izvirne objave: April 2023

ID zbirke znanja: 5036534

Spremeni datum

Opis

8. april 2025

  • Dodali smo informacije o zaščiti za ranljivost s preverjanjem pristnosti Kerberos za CVE-2025-26647.

19. februar 2025

  • Spremenjeno besedilo razdelka z uvodom.

  • Odstranjen je razdelek »Takojšne spremembe utrjenega« in informacije so zastarele.

  • Dodali smo razdelek »Druge ključne spremembe v sistemu Windows« za sklice na funkcije in funkcije, ki se v sistemu Windows ne razvijajo več.

30. januar 2025

  • Dodan je bil vnos iz januarja 2026 ali novejšega v razdelku »Spremembe utrjenega po mesecih«.

17. januar 2025

  • Dodani so vnosi za april 2024, januar 2025 in april 2025 v razdelku »Utrjevanje sprememb po mesecu«.

10. marec 2024

  • Spremenili smo mesečno časovnico z dodajanjem bolj utrjenih povezanih vsebin in odstranili vnos iz februarja 2024 s časovnice, saj ne utrjevanje povezano.

Uvod

Utrjevanje je ključni element naše trenutne varnostne strategije, ki vam pomaga, da je vaše premoženje zaščiteno, medtem ko se vi osredotočate na svoje delo. Vse bolj ustvarjalni kibernetski napadi kamor koli, od čipa do oblaka, so šibke točke.

V tem članku so pregledana ranljiva področja, ki se v postopku za utrjevanje sprememb izvajajo prek varnostnih posodobitev sistema Windows. Opomnike objavljamo tudi v središču za sporočila sistema Windows , da skrbnike za IT opozorimo na utrjevanje ključnih datumov, ko se približujejo.  

Opomba: Ta članek bo sčasoma posodobljen tako, da bo na voljo najnovejše informacije o utrjenih spremembah in časovnicah. Če želite slediti najnovejšim spremembam, glejte razdelek Dnevnik sprememb.

Utrjevanje sprememb po mesecih

Oglejte si podrobnosti nedavnih in prihajajočih sprememb za utrjevanje po mesecih, da boste lažje načrtovali vsako fazo in končno uveljavitev.

  • Netlogon protocol changes KB5021130 | 2. faza Začetna faza uveljavljanja. Odstrani možnost onemogočanja zapečanja RPC z nastavitvijo vrednosti 0 na registrski podključ RequireSeal .

  • Preverjanje pristnosti na osnovi potrdila KB5014754 | 2. faza Odstrani onemogočen način .

  • Zaščita pred obhodom varnega zagona KB5025885 | 1. faza Faza začetnega uvajanja. Windows Posodobitve izdan 9. maja 2023 ali po tem, odpravlja ranljivosti, o katerih se razpravlja v CVE-2023-24932, spremembah komponent zagona sistema Windows in dveh datotekah s preklicem, ki jih je mogoče ročno uporabiti (pravilnik o celovitosti kode in posodobljen seznam onemogočitve varnega zagona (DBX)).

  • Netlogon protocol changes KB5021130 | 3. faza Uveljavljanje je privzeto. Podključ RequireSeal bo premaknjen v način uveljavljanja, razen če ga izrecno konfigurirate v združljivostnem načinu.

  • Kerberos PAC Signatures KB5020805 | 3. faza Tretja faza uvajanja. Odstrani možnost onemogočanja dodajanja podpisa PAC tako, da podključ KrbtgtFullPacSignature nastavite na vrednost 0.

  • Netlogon protocol changes KB5021130 | 4. faza Zadnje uveljavljanje. S posodobitvami sistema Windows, izdanimi 11. julija 2023, ne bo mogoče nastaviti vrednosti 1 na registrski podključ RequireSeal. To omogoča izvajanje faze CVE-2022-38023.

  • Kerberos PAC Signatures KB5020805 | 4. faza Način začetnega uveljavljanja. Odstrani možnost nastavitve vrednosti 1 za podključ KrbtgtFullPacSignature in se premakne v privzeti način uveljavljanja (KrbtgtFullPacSignature = 3), ki ga lahko preglasite z eksplicitno nastavitvijo Nadzora. 

  • Zaščita pred obhodom varnega zagona KB5025885 | 2. faza Faza drugega uvajanja. Posodobitve za Windows, ki je bil izdan 11. julija 2023 ali po njem, vključujejo samodejno uvajanje datotek ukinjenih naslovov, nove dogodke dnevnika dogodkov, ki poročajo o tem, ali je bilo uvajanje ukinjenih uspešno, in paket dinamične posodobitve SafeOS za WinRE.

  • Podpisi za Kerberos PAC KB5020805 | 5. faza

    Celotna faza uveljavljanja. Odstrani podporo za registrski podključ KrbtgtFullPacSignature, odstrani podporo za način nadzora in vse vstopnice storitve brez novih podpisov PAC bodo zavrnjene za preverjanje pristnosti.

  • Posodobitve dovoljenj imenika Active Directory (AD) KB5008383 | 5. faza Končna faza uvajanja. Faza končne uvedbe se lahko začne, ko dokončate korake, navedene v razdelku »Ukrepajte« v KB5008383. Če se želite premakniti v način uveljavljanja, upoštevajte navodila v razdelku »Navodila za uvedbo«, da nastavite 28. in 29. bit na atributu dSHeuristics. Nato spremljajte dogodke 3044-3046. Prijavijo se, ko je način uveljavljanja blokiral postopek dodajanja ali prilagajanja LDAP, ki je bil morda že dovoljen v načinu nadzora. 

  • Zaščita pred obhodom varnega zagona KB5025885 | 3. faza Tretja faza uvajanja. V tej fazi bodo na voljo dodatne ublažitve posledic upravitelja zagona. Ta faza se bo začel ne prej kot 9. april 2024.

  • PAC Spremembe preverjanja KB5037754 | Faza združljivostnega načina

    Faza začetne uvedbe se začne s posodobitvami, izdanimi 9. aprila 2024. Ta posodobitev doda novo vedenje, ki preprečuje prisvojitev ranljivosti pravic, opisane v CVE-2024-26248 in CVE-2024-29056, vendar jih ne vsili, razen če so posodobljeni tako krmilniki domene sistema Windows kot tudi odjemalci sistema Windows v okolju.

    Če želite omogočiti novo delovanje in ublažiti ranljivosti, morate zagotoviti, da je posodobljeno celotno okolje sistema Windows (vključno s krmilniki domene in odjemalci). Dogodki nadzora bodo zabeleženi v dnevnik, da bodo lažje prepoznali naprave, ki niso posodobljene.

  • Zaščita pred obhodom varnega zagona KB5025885 | 3. faza Obvezno izvajanje. Preklici (pravilnik o neoporečljivosti za zagon kode in seznam o onemogočanju varnega zagona) bodo programsko uveljavljeni po namestitvi posodobitev za Windows za vse prizadete sisteme, pri tem pa možnost za onemogočanje ni na voljo.

  • PAC Spremembe preverjanja KB5037754 | Privzeta uveljavitev

    Posodobitve izdan v ali po januarju 2025, se bodo vsi krmilniki domene in odjemalci sistema Windows v okolju premaknili v način Vsili. Ta način bo privzeto vsilil varno vedenje. Obstoječe nastavitve registrskega ključa, ki so bile predhodno nastavljene, preglasijo to privzeto spremembo vedenja.

    Privzete nastavitve vsiljenega načina lahko preglasi skrbnik, da se povrnejo v združljivostni način.

  • Preverjanje pristnosti na osnovi potrdila KB5014754 | 3. faza Način popolnega uveljavljanja. Če potrdila ni mogoče močno preslikati, bo preverjanje pristnosti zavrnjeno.

  • PAC Spremembe preverjanja KB5037754 | Faza uveljavljanja Varnostne posodobitve sistema Windows, izdane aprila 2025 ali pozneje, bodo odstranile podporo za registrske podključe PacSignatureValidationLevel in CrossDomainFilteringLevel ter uveljavili novo varno delovanje. Po namestitvi posodobitve iz aprila 2025 podpora za združljivostni način ne bo na voljo.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Način nadzora Faza začetne uvedbe se začne s posodobitvami, izdanimi 8. aprila 2025. Te posodobitve dodajo novo vedenje, ki zazna ranljivost pri prisvojitvah pravic, ki je opisana v CVE-2025-26647 , vendar je ne vsili. Če želite omogočiti novo delovanje in poskrbeti za varnost pred ranljivostjo, morate zagotoviti, da so posodobljeni vsi krmilniki domene sistema Windows in da je nastavitev registrskega ključa AllowNtAuthPolicyBypass nastavljena na 2.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Če to nastavitev uveljavite Posodobitve, izdane v juliju 2025 ali po juliju, bodo privzeto vsilili preverjanje trgovine NTAuth Store. Nastavitev registrskega ključa AllowNtAuthPolicyBypass strankam še vedno omogoča, da se po potrebi premaknejo nazaj v način nadzora. Vendar pa bo možnost za popolno onemogočanje te varnostne posodobitve odstranjena.

  • Kerberos Authentication protections for CVE-2025-26647 KB5057784 | Način uveljavljanja ​​​​​​​Posodobitve izdan oktobra 2025 ali po tem, ukinja Microsoftovo podporo za registrski ključ AllowNtAuthPolicyBypass. V tej fazi morajo vsa potrdila izdajati organi, ki so del trgovine NTAuth.

  • Zaščita pred obhodom varnega zagona KB5025885 | Faza uveljavljanja Faza uveljavljanja se ne bo začela pred januarjem 2026 in pred začetkom te faze bomo vsaj šest mesecev prej opozorili v tem članku. Ko bodo posodobitve izdane za fazo uveljavljanja, bodo vključevale naslednje:

    • Potrdilo »Windows Production PCA 2011« bo samodejno preklicano tako, da bo dodano na seznam prepovedanih naslovov UEFI za varni zagon (DBX) v napravah, ki so na voljo. Te posodobitve bodo programsko uveljavljene po namestitvi posodobitev za Sistem Windows za vse sisteme, na katere to vpliva, brez možnosti, da bi jih onemogočili.

Druge ključne spremembe v sistemu Windows

Vsaka različica odjemalca sistema Windows Windows Server nove funkcije in funkcionalnosti. Občasno nove različice odstranijo tudi funkcije in funkcije, pogosto zato, ker obstaja novejša možnost. V spodnjih člankih najdete podrobnosti o funkcijah in funkcijah, ki se v sistemu Windows ne razvijajo več.

Odjemalec

Strežnik

Prejemajte najnovejše novice

Dodajte med zaznamke središče za sporočila sistema Windows, da boste lažje našli najnovejše posodobitve in opomnike. Če ste skrbnik za IT z dostopom do Skrbniško središče za Microsoft 365, nastavite Nastavitve e-pošte v Skrbniško središče za Microsoft 365 , da prejmete pomembna obvestila in posodobitve.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost