Velja za
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Datum izvirne objave: 8. april 2025

ID zbirke znanja: 5057784

Spremeni datum

Opis spremembe

22. julij 2025

  • Posodobili smo odstavek v razdelku »Informacije o registrskem ključu« v razdelku »Nastavitve registra in dnevniki dogodkov«.Izvirno besedilo: Spodnji registrski ključ omogoča nadzor ranljivih scenarijev in uveljavljanje spremembe, ko so obravnavana ranljiva potrdila. Registrski ključ ne bo ustvarjen samodejno. Delovanje operacijskega sistema, ko registrski ključ ni konfiguriran, je odvisno od tega, v kateri fazi uvajanja je.Spremenjeno besedilo: Spodnji registrski ključ omogoča nadzor ranljivih scenarijev in uveljavljanje spremembe, ko so obravnavana ranljiva potrdila. Registrski ključ ni dodan samodejno. Če morate spremeniti delovanje, morate ročno ustvariti registrski ključ in nastaviti vrednost, ki jo potrebujete. Upoštevajte, da je delovanje operacijskega sistema, ko registrski ključ ni konfiguriran, odvisno od tega, v kateri fazi uvajanja je.

  • Posodobili smo pripombe v razdelku »AllowNtAuthPolicyBypass« v razdelku »Nastavitve registra in dnevniki dogodkov«.Izvirno besedilo: Nastavitev registra AllowNtAuthPolicyBypass je treba konfigurirati le v KD-jih sistema Windows, kot so krmilniki domene, ki so namestili posodobitve sistema Windows, izdane maja 2025 ali po tem.Spremenjeno besedilo: Nastavitev registra AllowNtAuthPolicyBypass je treba konfigurirati le v KD-jih sistema Windows, v katere so nameščene posodobitve sistema Windows, izdane aprila 2025 ali po tem.

9. maj 2025

  • Izraz »prednostni račun« je nadomestil »glavni varnostni račun z uporabo preverjanja pristnosti na osnovi potrdila« v razdelku »Povzetek«.

  • Preoblikovali smo korak »Omogoči« v razdelku »Ukrepaj«, da bi pojasnili uporabo potrdil za prijavo, ki so jih izdali organi, ki so v shrambi NTAuth.Izvirno besedilo:OMOGOČITE način uveljavljanja, ko okolje ne uporablja več potrdil za prijavo, ki jih izdajo organi, ki niso v shrambi NTAuth.

  • V razdelku »8. april 2025: faza začetnega uvajanja – način nadzora« smo naredili obsežne spremembe s poudarjatvijo, da morajo nekateri pogoji obstajati, preden je mogoče omogočiti zaščito, ki jo ponuja ta posodobitev ... ta posodobitev mora biti uporabljena za vse krmilnike domene IN zagotoviti, da so potrdila za prijavo, ki jih izdajo organi, v shrambi NTAuth. Dodali smo korake za prehod v način uveljavljanja in dodali opombo o izjemi za zakasnitev pri premikanju, če imate krmilnike domene, ki uporabljajo storitev samopodpisanega preverjanja pristnosti, ki se uporablja v več scenarijih.Izvirno besedilo: Če želite omogočiti novo delovanje in poskrbeti za varnost pred ranljivostjo, morate zagotoviti, da so posodobljeni vsi krmilniki domene sistema Windows in da je nastavitev registrskega ključa AllowNtAuthPolicyBypass nastavljena na 2.

  • Dodatno vsebino smo dodali v razdelka »Pripombe« v razdelkih »Informacije o registrskem ključu« in »Dogodki nadzora«.

  • Dodali smo razdelek »Znana težava«.

V tem članku

Povzetek

Varnostne posodobitve sistema Windows, izdane 8. aprila 2025 ali po njem, vsebujejo zaščito za ranljivost s preverjanjem pristnosti Kerberos. Ta posodobitev zagotavlja spremembo v vedenju, ko je organ, ki izdaja potrdilo, ki se uporablja za preverjanje pristnosti glavnega glavnega imena varnosti (CBA), zaupanja vreden, ne pa tudi v shrambi NTAuth, preslikava identifikatorja predmetnega ključa (SKI) pa je prisotna v atributu altSecID glavnega varnostnega skrbnika z uporabo preverjanja pristnosti, ki temelji na potrdilu. Če želite izvedeti več o tej ranljivosti, glejte CVE-2025-26647.

Ukrepajte

Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo te korake:

  1. POSODOBITE vse krmilnike domene s posodobitvijo sistema Windows, izdano 8. aprila 2025 ali po tem.

  2. Spremljajte nove dogodke, ki bodo vidni v krmilnikih domene, da prepoznate prizadete overitelji potrdil.

  3. OMOGOČITI Način uveljavljanja, ko vaše okolje zdaj uporablja le potrdila za prijavo, ki so jih izdali organi, ki so v shrambi NTAuth.

atributi altSecID

V spodnji tabeli so navedeni vsi atributi nadomestnih varnostnih identifikatorjev (altSecIDs) in altSecIDs, na katere vpliva ta sprememba.

Seznam atributov potrdila, ki jih je mogoče preslikati v altSecIDs 

AltSecIDs, ki za povezovanje s shrambo NTAuth zahtevajo ujemajoče se potrdilo

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Časovnica sprememb

8. april 2025: faza začetne uvedbe – način nadzora

Faza začetne uvedbe (način nadzora ) se začne s posodobitvami, izdanimi 8. aprila 2025. S temi posodobitvami se spremeni vedenje, ki zazna ranljivost pri prisvojitvah pravic, ki je opisana v CVE-2025-26647 , vendar je sprva ne vsili.

V načinu nadzora bo ID dogodka : 45 prijavljeni v krmilnik domene, ko prejme zahtevo za preverjanje pristnosti Kerberos z nevarnim potrdilom. Zahteva za preverjanje pristnosti bo dovoljena in ne bo pričakovana nobena napaka odjemalca.

Če želite omogočiti spreminjanje delovanja in poskrbeti za varnost pred ranljivostjo, morate zagotoviti, da so vsi krmilniki domene sistema Windows posodobljeni s posodobitvijo sistema Windows, izdano 8. aprila 2025 ali pozneje, nastavitev registrskega ključa AllowNtAuthPolicyBypass pa je nastavljena na 2, da se konfigurira za način uveljavljanja.

Če v načinu uveljavljanja krmilnik domene prejme zahtevo za preverjanje pristnosti Kerberos z nevarnim potrdilom, zabeleži podedovani ID dogodka: 21 in zavrne zahtevo.

Če želite vklopiti zaščito, ki jo ponuja ta posodobitev, sledite tem korakom:

  1. Uporabite posodobitev sistema Windows, izdano 8. aprila 2025 ali po tem, za vse krmilnike domene v svojem okolju. Po uporabi posodobitve je nastavitev AllowNtAuthPolicyBypass privzeta na 1 (nadzor), ki omogoča preverjanje NTAuth in dogodke opozorila dnevnika nadzora.POMEMBEN Če ne želite nadaljevati z uporabo zaščite, ki jo ponuja ta posodobitev, nastavite registrski ključ na 0 , da začasno onemogočite to spremembo. Če želite več informacij, glejte razdelek Informacije o registrskem ključu.

  2. Spremljajte nove dogodke, ki bodo vidni v krmilnikih domene, za prepoznavanje prizadetih overitelja potrdil, ki niso del shrambe NTAuth. ID dogodka, ki ga morate nadzorovati, je ID dogodka: 45. Če želite več informacij o teh dogodkih, glejte razdelek Dogodki nadzora.

  3. Prepričajte se, da so vsa odjemalska potrdila veljavna in povezana z zaupanja vrednim overiteljem digitalnih potrdil, ki izdaja potrdila v shrambi NTAuth.

  4. Po vsem ID-ju dogodka: odpravljenih je 45 dogodkov, nato pa lahko nadaljujete v način uveljavljanja . To naredite tako, da vrednost registra AllowNtAuthPolicyBypass nastavite na 2. Če želite več informacij, glejte razdelek Informacije o registrskem ključu.Opomba Priporočamo, da začasno zakasnite nastavitev AllowNtAuthPolicyBypass = 2, dokler ne uporabite posodobitve sistema Windows, izdane po maju 2025, za krmilnike domene, ki uporabljajo storitev samopodpisanega preverjanja pristnosti, ki se uporablja v več primerih. To vključuje krmilnike domene, ki storitev Windows Hello za podjetja zaupanja med ključi in preverjanje pristnosti javnega ključa naprave, pridružene domeni.

Julij 2025: uveljavljena s privzeto fazo

Posodobitve izdan v juliju ali po juliju 2025, bo privzeto uveljavljeno preverjanje trgovine NTAuth Store. Nastavitev registrskega ključa AllowNtAuthPolicyBypass strankam še vedno omogoča, da se po potrebi premaknejo nazaj v način nadzora. Vendar pa bo možnost za popolno onemogočanje te varnostne posodobitve odstranjena.

Oktober 2025: način uveljavljanja

Posodobitve izdan oktobra 2025 ali po tem, se Microsoftova podpora za registrski ključ AllowNtAuthPolicyBypass ukinja. V tej fazi morajo vsa potrdila izdajati organi, ki so del trgovine NTAuth. 

Nastavitve registra in dnevniki dogodkov

Informacije o registrskem ključu

Spodnji registrski ključ omogoča nadzor ranljivih scenarijev in uveljavljanje spremembe, ko so obravnavana ranljiva potrdila. Registrski ključ ni dodan samodejno. Če morate spremeniti delovanje, morate ročno ustvariti registrski ključ in nastaviti vrednost, ki jo potrebujete. Upoštevajte, da je delovanje operacijskega sistema, ko registrski ključ ni konfiguriran, odvisno od tega, v kateri fazi uvajanja je.

AllowNtAuthPolicyBypass

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

AllowNtAuthPolicyBypass

Podatkovni tip

REG_DWORD

Podatki o vrednosti

0

Popolnoma onemogoči spremembo.

1

Izvede dogodek preverjanja in dnevnika NTAuth, ki označuje potrdilo, ki ga je izdal organ, ki ni del shrambe NTAuth (način nadzora). (Privzeto vedenje se začne z izdajo z dne 8. aprila 2025.)

2

Izvedite preverjanje NTAuth in če ne dovoli prijave. Zabeležite običajne dogodke (obstoječe) za napako AS-REQ s kodo napake, ki označuje, da preverjanje NTAuth ni uspelo (vsiljeni način).

Pripombe

Nastavitev registra AllowNtAuthPolicyBypass je treba konfigurirati le v KD-jih sistema Windows, v katere so nameščene posodobitve sistema Windows, izdane aprila 2025 ali po tem.

Dogodki nadzora

ID dogodka: 45 | NT Auth Store Check Audit Event

Skrbniki naj z namestitvijo posodobitev sistema Windows, izdanih 8. aprila 2025 ali po tem, 8. aprila 2025 spremljajo naslednji dogodek. Če obstaja, to pomeni, da je potrdilo izdal organ, ki ni del trgovine NTAuth.

Dnevnik dogodkov

Sistem dnevnika

Vrsta dogodka

Opozorilo

Vir dogodka

Kerberos-Key-Distribution-Center

ID dogodka

45

Besedilo dogodka

Središče za porazdelitev ključa (KDC) je naletelo na potrdilo odjemalca, ki je bilo veljavno, vendar ni bilo priklenjeno s korenom v shrambi NTAuth. Podpora za potrdila, ki niso povezana s shrambo NTAuth, je zastarela.

Podpora za verig potrdil v shrambe, ki niso NTAuth, je zastarela in nezaščitena.Če želite https://go.microsoft.com/fwlink/?linkid=2300705, glejte Temo za več informacij.

 Uporabnik: <UserName>  Zadeva potrdila: <potrdila>  Izdajatelj potrdila: <izdajatelj>  Serijska številka potrdila: <serijska številka potrdila>  Thumbprint potrdila: < CertThumbprint>

Pripombe

  • Prihodnje posodobitve sistema Windows optimizirajo število dogodkov 45, prijavljenih v krmilnikih domene, zaščitenih s CVE-2025-26647.

  • Skrbniki lahko prezrejo pisanje dnevnika dogodka Kerberos-Key-Distribution-Center 45 v teh okoliščinah:

    • Windows Hello za podjetja prijav uporabnikov (WHfB), pri katerih se zadeva potrdil in izdajatelj ujemata z obliko zapisa: <SID>/<UID>/login.windows.net/<ID najemnika>/<uporabnikov UPN>

    • Šifriranje javnega ključa računalnika za prijave s prvotnim preverjanjem pristnosti (PKINIT), pri katerih je uporabnik računalniški račun (prekinjen s končnim znakom $)), zadeva in izdajatelj sta istega računalnika, serijska številka pa 01.

ID dogodka: 21 | Dogodek napake AS-REQ

Ko naslavljate dogodek Kerberos-Key-Distribution-Center 45, pisanje dnevnika tega generičnega, podedovanega dogodka pomeni, da potrdilo odjemalca še vedno NI zaupanja vredno. Ta dogodek je lahko zabeležen iz več razlogov, eden od teh pa je, da veljavno odjemalsko potrdilo NI združeno overitelju digitalnih potrdil, ki izdaja potrdilo v shrambi NTAuth.

Dnevnik dogodkov

Sistem dnevnika

Vrsta dogodka

Opozorilo

Vir dogodka

Kerberos-Key-Distribution-Center

ID dogodka

21

Besedilo dogodka

Potrdilo odjemalca za uporabnika, ki je<Domain\UserName> ni veljavno in je povzročilo neuspešno prijavo s pametno kartico.

Če želite več informacij o potrdilu, ki ga poskuša uporabiti za prijavo s pametno kartico, se obrnite na uporabnika.

Stanje verige je bilo: Veriga potrdil je pravilno obdelana, vendar ponudnik pravilnika ne zaupa enemu od potrdil overitelja digitalnih potrdil.

Pripombe

  • ID dogodka: 21, ki se sklicuje na »račun uporabnika« ali »računalnik«, opisuje glavnega varnostnega skrbnika, ki zaganja preverjanje pristnosti Kerberos.

  • Windows Hello za podjetja (WHfB) se sklicujejo na uporabniški račun.

  • Šifriranje javnega ključa računalnika za začetno preverjanje pristnosti (PKINIT) se sklicuje na račun računalnika.

Znana težava

Stranke so poročale o težavah z ID-jem dogodka: 45 in ID dogodka: 21, sproženih s preverjanjem pristnosti s potrdilom s samopodpisanih potrdil. Če si želite ogledati več informacij, glejte znano težavo, ki je dokumentirana v temi Stanje izdaje sistema Windows:

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost