Datum izvirne objave: 8. april 2025
ID zbirke znanja: 5057784
V tem članku
Povzetek
Varnostne posodobitve sistema Windows, izdane 8. aprila 2025 ali po njem, vsebujejo zaščito za ranljivost s preverjanjem pristnosti Kerberos. Do te težave pride, ko je overitelj digitalnih potrdil del korenske shrambe sistema Windows, ne pa shrambe NTAuth in je identifikator subject ključa (SKI) prisoten v prednostnem računu. Če želite izvedeti več o tej ranljivosti, glejte CVE-2025-26647.
Ukrepajte
Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo te korake:
-
POSODOBITE vse krmilnike domene s posodobitvijo sistema Windows, izdano 8. aprila 2025 ali po tem.
-
Spremljajte nove dogodke, ki bodo vidni v krmilnikih domene, da prepoznate prizadete overitelji potrdil.
-
OMOGOČITI Način uveljavljanja, ko vaše okolje ne uporablja več potrdil za prijavo, ki jih izdajo organi, ki niso v shrambi NTAuth.
atributi altSecID
V spodnji tabeli so navedeni vsi atributi nadomestnih varnostnih identifikatorjev (altSecIDs) in altSecIDs, na katere vpliva ta sprememba.
|
Seznam atributov potrdila, ki jih je mogoče preslikati v altSecIDs |
AltSecIDs, ki za povezovanje s shrambo NTAuth zahtevajo ujemajoče se potrdilo |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Časovnica sprememb
Faza začetne uvedbe se začne s posodobitvami, izdanimi 8. aprila 2025. Te posodobitve dodajo novo vedenje, ki zazna ranljivost pri prisvojitvah pravic, ki je opisana v CVE-2025-26647 , vendar je ne vsili.
Če želite omogočiti novo delovanje in poskrbeti za varnost pred ranljivostjo, morate zagotoviti, da so posodobljeni vsi krmilniki domene sistema Windows in da je nastavitev registrskega ključa AllowNtAuthPolicyBypass nastavljena na 2.
Posodobitve, izdanim 8. julija 2025 ali po tem, bo privzeto vsililo preverjanje ntauth Store. Nastavitev registrskega ključa AllowNtAuthPolicyBypass strankam še vedno omogoča, da se po potrebi premaknejo nazaj v način nadzora. Vendar pa bo možnost za popolno onemogočanje te varnostne posodobitve odstranjena.
Posodobitve 14. oktobra 2025 ali po tem ne bo več na voljo, se ukinja Microsoftova podpora za registrski ključ AllowNtAuthPolicyBypass. V tej fazi morajo vsa potrdila izdajati organi, ki so del trgovine NTAuth.
Nastavitve registra
Spodnji registrski ključ omogoča nadzor ranljivih scenarijev in uveljavljanje spremembe, ko so obravnavana ranljiva potrdila.
|
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Vrednost |
AllowNtAuthPolicyBypass |
|
|
Podatkovni tip |
REG_DWORD |
|
|
Podatki o vrednosti |
0 |
Popolnoma onemogoči spremembo. |
|
1 |
Izvede dogodek preverjanja in dnevnika NTAuth, ki označuje potrdilo, ki ga je izdal organ, ki ni del shrambe NTAuth (način nadzora). (Privzeto vedenje se začne z izdajo z dne 8. aprila 2025.) |
|
|
2 |
Izvedite preverjanje NTAuth in če ne dovoli prijave. Zabeležite običajne dogodke (obstoječe) za napako AS-REQ s kodo napake, ki označuje, da preverjanje NTAuth ni uspelo (vsiljeni način). |
|
|
Pripombe |
To nastavitev je treba konfigurirati le v KDC-jih sistema Windows, kot so krmilniki domene, ki imajo nameščen sistem Windows Posodobitve, ki je bil izdan 8. aprila 2025 ali po tem. Če želite več informacij o tem, zakaj je bil dogodek zabeležen, glejte https://go.microsoft.com/fwlink/?linkid=2300705 |
|
Dogodki nadzora
|
Dnevnik dogodkov |
Sistem dnevnika |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kerberos-Key-Distribution-Center |
|
ID dogodka |
45 |
|
Besedilo dogodka |
Središče za porazdelitev ključa (KDC) je naletelo na potrdilo odjemalca, ki je bilo veljavno, vendar ni bilo priklenjeno s korenom v shrambi NTAuth. Podpora za potrdila, ki niso povezana s shrambo NTAuth, je zastarela. Podpora za verig potrdil v shrambe, ki niso NTAuth, je zastarela in nezaščitena.Če želite https://go.microsoft.com/fwlink/?linkid=2300705, glejte Temo za več informacij. Uporabnik: <UserName> Zadeva potrdila: <potrdila> Izdajatelj potrdila: <izdajatelj> Serijska številka potrdila: <serijska številka potrdila> Thumbprint potrdila: < CertThumbprint> |
|
Dnevnik dogodkov |
Sistem dnevnika |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kerberos-Key-Distribution-Center |
|
ID dogodka |
21 |
|
Besedilo dogodka |
Potrdilo odjemalca za uporabnika, ki je<Domain\UserName> ni veljavno in je povzročilo neuspešno prijavo s pametno kartico. Če želite več informacij o potrdilu, ki ga poskuša uporabiti za prijavo s pametno kartico, se obrnite na uporabnika. Stanje verige je bilo: Veriga potrdil je pravilno obdelana, vendar ponudnik pravilnika ne zaupa enemu od potrdil overitelja digitalnih potrdil. |
