Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Ursprungligt publiceringsdatum: April 2023

KB-ID: 5036534

Ändra datum

Ändra beskrivning

den 17 januari 2025

Lade till posterna för april 2024, januari 2025 och april 2025 under avsnittet "Härdningsändringar per månad".

den 10 mars 2024

Reviderade den månatliga tidslinjen och lade till mer härdningsrelaterat innehåll och tog bort februari 2024-posten från tidslinjen eftersom den inte härdar relaterat.

Introduktion

Hardening är en viktig del av vår pågående säkerhetsstrategi för att hålla din egendom skyddad medan du fokuserar på ditt jobb. Allt mer kreativa cyberhot riktar in sig på svagheter överallt, från chipet till molnet. Har du sett våra publikationer om härdning i Windows meddelandecenter? Några av dem som nyligen tillämpats är DCOM-autentiseringshärdning och Netjoin: domänkopplingshärdning. Låt oss granska utsatta områden som genomgår härdning under de kommande månaderna.

Obs!: Den här artikeln kommer att uppdateras med tiden för att ge den senaste informationen om härdning av ändringar och tidslinjer. Senast uppdaterad: 10 mars 2024.

Härdningsändringar i korthet

Granska den visuella tidslinjen för att fokusera på de specifika ändringar som är intressanta för dig. Mer information om varje fas finns nedan. 

Härdningsändringar under 2023

Bild 1: En visuell tidslinje över härdningsändringarna som äger rum 2023.

Härdningsändringar under 2024

Bild 2:  En visuell tidslinje över härdningsändringarna som äger rum 2024.

Härdningsändringar per månad

Läs informationen för alla kommande härdningsändringar per månad för att hjälpa dig att planera för varje fas och slutlig tillämpning.

  • Netlogon protocol changes KB5021130 | Fas 2 Inledande tillämpningsfas. Tar bort möjligheten att inaktivera RPC-försegling genom att ange värdet 0 i registerundernyckeln RequireSeal .

  • Certifikatbaserad autentisering KB5014754 | Fas 2 Tar bort inaktiverat läge.

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 1 Inledande distributionsfas. Windows Uppdateringar som släpptes den 9 maj 2023 eller senare åtgärdar sårbarheter som diskuteras i CVE-2023-24932, ändringar av Windows-startkomponenter och två återkallningsfiler som kan tillämpas manuellt (en kodintegritetsprincip och en uppdaterad lista över säker start som inte tillåts (DBX)).

  • Netlogon protocol changes KB5021130 | Fas 3 Tillämpning som standard. KrävSeeal-undernyckel flyttas till tvingande läge om du inte uttryckligen konfigurerar den att vara i kompatibilitetsläge.

  • Kerberos PAC Signaturer KB5020805 | Fas 3 Tredje distributionsfasen. Tar bort möjligheten att inaktivera PAC-signaturtillägg genom att ange undernyckeln KrbtgtFullPacSignature till värdet 0.

  • Netlogon protocol changes KB5021130 | Fas 4 Slutgiltig tillämpning. Windows-uppdateringarna som släpptes 11 juli 2023 tar bort möjligheten att ange värdet 1 till registerundernyckeln RequireSeal. Detta möjliggör tillämpningsfasen av CVE-2022-38023.

  • Kerberos PAC Signaturer KB5020805 | Fas 4 Läget för inledande tillämpning. Tar bort möjligheten att ange värdet 1 för undernyckeln KrbtgtFullPacSignature och går över till tvingande läge som standard (KrbtgtFullPacSignature = 3), som du kan åsidosätta med en explicit granskningsinställning. 

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 2 Andra distributionsfasen. Uppdateringar för Windows som släpptes den 11 juli 2023 eller senare inkluderar automatiserad distribution av återkallelsefilerna, nya händelselogghändelser för att rapportera om återkallelsedistributionen lyckades och SafeOS Dynamic Update-paketet för WinRE.

  • Kerberos PAC Signaturer KB5020805 | Fas 5

    Fullständig tillämpningsfas. Tar bort stöd för registerundernyckeln KrbtgtFullPacSignature, tar bort stöd för granskningsläge och alla servicebegäranden utan de nya PAC-signaturerna nekas autentisering.

  • Active Directory-behörighetsuppdateringar (AD) KB5008383 | Fas 5 Slutdistributionsfas. Den slutliga distributionsfasen kan börja när du har slutfört stegen i avsnittet "Vidta åtgärd" i KB5008383. Om du vill gå över till tvingande läge följer du anvisningarna i avsnittet "Distributionsvägledning" för att ange den 28:e och 29:e biten på attributet dSHeuristics . Övervaka sedan händelser 3044-3046. De rapporterar när tvingande läge har blockerat en LDAP-åtgärd för att lägga till eller ändra som tidigare kunde ha tillåtits i granskningsläge

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 3 Tredje distributionsfasen. Den här fasen lägger till ytterligare åtgärder för starthanteraren. Den här fasen startar tidigast den 9 april 2024.

  • PAC-valideringsändringar KB5037754 | Kompatibilitetslägesfas

    Den första distributionsfasen börjar med uppdateringarna som släpptes 9 april 2024. Den här uppdateringen lägger till nytt beteende som förhindrar säkerhetsriskerna för utökade privilegier som beskrivs i CVE-2024-26248 och CVE-2024-29056, men som inte tillämpar den om inte både Windows-domänkontrollanter och Windows-klienter i miljön uppdateras.

    Om du vill aktivera det nya beteendet och minska säkerhetsproblemen måste du se till att hela Windows-miljön (inklusive både domänkontrollanter och klienter) uppdateras. Granskningshändelser loggas för att identifiera enheter som inte uppdateras.

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 3 Obligatorisk tillämpningsfas. Återkallelsen (principen för start av kodintegritet och listan med tillåten säker start) tillämpas programmässigt efter installation av uppdateringar för Windows på alla system som påverkas utan att något alternativ kan inaktiveras.

  • PAC-valideringsändringar KB5037754 | Tillämpning som standardfas

    Uppdateringar som släpptes i eller efter januari 2025 flyttar alla Windows-domänkontrollanter och -klienter i miljön till framtvingat läge. I det här läget tillämpas säkert beteende som standard. Befintliga registernyckelinställningar som tidigare har angetts åsidosätter den här standardbeteendeändringen.

    Standardinställningarna för tvingande läge kan åsidosättas av en administratör för att återgå till kompatibilitetsläget.

  • Certifikatbaserad autentisering KB5014754 | Fas 3 Fullständigt tvingande läge. Om ett certifikat inte kan mappas starkt nekas autentisering.

  • PAC-valideringsändringar KB5037754 | Tvingande fas Windows-säkerhetsuppdateringarna som släpptes i eller efter april 2025 tar bort stöd för registerundernycklarna PacSignatureValidationLevel och CrossDomainFilteringLevel och tillämpar det nya säkra beteendet. Det finns inget stöd för kompatibilitetsläget efter installation av april 2025-uppdateringen.

Få de senaste nyheterna

Skapa ett bokmärke i Meddelandecenter i Windows för att enkelt hitta de senaste uppdateringarna och påminnelserna. Och om du är IT-administratör med åtkomst till Administrationscenter för Microsoft 365 konfigurerar du Email inställningar på Administrationscenter för Microsoft 365 för att få viktiga meddelanden och uppdateringar.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.