Gäller för
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Ursprungligt publiceringsdatum: April 2023

KB-ID: 5036534

Ändra datum

Beskrivning

8 april 2025

  • Information om skydd för en säkerhetsrisk med Kerberos-autentisering för CVE-2025-26647 har lagts till.

den 19 februari 2025

  • Ändrade formuleringen i avsnittet Introduktion.

  • Avsnittet "Härdning ändras i korthet" har tagits bort eftersom informationen är inaktuell.

  • Lade till avsnittet "Andra viktiga ändringar i Windows" för referenser till funktioner som inte längre utvecklas i Windows.

den 30 januari 2025

  • Lade till posten för januari 2026 eller senare under avsnittet "Härdningsändringar per månad".

den 17 januari 2025

  • Lade till posterna för april 2024, januari 2025 och april 2025 under avsnittet "Härdningsändringar per månad".

den 10 mars 2024

  • Reviderade den månatliga tidslinjen och lade till mer härdningsrelaterat innehåll och tog bort februari 2024-posten från tidslinjen eftersom den inte härdar relaterat.

Introduktion

Hardening är en viktig del av vår pågående säkerhetsstrategi för att hålla din egendom skyddad medan du fokuserar på ditt jobb. Allt mer kreativa cyberhot riktar in sig på svagheter överallt, från chipet till molnet.

I den här artikeln granskas utsatta områden som genomgår härdningsändringar som implementerats via Windows-säkerhetsuppdateringar. Vi publicerar även påminnelser i Windows meddelandecenter för att varna IT-administratörer om härdning av viktiga datum när de närmar sig.  

Obs!: Den här artikeln kommer att uppdateras med tiden för att ge den senaste informationen om härdning av ändringar och tidslinjer. Se avsnittet Ändra logg för att spåra de senaste ändringarna.

Härdningsändringar per månad

Läs informationen för de senaste och kommande härdningsändringarna per månad för att hjälpa dig att planera för varje fas och slutlig tillämpning.

  • Netlogon protocol changes KB5021130 | Fas 2 Inledande tillämpningsfas. Tar bort möjligheten att inaktivera RPC-försegling genom att ange värdet 0 i registerundernyckeln RequireSeal .

  • Certifikatbaserad autentisering KB5014754 | Fas 2 Tar bort inaktiverat läge.

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 1 Inledande distributionsfas. Windows Uppdateringar som släpptes den 9 maj 2023 eller senare åtgärdar sårbarheter som diskuteras i CVE-2023-24932, ändringar av Windows-startkomponenter och två återkallningsfiler som kan tillämpas manuellt (en kodintegritetsprincip och en uppdaterad lista över säker start som inte tillåts (DBX)).

  • Netlogon protocol changes KB5021130 | Fas 3 Tillämpning som standard. KrävSeeal-undernyckel flyttas till tvingande läge om du inte uttryckligen konfigurerar den att vara i kompatibilitetsläge.

  • Kerberos PAC Signaturer KB5020805 | Fas 3 Tredje distributionsfasen. Tar bort möjligheten att inaktivera PAC-signaturtillägg genom att ange undernyckeln KrbtgtFullPacSignature till värdet 0.

  • Netlogon protocol changes KB5021130 | Fas 4 Slutgiltig tillämpning. Windows-uppdateringarna som släpptes 11 juli 2023 tar bort möjligheten att ange värdet 1 till registerundernyckeln RequireSeal. Detta möjliggör tillämpningsfasen av CVE-2022-38023.

  • Kerberos PAC Signaturer KB5020805 | Fas 4 Läget för inledande tillämpning. Tar bort möjligheten att ange värdet 1 för undernyckeln KrbtgtFullPacSignature och går över till tvingande läge som standard (KrbtgtFullPacSignature = 3), som du kan åsidosätta med en explicit granskningsinställning. 

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 2 Andra distributionsfasen. Uppdateringar för Windows som släpptes den 11 juli 2023 eller senare inkluderar automatiserad distribution av återkallelsefilerna, nya händelselogghändelser för att rapportera om återkallelsedistributionen lyckades och SafeOS Dynamic Update-paketet för WinRE.

  • Kerberos PAC Signaturer KB5020805 | Fas 5

    Fullständig tillämpningsfas. Tar bort stöd för registerundernyckeln KrbtgtFullPacSignature, tar bort stöd för granskningsläge och alla servicebegäranden utan de nya PAC-signaturerna nekas autentisering.

  • Active Directory-behörighetsuppdateringar (AD) KB5008383 | Fas 5 Slutdistributionsfas. Den slutliga distributionsfasen kan börja när du har slutfört stegen i avsnittet "Vidta åtgärd" i KB5008383. Om du vill gå över till tvingande läge följer du anvisningarna i avsnittet "Distributionsvägledning" för att ange den 28:e och 29:e biten på attributet dSHeuristics . Övervaka sedan händelser 3044-3046. De rapporterar när tvingande läge har blockerat en LDAP-åtgärd för att lägga till eller ändra som tidigare kunde ha tillåtits i granskningsläge

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 3 Tredje distributionsfasen. Den här fasen lägger till ytterligare åtgärder för starthanteraren. Den här fasen startar tidigast den 9 april 2024.

  • PAC-valideringsändringar KB5037754 | Kompatibilitetslägesfas

    Den första distributionsfasen börjar med uppdateringarna som släpptes 9 april 2024. Den här uppdateringen lägger till nytt beteende som förhindrar säkerhetsriskerna för utökade privilegier som beskrivs i CVE-2024-26248 och CVE-2024-29056, men som inte tillämpar den om inte både Windows-domänkontrollanter och Windows-klienter i miljön uppdateras.

    Om du vill aktivera det nya beteendet och minska säkerhetsproblemen måste du se till att hela Windows-miljön (inklusive både domänkontrollanter och klienter) uppdateras. Granskningshändelser loggas för att identifiera enheter som inte uppdateras.

  • Skydd vid förbikoppling av säker start KB5025885 | Fas 3 Obligatorisk tillämpningsfas. Återkallelsen (principen för start av kodintegritet och listan med tillåten säker start) tillämpas programmässigt efter installation av uppdateringar för Windows på alla system som påverkas utan att något alternativ kan inaktiveras.

  • PAC-valideringsändringar KB5037754 | Tillämpning som standardfas

    Uppdateringar som släpptes i eller efter januari 2025 flyttar alla Windows-domänkontrollanter och -klienter i miljön till framtvingat läge. I det här läget tillämpas säkert beteende som standard. Befintliga registernyckelinställningar som tidigare har angetts åsidosätter den här standardbeteendeändringen.

    Standardinställningarna för tvingande läge kan åsidosättas av en administratör för att återgå till kompatibilitetsläget.

  • Certifikatbaserad autentisering KB5014754 | Fas 3 Fullständigt tvingande läge. Om ett certifikat inte kan mappas starkt nekas autentisering.

  • PAC-valideringsändringar KB5037754 | Tvingande fas Windows-säkerhetsuppdateringarna som släpptes i eller efter april 2025 tar bort stöd för registerundernycklarna PacSignatureValidationLevel och CrossDomainFilteringLevel och tillämpar det nya säkra beteendet. Det finns inget stöd för kompatibilitetsläget efter installation av april 2025-uppdateringen.

  • Kerberos autentiseringsskydd för CVE-2025-26647 KB5057784 | Granskningsläge Den första distributionsfasen börjar med uppdateringarna som släpptes 8 april 2025. Dessa uppdateringar lägger till nytt beteende som identifierar säkerhetsrisken för utökade privilegier som beskrivs i CVE-2025-26647 , men som inte tillämpar den. Om du vill aktivera det nya beteendet och vara säker från säkerhetsrisken måste du se till att alla Windows-domänkontrollanter uppdateras och att registernyckelinställningen AllowNtAuthPolicyBypass är inställd på 2.

  • Kerberos autentiseringsskydd för CVE-2025-26647 KB5057784 | Tillämpad som standardfas Uppdateringar som släpptes i eller efter juli 2025, tillämpar NTAuth Store-kontrollen som standard. Registernyckelinställningen AllowNtAuthPolicyBypass gör det fortfarande möjligt för kunder att gå tillbaka till granskningsläget om det behövs. Möjligheten att inaktivera den här säkerhetsuppdateringen helt tas dock bort.

  • Kerberos autentiseringsskydd för CVE-2025-26647 KB5057784 | Tvingande läge ​​​​​​​Uppdateringar som släpptes i eller efter oktober 2025 upphör Microsofts support för registernyckeln AllowNtAuthPolicyBypass. I det här skedet måste alla certifikat utfärdas av myndigheter som ingår i NTAuth-arkivet.

  • Skydd vid förbikoppling av säker start KB5025885 | Tillämpningsfas Verkställighetsfasen börjar inte före januari 2026, och vi kommer att ge minst sex månader i förväg varning i den här artikeln innan den här fasen börjar. När uppdateringar släpps för tvingande fas innehåller de följande:

    • Certifikatet "Windows Production PCA 2011" återkallas automatiskt genom att läggas till i listan Över tillåtna UEFI-skydd (Secure Boot UEFI Forbidden List) på kompatibla enheter. Dessa uppdateringar tillämpas programmässigt efter installation av uppdateringar för Windows på alla berörda system utan att inaktiveras.

Andra viktiga ändringar i Windows

Varje version av Windows-klienten och Windows Server lägger till nya funktioner. Ibland tar nya versioner också bort funktioner, ofta på grund av att det finns ett nyare alternativ. Mer information om funktioner som inte längre utvecklas i Windows finns i följande artiklar.

Klient

Server

Få de senaste nyheterna

Skapa ett bokmärke i Meddelandecenter i Windows för att enkelt hitta de senaste uppdateringarna och påminnelserna. Och om du är IT-administratör med åtkomst till Administrationscenter för Microsoft 365 konfigurerar du Email inställningar på Administrationscenter för Microsoft 365 för att få viktiga meddelanden och uppdateringar.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter