Gäller förWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Ursprungligt publiceringsdatum: 8 april 2025

KB-ID: 5057784

Ändra datum

Ändra beskrivning

Den 9 maj 2025

  • Ersatte termen "privilegierat konto" med "säkerhetshuvudnamn med certifikatbaserad autentisering" i avsnittet "Sammanfattning".

  • Formulerade om steget "Aktivera" i avsnittet "Vidta åtgärder" för att förtydliga användningen av inloggningscertifikat som utfärdats av myndigheter som finns i NTAuth-arkivet.Ursprunglig text:AKTIVERA tvingande läge när miljön inte längre använder inloggningscertifikat som utfärdats av myndigheter som inte finns i NTAuth-arkivet.

  • I avsnittet "8 april 2025: Inledande distributionsfas – granskningsläge" gjorde du omfattande ändringar genom att betona att vissa villkor måste finnas innan de skydd som erbjuds av den här uppdateringen... den här uppdateringen måste tillämpas på alla domänkontrollanter OCH se till att inloggningscertifikat som utfärdats av myndigheter finns i NTAuth-arkivet. Lade till steg för att gå till tvingande läge och lade till en undantagsanteckning för att fördröja flytten när du har domänkontrollanter som tjänst självsignerad certifikatbaserad autentisering används i flera scenarier.Ursprunglig text: Om du vill aktivera det nya beteendet och vara säker från säkerhetsrisken måste du se till att alla Windows-domänkontrollanter uppdateras och att registernyckelinställningen AllowNtAuthPolicyBypass är inställd på 2.

  • Ytterligare innehåll har lagts till i kommentarerna i avsnitten "Registernyckelinformation" och "Granskningshändelser".

  • Avsnittet "Känt problem" har lagts till.

I denna artikel

Sammanfattning

Windows-säkerhetsuppdateringarna som släpptes 8 april 2025 eller senare innehåller skydd mot en säkerhetsrisk med Kerberos-autentisering. Den här uppdateringen ändrar beteendet när den utfärdande myndigheten för certifikatet som används för en säkerhetshuvudmans certifikatbaserade autentisering (CBA) är betrodd, men inte i NTAuth-arkivet, och en SKI-mappning (Subject Key Identifier) finns i altSecID-attributet för säkerhetshuvudmannen med certifikatbaserad autentisering. Mer information om den här säkerhetsrisken finns i CVE-2025-26647.

Vidta åtgärder

För att skydda din miljö och förhindra avbrott rekommenderar vi följande steg:

  1. UPPDATERA alla domänkontrollanter med en Windows-uppdatering som släpptes 8 april 2025 eller senare.

  2. ÖVERVAKA nya händelser som kommer att visas på domänkontrollanter för att identifiera berörda certifikatutfärdare.

  3. MÖJLIGGÖRA Tvingande läge efter din miljö använder nu bara inloggningscertifikat som utfärdats av myndigheter som finns i NTAuth-arkivet.

altSecID-attribut

I följande tabell visas alla altSecID-attribut (Alternative Security Identifiers) och de altSecIDs som påverkas av den här ändringen.

Lista över certifikatattribut som kan mappas till altSecIDs 

AltSecIDs som kräver ett matchande certifikat för att länka till NTAuth-arkivet

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Tidslinje över ändringar

8 april 2025: Inledande distributionsfas – granskningsläge

Den första distributionsfasen (granskningsläge ) börjar med uppdateringarna som släpptes 8 april 2025. Dessa uppdateringar ändrar beteendet som identifierar säkerhetsrisken för rättighetsökning som beskrivs i CVE-2025-26647 , men den tillämpas inte från början.

I granskningsläge loggas händelse-ID: 45 på domänkontrollanten när en Kerberos-autentiseringsbegäran tas emot med ett osäkert certifikat. Autentiseringsbegäran tillåts och inga klientfel förväntas.

Om du vill aktivera beteendeändringen och vara säker från säkerhetsrisken måste du se till att alla Windows-domänkontrollanter uppdateras med en Windows-uppdateringsversion den 8 april 2025 eller senare, och registernyckelinställningen AllowNtAuthPolicyBypass är inställd på 2 för att konfigurera för tvingande läge.

Om domänkontrollanten i tvingande läge får en Kerberos-autentiseringsbegäran med ett osäkert certifikat loggar den äldre händelse-ID: 21 och nekar begäran.

Så här aktiverar du de skydd som erbjuds av den här uppdateringen:

  1. Tillämpa Windows-uppdateringen som släpptes den 8 april 2025 eller senare på alla domänkontrollanter i din miljö. När du har installerat uppdateringen är registervärdet AllowNtAuthPolicyBypass inställt på 1 , vilket aktiverar NTAuth-kontrollen och varningshändelser i granskningsloggen.VIKTIG Om du inte är redo att fortsätta med att tillämpa de skydd som erbjuds av den här uppdateringen anger du registernyckeln till 0 för att tillfälligt inaktivera den här ändringen. Mer information finns i avsnittet Registernyckelinformation .

  2. Övervaka nya händelser som visas i domänkontrollanter för att identifiera berörda certifikatutfärdare som inte ingår i NTAuth-arkivet. Det händelse-ID du behöver övervaka är händelse-ID: 45. Mer information om dessa händelser finns i avsnittet Granskningshändelser .

  3. Kontrollera att alla klientcertifikat är giltiga och kedjade till en betrodd utfärdande certifikatutfärdare i NTAuth-arkivet.

  4. När alla händelse-ID: 45 händelser har lösts kan du gå vidare till tvingande läge. Det gör du genom att ange registervärdet AllowNtAuthPolicyBypass till 2. Mer information finns i avsnittet Registernyckelinformation .Not Vi rekommenderar att du tillfälligt fördröjer inställningen AllowNtAuthPolicyBypass = 2 tills du har tillämpat Windows-uppdateringen som släpptes efter maj 2025 på domänkontrollanter som tjänstar självsignerad certifikatbaserad autentisering som används i flera scenarier. Detta omfattar domänkontrollanter som tjänst Windows Hello för företag Key Trust och domänansluten autentisering med offentlig enhetsnyckel.

Juli 2025: Tillämpad som standardfas

Uppdateringar som släpptes i eller efter juli 2025 tillämpar NTAuth Store-kontrollen som standard. Registernyckelinställningen AllowNtAuthPolicyBypass gör det fortfarande möjligt för kunder att gå tillbaka till granskningsläget om det behövs. Möjligheten att inaktivera den här säkerhetsuppdateringen helt tas dock bort.

Oktober 2025: Tillämpningsläge

Uppdateringar som släpptes i eller efter oktober 2025 upphör Microsofts support för registernyckeln AllowNtAuthPolicyBypass. I det här skedet måste alla certifikat utfärdas av myndigheter som ingår i NTAuth-arkivet. 

Registerinställningar och händelseloggar

Registernyckelinformation

Följande registernyckel gör det möjligt att granska sårbara scenarier och sedan tillämpa ändringen när sårbara certifikat har åtgärdats. Registernyckeln skapas inte automatiskt. Hur operativsystemet fungerar när registernyckeln inte är konfigurerad beror på vilken fas av distributionen den är i.

AllowNtAuthPolicyBypass

Registerundernyckel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Värde

AllowNtAuthPolicyBypass

Datatyp

REG_DWORD

Värdedata

0

Inaktiverar ändringen helt och hållet.

1

Utför NTAuth-kontroll- och loggvarningshändelsen som anger certifikat som utfärdats av en myndighet som inte ingår i NTAuth-arkivet (granskningsläge). (Standardbeteendet börjar i versionen från 8 april 2025.)

2

Utför NTAuth-kontrollen och om den misslyckas tillåts inte inloggningen. Logga normala händelser (befintliga) för ett AS-REQ-fel med en felkod som anger att NTAuth-kontrollen misslyckades (tvingande läge).

Kommentarer

Registerinställningen AllowNtAuthPolicyBypass ska endast konfigureras på Windows-KDC:er, till exempel domänkontrollanter som har installerat Windows-uppdateringarna som släpptes i eller efter maj 2025.

Granskningshändelser

Händelse-ID: 45 | Granskningshändelse för NT-autentiseringsarkivkontroll

Administratörer bör watch för följande händelse som lagts till av installationen av Windows-uppdateringar som släpptes den 8 april 2025 eller senare. Om det finns ett certifikat innebär det att ett certifikat har utfärdats av en myndighet som inte ingår i NTAuth-arkivet.

Händelselogg

Loggsystem

Händelsetyp

Varning

Händelsekälla

Kerberos-Key-Distribution-Center

Händelse-ID

45

Händelsetext

Nyckeldistributionscentret (KDC) påträffade ett klientcertifikat som var giltigt men inte kedjat till en rot i NTAuth-arkivet. Stöd för certifikat som inte kedjas till NTAuth-arkivet är inaktuellt.

Stöd för certifikatkedja till icke-NTAuth-butiker är inaktuellt och osäkert.Mer information finns i https://go.microsoft.com/fwlink/?linkid=2300705 .

 Användare: <UserName>  Certifikatet ämne: <certifikat ämne>  Certifikatutfärdare: <certifikatutfärdare>  Certifikatserienummer: <cert-serienummer>  Certificate Thumbprint: < CertThumbprint>

Kommentarer

  • Framtida Windows-uppdateringar optimerar antalet händelse 45-användare som loggats på CVE-2025-26647-skyddade domänkontrollanter.

  • Administratörer kan ignorera loggning av Kerberos-Key-Distribution-Center händelse 45 under följande omständigheter:

    • Windows Hello för företag (WHfB) användarinloggningar där certifikatens ämne och utfärdare matchar formatet: <SID>/<UID>/login.windows.net/<klientorganisations-ID>/<upn->

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) inloggningar där användaren är ett datorkonto (avslutas med ett avslutande $ tecken)), ämne och utfärdare är samma dator och serienumret är 01.

Händelse-ID: 21 | AS-REQ Failure Event

När du har adresserat Kerberos-Key-Distribution-Center Event 45 anger loggningen av den här allmänna, äldre händelsen att klientcertifikatet fortfarande INTE är betrott. Händelsen kan loggas av flera orsaker, varav en är att ett giltigt klientcertifikat INTE är kedjat till en utfärdande certifikatutfärdare i NTAuth-arkivet.

Händelselogg

Loggsystem

Händelsetyp

Varning

Händelsekälla

Kerberos-Key-Distribution-Center

Händelse-ID

21

Händelsetext

Klientcertifikatet för användaren <Domain\UserName> är inte giltigt och resulterade i en misslyckad inloggning med smartkort.

Kontakta användaren om du vill ha mer information om certifikatet som de försöker använda för smartkorts inloggning.

Kedjestatusen var : En certifieringskedja bearbetades korrekt, men ett av certifikatutfärdarcertifikaten är inte betrott av principleverantören.

Kommentarer

  • Ett händelse-ID: 21 som refererar till ett "användare" eller "datorkonto" beskriver säkerhetsobjektet som initierar Kerberos-autentisering.

  • Windows Hello för företag (WHfB) inloggningar refererar till ett användarkonto.

  • Machine Public Key Cryptography for Initial Authentication (PKINIT) refererar till ett datorkonto.

Känt problem

Kunder rapporterade problem med händelse-ID: 45 och händelse-ID: 21 som utlöstes av certifikatbaserad autentisering med självsignerade certifikat. Mer information finns i det kända problemet som dokumenteras i Windows versionshälsa:

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter