Primenjuje se na
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Originalni datum objavljivanja: April 2023.

KB ID: 5036534

Promeni datum

Opis

8. april 2025.

  • Dodate su informacije o zaštiti ranjivosti pomoću Kerberos potvrde identiteta za CVE-2025-26647.

19. februar 2025.

  • Korigoovan je reč uvodnog odeljka.

  • Uklonjen je odeljak "Ojacavanje promena za tren oka" zato što su informacije zatamnjene.

  • Dodat je odeljak "Druge ključne promene u operativnom sistemu Windows" za reference na funkcije i funkcije koje se više ne razvijaju u operativnom sistemu Windows.

30. januar 2025.

  • Dodao je unos iz januara 2026. ili novije verzije u odeljku "Povećavanje promena po mesecu".

17. januar 2025.

  • Dodao je unose iz aprila 2024, januara 2025. i aprila 2025. u odeljku "Povećavanje promena po mesecima".

10. mart 2024.

  • Redigovana je mesečna vremenska osa, dodajući još otežavajućih povezanih sadržaja i uklonila unos iz februara 2024. sa vremenske ose zato što ona ne ojacava srodne stavke.

Uvod

Hardening je ključni element naše tekuće strategije bezbednosti da bismo vam pomogli da zaštitimo vaše imanje dok se fokusirate na svoj posao. Sve kreativniji cyberthreats cilja slabosti gde god je to moguće, od čipa do oblaka.

Ovaj članak pregleda ranjive oblasti koje provode oštke promene primenjene putem windows bezbednosnih ispravki. Podsetnike objavljivamo i u Windows centru za poruke da bismo it administratore obavestili o ojačanju ključnih datuma kako se približe.  

Napomena: Ovaj članak će se ažurirati tokom vremena da bi pružio najnovije informacije o otklanjanju promena i vremenskim osama. Pogledajte odeljak Evidencija promena da biste pratili najnovije promene.

Ojacavanje promena po mesecima

Pogledajte detalje za nedavne i predstojeće najteže promene po mesecima kako bi vam pomogle da planirate svaku fazu i konačnu primenu.

  • Promene Netlogon protokola KB5021130 | 2. faza Početna faza prinudne primene. Uklanja mogućnost onemogućavanja RPC pečata postavljanjem vrednosti 0 na potključ registratora RequireSeal .

  • Potvrda identiteta zasnovana na certifikatu KB5014754 | 2. faza Uklanja onemogućeni režim.

  • Zaštita za bezbedno pokretanje sistema KB5025885 | 1. faza Početna faza primene. Windows Novosti objavljen 9. maja 2023. na ranjivosti adrese opisane u CVE-2023-24932, promene komponenti windows pokretanja i dve datoteke za opozivanje koje mogu ručno da se primene (smernice za integritet koda i ažurirana lista onemogućenosti bezbednog pokretanja (DBX)).

  • Promene Netlogon protokola KB5021130 | 3. faza Primena podrazumevano. Potključ ZahtevaJ će biti premešten u režim sprovođenja osim ako ste ga izričito konfigurisali tako da bude u režimu kompatibilnosti.

  • Kerberos PAC potpisi KB5020805 | 3. faza Treća faza primene. Uklanja mogućnost onemogućavanja dodavanja PAC potpisa podešavanjem potključa KrbtgtFullPacSignature na vrednost 0.

  • Promene Netlogon protokola KB5021130 | 4. faza Zavrљna nalaћenje. Ispravke za Windows objavljene 11. jula 2023. ukloniće mogućnost postavljanja vrednosti 1 na potključ registratora RequireSeal. To omogućava fazu sprovođenja CVE-2022-38023.

  • Kerberos PAC potpisi KB5020805 | 4. faza Početni režim sprovođenja. Uklanja mogućnost postavljanja vrednosti 1 za potključ KrbtgtFullPacSignature i premešta se u režim sprovođenja kao podrazumevani (KrbtgtFullPacSignature = 3), koju možete zameniti eksplicitnom postavkom nadzora. 

  • Zaštita za bezbedno pokretanje sistema KB5025885 | 2. faza Druga faza primene. Novosti za Windows objavljen 11. jula 2023. uključuju automatizovanu primenu datoteka opoziva, nove događaje evidencije događaja da biste prijavili da li je primena opoziva bila uspešna i SafeOS paket dinamičkih ispravki za WinRE.

  • Kerberos PAC potpisi KB5020805 | 5. faza

    Faza potpune primene. Uklanja podršku za potključ registratora KrbtgtFullPacSignature, uklanja podršku za režim nadzora, a svim tiketima za usluge bez novih PAC potpisa biće odbijena potvrda identiteta.

  • Active Directory (AD) ispravke dozvola KB5008383 | 5. faza Konačna faza primene. Konačna faza primene može da počne kada dovršite korake navedene u odeljku "Preduzimanje radnje" u KB5008383. Da biste prešli u režim sprovođenja, pratite uputstva u odeljku "Vodič za primenu" da biste podesili 28. i 29. bit na dSHeuristics atributu. Zatim nadgledajte događaje 3044-3046. Oni izveštavaju kada je režim sprovođenja blokirao LDAP operaciju dodavanja ili izmene koja je možda ranije bila dozvoljena u režimu nadzora

  • Zaštita za bezbedno pokretanje sistema KB5025885 | 3. faza Treća faza primene. Ova faza će dodati dodatna umanjivanja menadžera pokretanja. Ova faza će početi ne pre 9. aprila 2024.

  • PAC Provera valjanosti KB5037754 | Faza režima kompatibilnosti

    Početna faza primene počinje ispravkama objavljenim 9. aprila 2024. Ova ispravka dodaje novo ponašanje koje sprečava podizanje ranjivosti privilegija opisanih u cve-2024-26248 i CVE-2024-29056, ali ga ne nameće ako se ne ažuriraju i Windows kontrolori domena i Windows klijenti u okruženju.

    Da biste omogućili novo ponašanje i smanjili ranjivosti, morate da se uverite da je čitavo Windows okruženje (uključujući i kontrolere domena i klijente) ažurirano. Događaji nadzora će biti evidentirani da bi se lakše identifikovali uređaji koji nisu ažurirani.

  • Zaštita za bezbedno pokretanje sistema KB5025885 | 3. faza Faza obaveznog sprovođenja. Opoznavanja (smernice za pokretanje integriteta koda i lista onemogućavanja bezbednog pokretanja) programski će biti nametnuta nakon instaliranja ispravki za Windows svim sistemima na koje ovo utiče i koji ne mogu da se onemoguće.

  • PAC Provera valjanosti KB5037754 | Primena podrazumevane faze

    Novosti objavljene u januaru 2025. ili posle januara 2025. premestiće sve Windows kontrolere domena i klijente u okruženju u nametnut režim. Ovaj režim će podrazumevano nametati bezbedno ponašanje. Postojeće postavke ključa registratora koje su prethodno postavljene poništiće ovu podrazumevanu promenu ponašanja.

    Podrazumevane postavke nametnutog režima može da zameni administrator da bi se vratili na režim kompatibilnosti.

  • Potvrda identiteta zasnovana na certifikatu KB5014754 | 3. faza Režim potpune primene. Ako certifikat ne može biti strogo mapiran, potvrda identiteta će biti odbijena.

  • PAC Provera valjanosti KB5037754 | Faza sprovođenja Windows bezbednosne ispravke objavljene u aprilu 2025. ili posle aprila 2025. ukloniće podršku za potključove registratora PacSignatureValidationLevel i CrossDomainFilteringLevel i nametnuće novo bezbedno ponašanje. Neće biti podrške za režim kompatibilnosti nakon instaliranja ispravke iz aprila 2025.

  • Kerberos potvrda identiteta za CVE-2025-26647 KB5057784 | Režim nadzora Početna faza primene počinje ispravkama objavljenim 8. aprila 2025. Ove ispravke dodaju novo ponašanje koje otkriva podizanje ranjivosti privilegija opisanog u verziji CVE-2025-26647 , ali ga ne nameće. Da biste omogućili novo ponašanje i bili bezbedni zbog ranjivosti, morate da se uverite da su ažurirani svi Windows kontrolori domena i da je postavka ključa registratora AllowNtAuthPolicyBypass postavljena na 2.

  • Kerberos potvrda identiteta za CVE-2025-26647 KB5057784 | Nametnuta podrazumevanom fazom Novosti koja je objavljena u julu 2025. ili posle jula 2025, podrazumevano će nametnuti proveru NTAuth prodavnice. Postavka ključa registratora AllowNtAuthPolicyBypass će i dalje omogućiti klijentima da se po potrebi premešte u režim nadzora. Međutim, biće uklonjena mogućnost potpunog onemogućavanja ove bezbednosne ispravke.

  • Kerberos potvrda identiteta za CVE-2025-26647 KB5057784 | Režim sprovođenja ​​​​​​​Novosti objavljena u oktobru 2025. obustaviće Microsoft podršku za ključ registratora AllowNtAuthPolicyBypass. U ovom trenutku, sve certifikate moraju da izda autoriteti koji su deo NTAuth prodavnice.

  • Zaštita za bezbedno pokretanje sistema KB5025885 | Faza sprovođenja Faza sprovođenja neće početi pre januara 2026. i daćemo upozorenje najmanje šest meseci unapred u ovom članku pre nego što počne ova faza. Kada se objave ispravke za fazu sprovođenja, one uključuju sledeće:

    • Certifikat "Windows Production PCA 2011" će automatski biti opozvan tako što će biti dodat na listu zabranjenih UEFI-a za bezbedno pokretanje (DBX) na omogućenim uređajima. Ove ispravke će se programski nametnuti nakon instaliranja ispravki za Windows svim sistemima na koje ovo utiče i koji ne mogu da se onemoguće.

Druge ključne promene u operativnom sistemu Windows

Svaka verzija Windows klijenta i Windows Server dodaje nove funkcije i funkcionalnosti. Nove verzije povremeno uklanjaju i funkcije i funkcionalnosti, često zato što postoji novija opcija. Detalje o funkcijama i funkcijama koje se više ne razvijaju u operativnom sistemu Windows potražite u sledećim člancima.

Klijent

Server

Preuzmite najnovije vesti

Obeležite Windows centar za poruke da biste lako pronašli najnovije ispravke i podsetnike. A ako ste IT administrator sa pristupom aplikaciji Microsoft 365 centar administracije, podesite Željene postavke e-pošte na Microsoft 365 centar administracije primate važna obaveštenja i ispravke.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost