นำไปใช้กับ
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

วันที่เผยแพร่ต้นฉบับ: 8 เมษายน 2025

KB ID: 5057784

เปลี่ยนวันที่

เปลี่ยนคําอธิบาย

วันที่ 22 กรกฎาคม 2568

  • อัปเดตย่อหน้าภายใต้ "ข้อมูลรีจิสทรีคีย์" ในส่วน "การตั้งค่ารีจิสทรีและบันทึกเหตุการณ์"ข้อความต้นฉบับ: รีจิสทรีคีย์ต่อไปนี้อนุญาตให้มีการตรวจสอบสถานการณ์ที่มีช่องโหว่ แล้วบังคับใช้การเปลี่ยนแปลงเมื่อมีการแก้ไขใบรับรองที่มีช่องโหว่ ระบบจะไม่สร้างรีจิสทรีคีย์โดยอัตโนมัติ ลักษณะการทํางานของระบบปฏิบัติการเมื่อรีจิสทรีคีย์ไม่ได้รับการกําหนดค่าจะขึ้นอยู่กับขั้นตอนของการปรับใช้ที่อยู่ในนั้นข้อความที่แก้ไข: รีจิสทรีคีย์ต่อไปนี้อนุญาตให้มีการตรวจสอบสถานการณ์ที่มีช่องโหว่ แล้วบังคับใช้การเปลี่ยนแปลงเมื่อมีการแก้ไขใบรับรองที่มีช่องโหว่ รีจิสทรีคีย์จะไม่ถูกเพิ่มโดยอัตโนมัติ ถ้าคุณต้องการเปลี่ยนลักษณะการทํางาน คุณต้องสร้างรีจิสทรีคีย์ด้วยตนเอง และตั้งค่าที่คุณต้องการ โปรดทราบว่าลักษณะการทํางานของระบบปฏิบัติการเมื่อรีจิสทรีคีย์ไม่ได้กําหนดค่าจะขึ้นอยู่กับขั้นตอนของการปรับใช้ที่อยู่ในนั้น

  • อัปเดต ข้อคิดเห็นภายใต้ "AllowNtAuthPolicyBypass" ในส่วน "การตั้งค่ารีจิสทรีและบันทึกเหตุการณ์"ข้อความต้นฉบับ:ควรกําหนดค่าการตั้งค่ารีจิสทรี AllowNtAuthPolicyBypass บน Windows KDC เช่น ตัวควบคุมโดเมนที่ติดตั้งการอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนพฤษภาคม 2025 เท่านั้นข้อความที่แก้ไข: ควรกําหนดค่าการตั้งค่ารีจิสทรี AllowNtAuthPolicyBypass บน Windows KDC ที่ติดตั้งการอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนเมษายน 2025 เท่านั้น

วันที่ 9 พฤษภาคม 2568

  • แทนที่คําว่า "บัญชีที่มีสิทธิ์" ด้วย "หลักประกันความปลอดภัยโดยใช้การรับรองความถูกต้องโดยใช้ใบรับรอง" ในส่วน "สรุป"

  • เปลี่ยนคํานําหน้าขั้นตอน "เปิดใช้งาน" ในส่วน "ดําเนินการ" เพื่ออธิบายให้ใช้ใบรับรองการเข้าสู่ระบบที่ออกโดยหน่วยงานที่อยู่ในร้านค้า NTAuthข้อความต้นฉบับ:เปิดใช้งาน โหมดการบังคับใช้เมื่อสภาพแวดล้อมของคุณไม่ได้ใช้ใบรับรองการเข้าสู่ระบบที่ออกโดยผู้ออกใบรับรองที่ไม่ได้อยู่ในที่เก็บ NTAuth อีกต่อไป

  • ในส่วน "8 เมษายน 2025: ขั้นตอนการปรับใช้ครั้งแรก – โหมดการตรวจสอบ" ทําการเปลี่ยนแปลงอย่างกว้างขวางโดยการเน้นว่าเงื่อนไขบางอย่างต้องมีอยู่ก่อนเปิดใช้งานการป้องกันที่เสนอโดยการอัปเดตนี้... การอัปเดตนี้ต้องถูกนําไปใช้กับตัวควบคุมโดเมนทั้งหมด และตรวจสอบให้แน่ใจว่าใบรับรองการเข้าสู่ระบบที่ออกโดยหน่วยงานออกให้อยู่ในที่เก็บ NTAuth เพิ่มขั้นตอนเพื่อย้ายไปยังโหมด การบังคับใช้ และเพิ่มบันทึกย่อข้อยกเว้นเพื่อหน่วงเวลาการย้ายเมื่อคุณมีตัวควบคุมโดเมนที่บริการการรับรองความถูกต้องโดยใช้ใบรับรองที่ลงนามด้วยตนเองที่ใช้ในหลายสถานการณ์ข้อความต้นฉบับ: เมื่อต้องการเปิดใช้งานลักษณะการทํางานใหม่และปลอดภัยจากช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าตัวควบคุมโดเมน Windows ทั้งหมดได้รับการอัปเดต และการตั้งค่ารีจิสทรีคีย์ AllowNtAuthPolicyBypass ถูกตั้งค่าเป็น 2

  • เพิ่มเนื้อหาเพิ่มเติมลงใน "ข้อคิดเห็น" ของส่วน "ข้อมูลรีจิสทรีคีย์" และ "เหตุการณ์การตรวจสอบ"

  • เพิ่มส่วน "ปัญหาที่ทราบแล้ว"

ในบทความนี้

บทสรุป

การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้นจะมีการป้องกันช่องโหว่ด้วยการรับรองความถูกต้อง Kerberos การอัปเดตนี้ให้การเปลี่ยนแปลงลักษณะการทํางานเมื่อผู้ออกใบรับรองที่ใช้สําหรับการรับรองความถูกต้องโดยใช้ใบรับรองหลักความปลอดภัย (CBA) ได้รับความเชื่อถือ แต่ไม่ใช่ในที่เก็บ NTAuth และการแมป Subject Key Identifier (SKI) แสดงอยู่ในแอตทริบิวต์ altSecID ของหลักความปลอดภัยโดยใช้การรับรองความถูกต้องโดยใช้ใบรับรอง เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดู CVE-2025-26647

ดําเนินการ

เพื่อช่วยปกป้องสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้ทําตามขั้นตอนต่อไปนี้:

  1. อัปเดต ตัวควบคุมโดเมนทั้งหมดด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้น

  2. ตรวจสอบ เหตุการณ์ใหม่ที่จะมองเห็นได้บนตัวควบคุมโดเมนเพื่อระบุผู้ให้บริการออกใบรับรองที่ได้รับผลกระทบ

  3. เปิด โหมดการบังคับใช้หลังจากสภาพแวดล้อมของคุณใช้เฉพาะใบรับรองการเข้าสู่ระบบที่ออกโดยหน่วยงานที่อยู่ในที่เก็บ NTAuth เท่านั้น

แอตทริบิวต์ altSecID

ตารางต่อไปนี้แสดงรายการแอตทริบิวต์ตัวระบุความปลอดภัยทางเลือก (altSecIDs) และ altSecID ทั้งหมดที่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้

รายการแอตทริบิวต์ใบรับรองที่สามารถแมปกับ altSecIDs 

AltSecIDs ที่ต้องการใบรับรองที่ตรงกันกับห่วงโซ่ไปยังที่เก็บ NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

ไทม์ไลน์ของการเปลี่ยนแปลง

8 เมษายน 2025: ระยะการปรับใช้ครั้งแรก – โหมดตรวจสอบ

ระยะการปรับใช้ครั้งแรก (โหมดตรวจสอบ ) จะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 8 เมษายน 2025 การอัปเดตเหล่านี้เปลี่ยนลักษณะการทํางานที่ตรวจพบช่องโหว่การยกระดับสิทธิ์ที่อธิบายไว้ใน CVE-2025-26647 แต่ไม่ได้บังคับใช้ในตอนแรก

ขณะที่อยู่ในโหมด ตรวจสอบรหัสเหตุการณ์: 45 จะถูกเข้าสู่ระบบบนตัวควบคุมโดเมนเมื่อได้รับคําขอการรับรองความถูกต้องของ Kerberos ที่มีใบรับรองที่ไม่ปลอดภัย คําขอการรับรองความถูกต้องจะได้รับอนุญาตและไม่ได้คาดหมายข้อผิดพลาดของไคลเอ็นต์

เมื่อต้องการเปิดใช้งานการเปลี่ยนแปลงลักษณะการทํางานและปลอดภัยจากช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าตัวควบคุมโดเมน Windows ทั้งหมดได้รับการอัปเดตด้วยการอัปเดต Windows เมื่อวันที่ 8 เมษายน 2025 หรือหลังจากนั้น และการตั้งค่ารีจิสทรีคีย์ AllowNtAuthPolicyBypass ถูกตั้งค่าเป็น 2 เพื่อกําหนดค่าสําหรับโหมดการบังคับใช้

เมื่ออยู่ในโหมด การบังคับใช้ ถ้าตัวควบคุมโดเมนได้รับการร้องขอการรับรองความถูกต้อง Kerberos ที่มีใบรับรองที่ไม่ปลอดภัย ตัวควบคุมโดเมนจะบันทึก ID เหตุการณ์ดั้งเดิม: 21 และปฏิเสธคําขอ

เมื่อต้องการเปิดการป้องกันที่เสนอโดยการอัปเดตนี้ ให้ทําตามขั้นตอนเหล่านี้:

  1. ใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้น กับตัวควบคุมโดเมนทั้งหมดในสภาพแวดล้อมของคุณ หลังจากใช้การอัปเดต การตั้งค่า AllowNtAuthPolicyBypass เป็นค่าเริ่มต้นเป็น 1 (ตรวจสอบ) ซึ่งเปิดใช้งานการตรวจสอบ NTAuth และเหตุการณ์คําเตือนบันทึกการตรวจสอบสําคัญ หากคุณไม่พร้อมที่จะดําเนินการต่อเพื่อใช้การป้องกันที่เสนอโดยการอัปเดตนี้ ให้ตั้งค่ารีจิสทรีคีย์เป็น 0 เพื่อปิดใช้งานการเปลี่ยนแปลงนี้ชั่วคราว ดูส่วน ข้อมูลรีจิสทรีคีย์ สําหรับข้อมูลเพิ่มเติม

  2. ตรวจสอบเหตุการณ์ใหม่ที่จะมองเห็นได้บนตัวควบคุมโดเมนเพื่อระบุผู้ให้บริการออกใบรับรองที่ได้รับผลกระทบซึ่งไม่ได้เป็นส่วนหนึ่งของที่เก็บ NTAuth ID เหตุการณ์ที่คุณจําเป็นต้องตรวจสอบคือ ID เหตุการณ์: 45 ดูส่วน เหตุการณ์การตรวจสอบ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์เหล่านี้

  3. ตรวจสอบให้แน่ใจว่าใบรับรองไคลเอ็นต์ทั้งหมดถูกต้องและเชื่อมต่อกับ CA การออกที่เชื่อถือได้ในที่เก็บ NTAuth

  4. หลังจากรหัสเหตุการณ์ทั้งหมด: แก้ไขเหตุการณ์ 45 รายการแล้ว คุณสามารถดําเนินการต่อไปยังโหมดการบังคับใช้ เมื่อต้องการทําเช่นนี้ ให้ตั้งค่ารีจิสทรี AllowNtAuthPolicyBypass เป็น 2 ดูส่วน ข้อมูลรีจิสทรีคีย์ สําหรับข้อมูลเพิ่มเติมโน้ต เราขอแนะนําให้ตั้งค่าการหน่วงเวลาชั่วคราว AllowNtAuthPolicyBypass = 2 จนกว่าจะใช้การอัปเดต Windows ที่เผยแพร่หลังจากเดือนพฤษภาคม 2025 กับตัวควบคุมโดเมนที่ใช้บริการการรับรองความถูกต้องโดยใช้ใบรับรองที่ลงนามด้วยตนเองซึ่งใช้ในหลายสถานการณ์ ซึ่งรวมถึงตัวควบคุมโดเมนที่บริการ Windows Hello สำหรับธุรกิจความน่าเชื่อถือของคีย์และการรับรองความถูกต้องคีย์สาธารณะของอุปกรณ์ที่เข้าร่วมโดเมน

กรกฎาคม 2025: บังคับใช้ตามระยะเริ่มต้น

Updates ที่วางจําหน่ายในหรือหลังเดือนกรกฎาคม 2025 จะบังคับใช้การตรวจสอบ NTAuth Store ตามค่าเริ่มต้น การตั้งค่ารีจิสทรีคีย์ AllowNtAuthPolicyBypass จะยังคงอนุญาตให้ลูกค้ากลับไปยังโหมด ตรวจสอบ หากจําเป็น อย่างไรก็ตาม ความสามารถในการปิดใช้งานการอัปเดตความปลอดภัยนี้อย่างสมบูรณ์จะถูกลบออก

ตุลาคม 2025: โหมดการบังคับใช้

Updates ที่เผยแพร่ในเดือนตุลาคม 2025 หรือหลังจากนั้นจะยกเลิกการสนับสนุนของ Microsoft สําหรับรีจิสทรีคีย์ AllowNtAuthPolicyBypass ในขั้นตอนนี้ ใบรับรองทั้งหมดต้องออกโดยผู้ออกใบรับรองที่เป็นส่วนหนึ่งของร้านค้า NTAuth 

การตั้งค่ารีจิสทรีและบันทึกเหตุการณ์

ข้อมูลรีจิสทรีคีย์

รีจิสทรีคีย์ต่อไปนี้อนุญาตให้มีการตรวจสอบสถานการณ์ที่มีช่องโหว่ แล้วบังคับใช้การเปลี่ยนแปลงเมื่อมีการแก้ไขใบรับรองที่มีช่องโหว่ รีจิสทรีคีย์จะไม่ถูกเพิ่มโดยอัตโนมัติ ถ้าคุณต้องการเปลี่ยนลักษณะการทํางาน คุณต้องสร้างรีจิสทรีคีย์ด้วยตนเอง และตั้งค่าที่คุณต้องการ โปรดทราบว่าลักษณะการทํางานของระบบปฏิบัติการเมื่อรีจิสทรีคีย์ไม่ได้กําหนดค่าจะขึ้นอยู่กับขั้นตอนของการปรับใช้ที่อยู่ในนั้น

AllowNtAuthPolicyBypass

คีย์ย่อยของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

ค่า

AllowNtAuthPolicyBypass

ชนิดข้อมูล

REG_DWORD

ข้อมูลค่า

0

ปิดใช้งานการเปลี่ยนแปลงทั้งหมด

1

ดําเนินการเหตุการณ์การตรวจสอบและบันทึกของ NTAuth ที่ระบุใบรับรองที่ออกโดยผู้ออกใบรับรองที่ไม่ใช่ส่วนหนึ่งของที่เก็บ NTAuth (โหมดตรวจสอบ) (ลักษณะการทํางานเริ่มต้นตั้งแต่รุ่นวันที่ 8 เมษายน 2025)

2

ดําเนินการตรวจสอบ NTAuth และหากไม่อนุญาตการเข้าสู่ระบบ บันทึกเหตุการณ์ปกติ (ที่มีอยู่) สําหรับความล้มเหลว AS-REQ ด้วยรหัสข้อผิดพลาดที่ระบุว่าการตรวจสอบ NTAuth ล้มเหลว (โหมดบังคับใช้ )

ความ คิด เห็น

ควรกําหนดค่าการตั้งค่ารีจิสทรี AllowNtAuthPolicyBypass บน Windows KDC ที่ติดตั้งการอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนเมษายน 2025 เท่านั้น

เหตุการณ์การตรวจสอบ

รหัสเหตุการณ์: 45 | เหตุการณ์การตรวจสอบการตรวจสอบการตรวจสอบของร้านค้า NT Auth

ผู้ดูแลระบบควรตรวจสอบเหตุการณ์ต่อไปนี้ที่เพิ่มโดยการติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้น ถ้ามีใบรับรองอยู่ แสดงว่าใบรับรองถูกออกโดยผู้ออกใบรับรองที่ไม่ใช่ส่วนหนึ่งของที่เก็บ NTAuth

บันทึกเหตุการณ์

ระบบบันทึก

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

Kerberos-Key-Distribution-Center

ID เหตุการณ์

45

ข้อความเหตุการณ์

Key Distribution Center (KDC) พบใบรับรองไคลเอ็นต์ที่ถูกต้อง แต่ไม่ได้เชื่อมต่อไปยังรากในที่เก็บ NTAuth การสนับสนุนสําหรับใบรับรองที่ไม่เชื่อมต่อกันกับที่เก็บ NTAuth ไม่ได้รับการสนับสนุน

การสนับสนุนสําหรับใบรับรองที่เชื่อมโยงไปยังร้านค้าที่ไม่ใช่ NTAuth ไม่ได้รับการสนับสนุนและไม่ปลอดภัยดู https://go.microsoft.com/fwlink/?linkid=2300705 เพื่อเรียนรู้เพิ่มเติม

 ผู้ใช้: >ชื่อผู้ใช้<  ชื่อเรื่องใบรับรอง:> เรื่องใบรับรอง<  ผู้ออกใบรับรอง: >ผู้ออกใบรับรอง<  หมายเลขลําดับประจําสินค้าของใบรับรอง: >หมายเลขลําดับประจําสินค้าของใบรับรอง<  ธัมป์ปรินต์ใบรับรอง: >< CertThumbprint

ความ คิด เห็น

  • การอัปเดต Windows ในอนาคตจะปรับจํานวนเหตุการณ์ 45 ที่เข้าสู่ระบบบนตัวควบคุมโดเมนที่ป้องกันด้วย CVE-2025-26647 ให้เหมาะสม

  • ผู้ดูแลระบบอาจเพิกเฉยต่อการบันทึกเหตุการณ์ Kerberos-Key-Distribution-Center 45 ในสถานการณ์ต่อไปนี้:

    • การเข้าสู่ระบบของผู้ใช้ Windows Hello สำหรับธุรกิจ (WHfB) ที่ชื่อเรื่องและผู้ออกใบรับรองตรงกับรูปแบบ: <SID>/<UID>/login.windows.net/<ID ผู้เช่า>/<ผู้ใช้ UPN>

    • การเข้ารหัสลับคีย์สาธารณะของเครื่องสําหรับการเข้าสู่ระบบการรับรองความถูกต้องเบื้องต้น (PKINIT) ที่ผู้ใช้เป็นบัญชีคอมพิวเตอร์ (สิ้นสุดลงด้วยอักขระ $ ต่อท้าย) ชื่อเรื่องและผู้ออกเป็นคอมพิวเตอร์เครื่องเดียวกันและหมายเลขลําดับประจําสินค้าคือ 01

รหัสเหตุการณ์: 21 | เหตุการณ์ความล้มเหลวของ AS-REQ

หลังจากแก้ไขเหตุการณ์ Kerberos-Key-Distribution-Center 45 แล้ว การบันทึกเหตุการณ์ทั่วไปแบบดั้งเดิมนี้ระบุว่าใบรับรองไคลเอ็นต์ยังคงไม่น่าเชื่อถือ เหตุการณ์นี้อาจถูกบันทึกด้วยเหตุผลหลายประการ โดยหนึ่งในนั้นคือใบรับรองไคลเอ็นต์ที่ถูกต้องไม่ได้เชื่อมต่อกับ CA การออกใบรับรองในที่เก็บ NTAuth

บันทึกเหตุการณ์

ระบบบันทึก

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

Kerberos-Key-Distribution-Center

ID เหตุการณ์

21

ข้อความเหตุการณ์

ใบรับรองไคลเอ็นต์สําหรับผู้ใช้ <Domain\UserName> ไม่ถูกต้อง และส่งผลให้เข้าสู่ระบบสมาร์ทการ์ดล้มเหลว

โปรดติดต่อผู้ใช้สําหรับข้อมูลเพิ่มเติมเกี่ยวกับใบรับรองที่พวกเขากําลังพยายามใช้สําหรับการเข้าสู่ระบบสมาร์ทการ์ด

สถานะห่วงโซ่คือ : กลุ่มใบรับรองประมวลผลอย่างถูกต้อง แต่หนึ่งในใบรับรอง CA ไม่ได้รับความเชื่อถือโดยผู้ให้บริการนโยบาย

ความ คิด เห็น

  • รหัสเหตุการณ์: 21 ที่อ้างอิงบัญชี "ผู้ใช้" หรือ "คอมพิวเตอร์" จะอธิบายเกี่ยวกับหลักความปลอดภัยที่เริ่มต้นการรับรองความถูกต้อง Kerberos

  • การเข้าสู่ระบบ Windows Hello สำหรับธุรกิจ (WHfB) จะอ้างอิงบัญชีผู้ใช้

  • การเข้ารหัสลับคีย์สาธารณะของเครื่องสําหรับการรับรองความถูกต้องเบื้องต้น (PKINIT) จะอ้างอิงบัญชีคอมพิวเตอร์

ปัญหาที่ทราบ

ลูกค้ารายงานปัญหาเกี่ยวกับรหัสเหตุการณ์: 45 และรหัสเหตุการณ์: 21 ที่ทริกเกอร์โดยการรับรองความถูกต้องโดยใช้ใบรับรองที่เซ็นชื่อด้วยตนเอง หากต้องการดูข้อมูลเพิ่มเติม โปรดดูที่ปัญหาที่ทราบซึ่งระบุไว้ใน สถานภาพการเผยแพร่ Windows:

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง