Primenjuje se na
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Originalni datum objavljivanja: 8. april 2025.

KB ID: 5057784

Promeni datum

Promeni opis

22. jul 2025.

  • Ažuriran je pasus u okviru "Informacije o ključu registratora" u odeljku "Postavke registratora i evidencije događaja".Originalni tekst: Sledeći ključ registratora omogućava nadzor ranjivih scenarija, a zatim nametanje promene kada se reše ranjivi certifikati. Ključ registratora neće biti automatski kreiran. Ponašanje operativnog sistema kada ključ registratora nije konfigurisan zavisiće od faze primene u kojoj se nalazi.Korigoovan tekst: Sledeći ključ registratora omogućava nadzor ranjivih scenarija, a zatim nametanje promene kada se reše ranjivi certifikati. Ključ registratora se ne dodaje automatski. Ako treba da promenite ponašanje, morate ručno da kreirate ključ registratora i postavite vrednost koja vam je potrebna. Imajte na umu da će ponašanje operativnog sistema kada ključ registratora nije konfigurisan zavisiti od toga u kojoj fazi je primene.

  • Komentare je ažurirao u okviru "AllowNtAuthPolicyBypass" u odeljku "Postavke registratora i evidencije događaja".Originalni tekst:Postavka registratora AllowNtAuthPolicyBypass trebalo bi da se konfiguriše samo na Windows KDC-ovima, kao što su kontrolori domena koji su instalirali Windows ispravke objavljene u maju 2025. ili posle maja 2025.Korigoovan tekst:Postavka registratora AllowNtAuthPolicyBypass trebalo bi da se konfiguriše samo na Windows KDC-ovima koji imaju instalirane Ispravke za Windows objavljene u aprilu 2025. ili posle toga.

9. maj 2025.

  • Termin "privilegovan nalog" je zamenjen terminom "privilegovani nalog" sa "principalom bezbednosti pomoću potvrde identiteta zasnovane na certifikatu" u odeljku "Rezime".

  • Prerasporedili ste korak "Omogući" u odeljku "Preduzimanje radnje" da biste pojasnili da koristite certifikate za prijavljivanje koje su izdale vlasti koje se nalaze u NTAuth skladištu.Originalni tekst:ENABLE Režim sprovođenja kada okruženje više ne koristi certifikate za prijavljivanje koje su izdale vlasti koji se ne nalaze u skladištu NTAuth.

  • U odeljku "8. april 2025: Početna faza primene – režim nadzora" uneli su obimne promene ističući da određeni uslovi moraju postojati pre omogućavanja zaštite koje ova ispravka nudi... ova ispravka mora da se primeni na sve kontrolere domena I uverite se da se certifikati za prijavljivanje koje su izdati od strane autoriteta nalaze u skladištu NTAuth. Dodati su koraci za premeštanje u režim sprovođenja i dodali napomenu o izuzetku za odlaganje premeštanja kada imate kontrolere domena koje je samopotpisana potvrda identiteta zasnovana na certifikatu koja se koristi u više scenarija.Originalni tekst: Da biste omogućili novo ponašanje i bili bezbedni zbog ranjivosti, morate da se uverite da su ažurirani svi Windows kontrolori domena i da je postavka ključa registratora AllowNtAuthPolicyBypass postavljena na 2.

  • Dodat je dodatni sadržaj u odeljke "Komentari" odeljaka "Ključne informacije registratora" i "Događaji nadzora".

  • Dodat je odeljak "Poznat problem".

U ovom članku

Rezime

Windows bezbednosne ispravke objavljene 8. aprila 2025. ili posle toga sadrže zaštitu za ranjivost Kerberos potvrde identiteta. Ova ispravka obezbeđuje promenu u ponašanju kada je autoritet za izdavanje certifikata koji se koristi za potvrdu identiteta zasnovanu na certifikatu (CBA) zasnovan na bezbednosti pouzdan, ali ne i u skladištu NTAuth, a mapiranje identifikatora ključa teme (SKI) prisutno je u atributu altSecID principala bezbednosti koji koristi potvrdu identiteta zasnovanu na certifikatu. Da biste saznali više o ovoj ranjivosti, pročitajte članak CVE-2025-26647.

Preduzimanje radnje

Da biste zaštitili okruženje i sprečili prekede, preporučujemo sledeće korake:

  1. AŽURIRAJTE sve kontrolera domena pomoću Windows ispravke objavljene 8. aprila 2025. ili posle toga.

  2. NADGLEDAJTE nove događaje koji će biti vidljivi na kontrolerima domena da biste identifikovali izvore certifikata na koje ovo utiče.

  3. OMOGUĆI Režim sprovođenja nakon okruženja sada koristi samo certifikate za prijavljivanje koje su izdale vlasti koje se nalaze u skladištu NTAuth.

altSecID atributi

Sledeća tabela navodi sve atribute Alternativne bezbednosti (altSecIDs) i altSecID-ove na koje utiče ova promena.

Lista atributa certifikata koji se mogu mapirati u altSecIDs 

AltSecID-i koji zahtevaju podudarni certifikat za lanac za NTAuth skladište

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Vremenska osa promena

8. april 2025: Faza početne primene – režim nadzora

Početna faza primene (režim nadzora ) počinje ispravkama objavljenim 8. aprila 2025. Ove ispravke menjaju ponašanje koje otkriva podizanje ranjivosti privilegija opisane u verziji CVE-2025-26647 , ali ga prvobitno ne nameće.

Dok ste u režimu nadzora, ID događaja: 45 će biti prijavljen na kontroler domena kada primi Kerberos zahtev za potvrdu identiteta sa nebezbednim certifikatom. Zahtev za potvrdu identiteta će biti dozvoljen i ne očekuje se nijedna greška klijenta.

Da biste omogućili promenu u ponašanju i bili bezbedni zbog ranjivosti, morate se uveriti da su svi Windows kontrolori domena ažurirani windows ispravkom 8. aprila 2025. ili posle toga, a postavka ključa registratora AllowNtAuthPolicyBypass postavljena je na vrednost 2 da bi se konfigurisao za režim sprovođenja.

Kada je u režimu sprovođenja, ako kontroler domena primi Kerberos zahtev za potvrdu identiteta sa nebezbednim certifikatom, evidentiraće zastareli ID događaja: 21 i odbiti zahtev.

Da biste uključili zaštitu koju nudi ova ispravka, pratite ove korake:

  1. Primenite Windows ispravku objavljenu 8. aprila 2025. ili posle toga, na sve kontrolera domena u okruženju. Kada primenite ispravku, postavka AllowNtAuthPolicyBypass podrazumevano se postavlja na 1 (Audit) koja omogućava proveru NTAuth i događaje upozorenja evidencije nadzora.VAЋNO Ako niste spremni da nastavite sa primenom zaštita koje nudi ova ispravka, postavite ključ registratora na 0 da biste privremeno onemogućili ovu promenu. Više informacija potražite u odeljku "Informacije o ključu registratora".

  2. Nadgledajte nove događaje koji će biti vidljivi na kontrolere domena da biste identifikovali izvore certifikata koji nisu deo NTAuth skladišta. ID događaja koji treba da nadgledate je ID događaja: 45. Više informacija o ovim događajima potražite u odeljku Događaji nadzora.

  3. Uverite se da su svi certifikati klijenata važeći i vezani za pouzdanog autoriteta za izdavanje u NTAuth skladištu.

  4. Kada se otkloni svi ID događaja: 45 događaja, možete da pređete u režim sprovođenja . Da biste to uradili, postavite vrednost registratora AllowNtAuthPolicyBypass na vrednost 2. Više informacija potražite u odeljku "Informacije o ključu registratora".Nota Preporučujemo da privremeno odložite podešavanje AllowNtAuthPolicyBypass = 2 dok ne primenite ispravku za Windows koja je objavljena nakon maja 2025. na kontrolere domena koja se samopotpisana potvrda identiteta zasnovana na certifikatu koristi u više scenarija. To uključuje kontrolere domena koje Windows Hello za posao ključne pouzdanosti i Javna potvrda identiteta uređaja pridružena domenu.

Jul 2025: Nametnuta podrazumevanom fazom

Novosti objavljeno u julu 2025. ili posle jula 2025. podrazumevano će se nametnuti provera NTAuth prodavnice. Postavka ključa registratora AllowNtAuthPolicyBypass će i dalje omogućiti klijentima da se po potrebi premešte u režim nadzora. Međutim, biće uklonjena mogućnost potpunog onemogućavanja ove bezbednosne ispravke.

Oktobar 2025: Režim sprovođenja

Novosti objavljena u oktobru 2025. obustaviće Microsoft podršku za ključ registratora AllowNtAuthPolicyBypass. U ovom trenutku, sve certifikate moraju da izda autoriteti koji su deo NTAuth prodavnice. 

Postavke registratora i evidencije događaja

Informacije o ključu registratora

Sledeći ključ registratora omogućava nadzor ranjivih scenarija, a zatim nametanje promene kada se reše ranjivi certifikati. Ključ registratora se ne dodaje automatski. Ako treba da promenite ponašanje, morate ručno da kreirate ključ registratora i postavite vrednost koja vam je potrebna. Imajte na umu da će ponašanje operativnog sistema kada ključ registratora nije konfigurisan zavisiti od toga u kojoj fazi je primene.

AllowNtAuthPolicyBypass

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

AllowNtAuthPolicyBypass

Tip podataka

REG_DWORD

Podaci o vrednosti

0

U potpunosti onemogućavanje promene.

1

Izvršava događaj NTAuth provere i evidencije upozorenja koji ukazuje na certifikat koji je izdao autoritet koji nije deo skladišta NTAuth (režim nadzora). (Podrazumevano ponašanje počinje od 8. aprila 2025.)

2

Izvršite NTAuth proveru i ako ona ne uspe, ne dozvoljavajte prijavljivanje. Evidentiraj normalne događaje (postojeće) za AS-REQ neuspeh uz kôd greške koji ukazuje na neuspelu proveru NTAuth (nametnut režim ).

Komentare

Postavka registratora AllowNtAuthPolicyBypass trebalo bi da se konfiguriše samo na Windows KDC-ovima koji imaju instalirane Ispravke za Windows objavljene u aprilu 2025. ili posle toga.

Događaji nadzora

ID događaja: 45 | Događaj nadzora provere NT skladišta potvrde identiteta

Administratori bi trebalo da prate sledeći događaj koji je dodala instalacija ispravki za Windows objavljenih 8. aprila 2025. ili posle toga. Ako postoji, on podrazumeva da je certifikat izdao autoritet koji nije deo skladišta NTAuth.

Evidencija događaja

Sistem evidencije

Tip događaja

Upozorenje

Izvor događaja

Kerberos-Key-Distribution-Center

ID događaja

45

Tekst događaja

Centar za distribuciju ključa (KDC) je naišao na važeći certifikat klijenta, ali nije povezan sa osnovnim skladištem NTAuth. Podrška za certifikate koji se ne vezuju za NTAuth skladište je zastarela.

Podrška za lančani pristup certifikatima u skladištima koja nisu NTAuth je zastarela i nebezbedna.Pogledajte https://go.microsoft.com/fwlink/?linkid=2300705 da biste saznali više.

 Korisnik: <UserName>  Tema certifikata: <tema>  Izdavalac certifikata:<certifikata>  Serijski broj certifikata: <serijski broj certifikata>  Otisak certifikata: < certThumbprint>

Komentare

  • Buduće ispravke za Windows optimizovaće broj domena 45 događaja prijavljenih na kontrolerima domena CVE-2025-26647.

  • Administratori mogu da zanemaruju evidentiranje događaja 45. događaja Kerberos-Key-Distribution-Center u sledećim okolnostima:

    • Windows Hello za posao (WHfB) pri kojem se certifikati i izdavalac podudaraju sa formatom: <SID>/<UID>/login.windows.net/<ID zakupca>/<UPN>

    • Mašinska javna kriptografija ključa za početnu potvrdu identiteta (PKINIT) gde je korisnik računarski nalog (prekinut znakom $ na početku), tema i izdvajač su isti računar, a serijski broj je 01.

ID događaja: 21 | AS-REQ Failure Event

Nakon adresiranja događaja Kerberos-Key-Distribution-Center 45, evidentiranje ovog generičkog, zastarelog događaja ukazuje na to da certifikat klijenta i dalje NIJE pouzdan. Ovaj događaj može da se evidentira iz više razloga, od kojih je jedan od njih da važeći certifikat klijenta NIJE povezan sa autoritetom za izdavanje u NTAuth skladištu.

Evidencija događaja

Sistem evidencije

Tip događaja

Upozorenje

Izvor događaja

Kerberos-Key-Distribution-Center

ID događaja

21

Tekst događaja

Certifikat klijenta za korisnika koji <Domain\UserName> nije važeći i rezultiralo je neuspešnim prijavljivanjem pametne kartice.

Obratite se korisniku za više informacija o certifikatu koji pokušava da koristi za prijavljivanje na pametnu karticu.

Status lanca je bio: lanac certifikacije je ispravno obrađen, ali dobavljač smernica ne smatra pouzdanim jedan od CA certifikata.

Komentare

  • ID događaja: 21 koji upućuje na nalog "korisnik" ili "računar" opisuje principal bezbednosti koji pokreće Kerberos potvrdu identiteta.

  • Windows Hello za posao (WHfB) prijavljivanje će upućiti na korisnički nalog.

  • Šifrovanje javnog ključa mašine za početnu potvrdu identiteta (PKINIT) upućuje na računarski nalog.

Poznati problem

Klijenti su prijavili probleme sa ID-om događaja: 45 i ID događaja: 21 pokrenuto potvrdom identiteta zasnovanom na certifikatu pomoću samopotpisanih certifikata. Da biste videli više informacija, pogledajte poznati problem dokumentovan u vezi sa ispravnošću Izdanja operativnog sistema Windows:

  • Windows Server 2025:Prijavljivanje može da ne uspe uz pomoć Windows Hello u ključnom režimu pouzdanosti i evidentira Kerberos događaje

  • Windows Server 2022:Prijavljivanje možda neće uspeti ako se Windows Hello u ključnom režimu pouzdanosti i evidentira Kerberos događaje

  • Windows Server 2019:Prijavljivanje možda neće uspeti ako se Windows Hello u ključnom režimu pouzdanosti i evidentira Kerberos događaje

  • Windows Server 2016:Prijavljivanje možda neće uspeti ako se Windows Hello u ključnom režimu pouzdanosti i evidentira Kerberos događaje

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost