วันที่เผยแพร่ต้นฉบับ: วันที่ 29 สิงหาคม 2568
KB ID: 5066470
บทนำ
บทความนี้แสดงรายละเอียดเกี่ยวกับการเปลี่ยนแปลงล่าสุดและกําลังจะมาถึงใน Windows 11 เวอร์ชัน 24H2 และ Windows Server 2025 โดยมุ่งเน้นที่การตรวจสอบและการบังคับใช้ในที่สุดของการบล็อกการเข้ารหัสลับที่ได้รับ NTLMv1 การเปลี่ยนแปลงเหล่านี้เป็นส่วนหนึ่งของความคิดริเริ่มที่กว้างขึ้นของ Microsoft เพื่อยุติ NTLM
พื้นหลัง
Microsoft ได้ลบโพรโทคอล NTLMv1 (ดู เอาคุณลักษณะและฟังก์ชันการทํางานออก) ออกจาก Windows 11 เวอร์ชัน 24H2 และ Windows Server 2025 และเวอร์ชันที่ใหม่กว่า อย่างไรก็ตาม ขณะที่โพรโทคอล NTLMv1 ถูกลบออก แต่เศษของการเข้ารหัส NTLMv1 จะยังคงปรากฏในบางสถานการณ์ เช่น เมื่อใช้ MS-CHAPv2 ในสภาพแวดล้อมที่เข้าร่วมโดเมน
Credential Guard ให้การป้องกันอย่างสมบูรณ์ทั้งการเข้ารหัสลับแบบดั้งเดิม NTLMv1 และการโจมตีอื่นๆ อีกมากมาย ดังนั้น Microsoft ขอแนะนําให้ปรับใช้และเปิดใช้งานหากเป็นไปตามความต้องการของ Credential Guard การเปลี่ยนแปลงที่กําลังจะมาถึงจะส่งผลต่ออุปกรณ์ที่ Credential guard ถูกปิดใช้งานเท่านั้น หากเปิดใช้งาน Windows Credential Guard บนอุปกรณ์ การเปลี่ยนแปลงที่ระบุไว้ในบทความนี้จะไม่มีผล
เป้าหมาย
ด้วยการเลิกใช้ NTLM (ดู ฟีเจอร์ที่ไม่สนับสนุน) และการเอาโพรโทคอล NTLMv1 ออก Microsoft จึงทํางานเพื่อสิ้นสุดการปิดใช้งาน NTLMv1 โดยการปิดใช้งานโดยใช้ข้อมูลประจําตัวที่ได้รับจาก NTLMv1
การเปลี่ยนแปลงที่กําลังจะมาถึง
การเปลี่ยนแปลงใหม่สองอย่าง บทนําของรีจิสทรีคีย์ใหม่และบันทึกเหตุการณ์ใหม่จะรวมอยู่ในการอัปเดตนี้ สําหรับไทม์ไลน์ของการเปลี่ยนแปลงเหล่านี้ โปรดดูส่วน การเผยแพร่การเปลี่ยนแปลง
รีจิสทรีคีย์ใหม่
มีการแนะนํารีจิสทรีคีย์ใหม่ โดยระบุว่าการเปลี่ยนแปลงอยู่ในโหมดตรวจสอบหรือโหมดบังคับใช้
|
ตําแหน่งที่ตั้งของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
ค่า |
BlockNtlmv1SSO |
|
ชนิด |
REG_DWORD |
|
ข้อมูล |
|
ความสามารถในการตรวจสอบใหม่
-
เมื่อใช้การตั้งค่าการตรวจสอบ (ค่าเริ่มต้น)
บันทึกเหตุการณ์
Microsoft-Windows-NTLM/Operational
ชนิดเหตุการณ์
คำเตือน
แหล่งของเหตุการณ์
NTLM
ID เหตุการณ์
4024
ข้อความเหตุการณ์
การตรวจสอบความพยายามใช้ข้อมูลประจําตัวที่ได้รับมาจาก NTLMv1 สําหรับการเข้าสู่ระบบโดยลงชื่อเข้าใช้ครั้งเดียว เซิร์ฟเวอร์เป้าหมาย: <domain_name> ผู้ใช้ที่ระบุ: <user_name> โดเมนที่จัดหาให้: <domain_name> PID ของกระบวนการไคลเอ็นต์: <process_identifier> ชื่อของกระบวนการไคลเอ็นต์: <process_name> LUID ของกระบวนการไคลเอ็นต์: <locally_unique_identifier> ข้อมูลประจําตัวผู้ใช้ของกระบวนการไคลเอ็นต์: <user_name> ชื่อโดเมนของข้อมูลประจําตัวผู้ใช้ของกระบวนการไคลเอ็นต์: <domain_name> กลไก OID: <object_identifier> สําหรับข้อมูลเพิ่มเติม ให้ดูที่ https://go.microsoft.com/fwlink/?linkid=2321802
-
เมื่อใช้การตั้งค่า บังคับใช้
บันทึกเหตุการณ์
Microsoft-Windows-NTLM/Operational
ชนิดเหตุการณ์
ข้อผิดพลาด
แหล่งของเหตุการณ์
NTLM
ID เหตุการณ์
4025
ข้อความเหตุการณ์
ความพยายามในการใช้ข้อมูลประจําตัวที่ได้รับ NTLMv1 สําหรับ Sign-On เดียวถูกบล็อกเนื่องจากนโยบายเซิร์ฟเวอร์เป้าหมาย: <domain_name> ผู้ใช้ที่ระบุ: <user_name> โดเมนที่จัดหาให้: <domain_name> PID ของกระบวนการไคลเอ็นต์: <process_identifier> ชื่อของกระบวนการไคลเอ็นต์: <process_name> LUID ของกระบวนการไคลเอ็นต์: <locally_unique_identifier> ข้อมูลประจําตัวผู้ใช้ของกระบวนการไคลเอ็นต์: <user_name> ชื่อโดเมนของข้อมูลประจําตัวผู้ใช้ของกระบวนการไคลเอ็นต์: <domain_name> กลไก OID: <object_identifier> สําหรับข้อมูลเพิ่มเติม ให้ดูที่ https://go.microsoft.com/fwlink/?linkid=2321802
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงการตรวจสอบอื่นๆ ให้ดู ภาพรวมของการปรับปรุงการตรวจสอบ NTLM ใน Windows 11 เวอร์ชัน 24H2 และ Windows Server 2025
การเผยแพร่การเปลี่ยนแปลง
ในการอัปเดตเดือนกันยายน 2025 และใหม่กว่า การเปลี่ยนแปลงจะเผยแพร่ไปยัง Windows 11 เวอร์ชัน 24H2 และระบบปฏิบัติการไคลเอ็นต์ที่ใหม่กว่าในโหมดตรวจสอบ ในโหมดนี้ ID เหตุการณ์: 4024 จะถูกบันทึกเมื่อใดก็ตามที่มีการใช้ข้อมูลประจําตัวที่ได้รับจาก NTLMv1 แต่การรับรองความถูกต้องจะยังคงทํางานได้ การเปิดตัวจะมาถึง Windows Server 2025 ในภายหลังในปี
ในเดือนตุลาคม 2026 Microsoft จะตั้งค่าเริ่มต้นของรีจิสทรีคีย์ BlockNTLMv1SSO เป็น 1 (บังคับใช้) แทนที่จะเป็น 0 (ตรวจสอบ) ถ้ารีจิสทรีคีย์ BlockNTLMv1SSO ไม่ได้ปรับใช้กับอุปกรณ์
ไทม์ไลน์
|
วันที่ |
เปลี่ยน |
|
ปลายสิงหาคม 2025 |
บันทึกการตรวจสอบสําหรับการใช้งาน NTLMv1 เปิดใช้งานบน Windows 11 เวอร์ชัน 24H2 และไคลเอ็นต์ที่ใหม่กว่า |
|
พฤศจิกายน 2568 |
เริ่มเผยแพร่การเปลี่ยนแปลงไปยัง Windows Server 2025 |
|
ตุลาคม 2026 |
ค่าเริ่มต้นของรีจิสทรีคีย์ BlockNtlmv1SSO จะเปลี่ยนจากโหมด ตรวจสอบ (0) เป็นโหมด บังคับใช้ (1) ผ่านการอัปเดต Windows ในอนาคต ทําให้ข้อจํากัด NTLMv1 เข้มแข็งขึ้น การเปลี่ยนแปลงนี้ในค่าเริ่มต้นจะมีผลก็ต่อเมื่อไม่ได้ปรับใช้รีจิสทรีคีย์ BlockNtlmv1SSO |
หมายเหตุ วันที่เหล่านี้ไม่แน่นอนและอาจมีการเปลี่ยนแปลง
คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)
Microsoft ใช้วิธีการเผยแพร่แบบค่อยเป็นค่อยไปเพื่อแจกจ่ายการอัปเดตการเผยแพร่ในช่วงเวลาหนึ่ง แทนการเผยแพร่ทั้งหมดในครั้งเดียว ซึ่งหมายความว่าผู้ใช้จะได้รับการอัปเดตในเวลาที่ต่างกัน และอาจไม่มีให้ใช้งานโดยทันทีสําหรับผู้ใช้ทั้งหมด
ข้อมูลประจําตัวที่ได้รับมา NTLMv1 จะถูกใช้โดยโพรโทคอลระดับสูงกว่าบางรายการสําหรับวัตถุประสงค์ Sign-On เดียว ตัวอย่างเช่น การปรับใช้ Wi-Fi, อีเทอร์เน็ต และ VPN โดยใช้การรับรองความถูกต้อง MS-CHAPv2 เช่นเดียวกับเมื่อเปิดใช้งาน Credential Guard โฟลว์ Sign-On เดียวสําหรับโพรโทคอลเหล่านี้จะไม่ทํางาน แต่การใส่ข้อมูลประจําตัวด้วยตนเองจะยังคงทํางานได้แม้ในโหมดบังคับใช้ สําหรับข้อมูลเพิ่มเติมและหลักปฏิบัติที่ดีที่สุด โปรดดู ข้อควรพิจารณาและปัญหาที่ทราบเมื่อใช้ Credential Guard
ความคล้ายคลึงกันเพียงข้อเดียวระหว่างการอัปเดตนี้และ Credential Guard คือการป้องกันข้อมูลประจําตัวผู้ใช้จากการเข้ารหัสลับที่ได้จาก NTLMv1 การอัปเดตนี้ไม่ได้ให้การป้องกันที่ครอบคลุมและมีประสิทธิภาพของ Credential Guard Microsoft ขอแนะนําให้เปิดใช้งาน Credential Guard บนแพลตฟอร์มที่ได้รับการสนับสนุนทั้งหมด
