วันที่เผยแพร่ต้นฉบับ: เมษายน 2023
KB ID: 5036534
|
เปลี่ยนวันที่ |
คำอธิบาย |
|---|---|
|
8 เมษายน 2025 |
|
|
วันที่ 19 กุมภาพันธ์ 2568 |
|
|
วันที่ 30 มกราคม 2568 |
|
|
วันที่ 17 มกราคม 2568 |
|
|
วันที่ 10 มีนาคม 2567 |
|
บทนำ
การทําให้แข็งตัวเป็นองค์ประกอบสําคัญของกลยุทธ์การรักษาความปลอดภัยอย่างต่อเนื่องของเราเพื่อช่วยให้พื้นที่ของคุณได้รับการปกป้องในขณะที่คุณมุ่งความสนใจไปที่งานของคุณ การโจมตีทางไซเบอร์มีความคิดสร้างสรรค์มากขึ้นทําให้จุดอ่อนลดลงทุกที่ที่เป็นไปได้ ตั้งแต่ชิปไปจนถึงระบบคลาวด์
บทความนี้ทบทวนพื้นที่เปราะบางที่กําลังมีการเปลี่ยนแปลงด้านความเข้มงวดที่ดําเนินการผ่านการอัปเดตความปลอดภัยของ Windows นอกจากนี้ เรายังโพสต์ตัวเตือนบนศูนย์ข้อความของ Windows เพื่อแจ้งเตือนให้ผู้ดูแลระบบ IT ทราบเกี่ยวกับการทําให้วันที่สําคัญหนักขึ้นเมื่อใกล้เข้ามา
หมายเหตุ: บทความนี้จะได้รับการอัปเดตเมื่อเวลาผ่านไปเพื่อให้ข้อมูลล่าสุดเกี่ยวกับการเปลี่ยนแปลงและไทม์ไลน์ที่แข็งตัว โปรดดูส่วน บันทึกการเปลี่ยนแปลง เพื่อติดตามการเปลี่ยนแปลงล่าสุด
การเปลี่ยนแปลงแบบแข็งตัวตามเดือน
ดูรายละเอียดสําหรับการเปลี่ยนแปลงการเพิ่มความแข็งแกร่งล่าสุดและกําลังจะมาถึงทีละเดือนเพื่อช่วยคุณวางแผนสําหรับแต่ละขั้นตอนและการบังคับใช้ขั้นสุดท้าย
-
การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 1 ระยะการปรับใช้เริ่มต้น Windows Updates เผยแพร่เมื่อวันที่ 9 พฤษภาคม 2023 หรือหลังจากนั้น แก้ไขช่องโหว่ที่กล่าวถึงใน CVE-2023-24932 การเปลี่ยนแปลงคอมโพเนนต์การเริ่มต้นระบบของ Windows และไฟล์เพิกถอนสองไฟล์ที่สามารถนําไปใช้ได้ด้วยตนเอง (นโยบายความสมบูรณ์ของโค้ดและรายการไม่อนุญาตให้บูตแบบปลอดภัย (DBX)) ที่อัปเดตแล้ว)
-
โพรโทคอล Netlogon เปลี่ยนแปลง KB5021130 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 3 การบังคับใช้ตามค่าเริ่มต้น คีย์ย่อย RequireSeal จะถูกย้ายไปยังโหมดการบังคับใช้ เว้นแต่ว่าคุณจะกําหนดค่าอย่างชัดเจนให้อยู่ในโหมดความเข้ากันได้
-
Kerberos PAC ลายเซ็น KB5020805 | Kerberos ขั้นตอนที่ 3 ระยะการปรับใช้ที่สาม เอาความสามารถในการปิดใช้งานการเพิ่มลายเซ็น PAC โดยการตั้งค่าคีย์ย่อย KrbtgtFullPacSignature เป็นค่า 0
-
โพรโทคอล Netlogon เปลี่ยนแปลง KB5021130 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 4 การบังคับใช้ขั้นสุดท้าย การอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 จะลบความสามารถในการตั้งค่า 1 เป็นซับคีย์รีจิสทรี RequireSeal ซึ่งจะเป็นการเปิดใช้งานขั้นตอนการบังคับใช้ของ CVE-2022-38023
-
Kerberos PAC ลายเซ็น KB5020805 | Kerberos ขั้นตอนที่ 4 โหมดการบังคับใช้เริ่มต้น เอาความสามารถในการตั้งค่า 1 สําหรับคีย์ย่อย KrbtgtFullPacSignature ออก และย้ายไปยังโหมดการบังคับใช้เป็นค่าเริ่มต้น (KrbtgtFullPacSignature = 3) ซึ่งคุณสามารถแทนที่ด้วยการตั้งค่าการตรวจสอบที่ชัดเจนได้
-
การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 2 ระยะการปรับใช้ที่สอง Updates สําหรับ Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้นรวมถึงการปรับใช้อัตโนมัติของไฟล์การเพิกถอน เหตุการณ์บันทึกเหตุการณ์ใหม่เพื่อรายงานว่าการปรับใช้การยกเลิกสําเร็จหรือไม่ และแพคเกจการอัปเดตแบบไดนามิก SafeOS สําหรับ WinRE
-
Kerberos PAC ลายเซ็น KB5020805 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 5
ระยะการบังคับใช้แบบเต็ม เอาการสนับสนุนสําหรับรีจิสทรีซับคีย์ KrbtgtFullPacSignature เอาการสนับสนุนสําหรับโหมดตรวจสอบ และตั๋วบริการทั้งหมดที่ไม่มีลายเซ็น PAC ใหม่จะถูกปฏิเสธการรับรองความถูกต้อง
-
สิทธิ์ของ Active Directory (AD) จะอัปเดต KB5008383 | สิทธิ์ของ Active Directory (AD) ขั้นตอนที่ 5 ขั้นตอนการปรับใช้ขั้นสุดท้าย ขั้นตอนการปรับใช้ขั้นสุดท้ายสามารถเริ่มต้นได้เมื่อคุณทําตามขั้นตอนที่แสดงในส่วน "ดําเนินการ" ของ KB5008383 เรียบร้อยแล้ว เมื่อต้องการย้ายไปยังโหมดการบังคับใช้ ให้ทําตามคําแนะนําในส่วน "คําแนะนําการปรับใช้" เพื่อตั้งค่าบิตที่ 28 และ 29 บนแอตทริบิวต์ dSHeuristics จากนั้นตรวจสอบเหตุการณ์ 3044-3046 พวกเขารายงานเมื่อโหมดการบังคับใช้บล็อกการดําเนินการเพิ่มหรือปรับเปลี่ยน LDAP ที่อาจได้รับอนุญาตก่อนหน้านี้ในโหมดตรวจสอบ
-
การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 3 ระยะการปรับใช้ที่สาม ขั้นตอนนี้จะเพิ่มการบรรเทาตัวจัดการการเริ่มต้นระบบเพิ่มเติม ระยะนี้จะเริ่มต้นไม่เร็วกว่าวันที่ 9 เมษายน 2024
-
การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC KB5037754 | การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC ระยะของโหมดที่เข้ากันได้
ระยะการปรับใช้เริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 9 เมษายน 2024 การอัปเดตนี้เพิ่มลักษณะการทํางานใหม่ที่ป้องกันไม่ให้มีการยกระดับช่องโหว่สิทธิ์การใช้งานที่อธิบายใน CVE-2024-26248 และ CVE-2024-29056 แต่ไม่ได้บังคับใช้เว้นแต่ว่าตัวควบคุมโดเมน Windows และไคลเอ็นต์ Windows ในสภาพแวดล้อมได้รับการอัปเดตแล้ว
เมื่อต้องการเปิดใช้งานลักษณะการทํางานใหม่และเพื่อลดช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าสภาพแวดล้อม Windows ทั้งหมด (รวมถึงตัวควบคุมโดเมนและไคลเอ็นต์) ได้รับการอัปเดตแล้ว ระบบจะบันทึกเหตุการณ์การตรวจสอบเพื่อช่วยระบุอุปกรณ์ที่ไม่ได้อัปเดต
-
การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 3 ขั้นตอนการบังคับใช้บังคับ การเพิกถอน (นโยบายการบูตที่สมบูรณ์ของโค้ดและรายการไม่อนุญาตให้บูตแบบปลอดภัย) จะถูกบังคับใช้ทางโปรแกรมหลังจากติดตั้งการอัปเดตสําหรับ Windows ไปยังระบบที่ได้รับผลกระทบทั้งหมดโดยไม่มีตัวเลือกที่จะปิดใช้งาน
-
การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC KB5037754 | การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC การบังคับใช้ตามระยะเริ่มต้น
Updates ที่วางจําหน่ายในหรือหลังเดือนมกราคม 2025 จะย้ายตัวควบคุมโดเมน Windows และไคลเอ็นต์ทั้งหมดในสภาพแวดล้อมไปยังโหมดบังคับใช้ โหมดนี้จะบังคับใช้ลักษณะการทํางานที่ปลอดภัยตามค่าเริ่มต้น การตั้งค่ารีจิสทรีคีย์ที่มีอยู่ที่ตั้งค่าไว้ก่อนหน้านี้จะแทนที่การเปลี่ยนแปลงลักษณะการทํางานเริ่มต้นนี้
การตั้งค่าโหมดบังคับใช้เริ่มต้นสามารถแทนที่ได้โดยผู้ดูแลระบบเพื่อแปลงกลับเป็นโหมดความเข้ากันได้
-
KB5014754 การรับรองความถูกต้องโดยใช้ใบรับรอง ขั้นตอนที่ 3 โหมดการบังคับใช้แบบเต็ม ถ้าไม่สามารถแมปใบรับรองได้อย่างมาก
-
การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC KB5037754 | การเปลี่ยนแปลงการตรวจสอบความถูกต้องของ PAC ระยะ การบังคับใช้ การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในเดือนเมษายน 2025 หรือหลังจากนั้นจะลบการสนับสนุนสําหรับคีย์ย่อยรีจิสทรี PacSignatureValidationLevel และ CrossDomainFilteringLevel และบังคับใช้ลักษณะการทํางานที่ปลอดภัยใหม่ จะไม่มีการสนับสนุนโหมดความเข้ากันได้หลังจากติดตั้งการอัปเดตเดือนเมษายน 2025
-
Kerberos Authentication protections for CVE-2025-26647 KB5057784 | KERBEROS โหมด ตรวจสอบ ระยะการปรับใช้เริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 8 เมษายน 2025 การอัปเดตเหล่านี้เพิ่มลักษณะการทํางานใหม่ที่ตรวจพบการยกระดับสิทธิ์ของช่องโหว่สิทธิ์การใช้งานที่อธิบายใน CVE-2025-26647 แต่ไม่มีการบังคับใช้ เมื่อต้องการเปิดใช้งานลักษณะการทํางานใหม่และปลอดภัยจากช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าตัวควบคุมโดเมน Windows ทั้งหมดได้รับการอัปเดต และการตั้งค่ารีจิสทรีคีย์ AllowNtAuthPolicyBypass ถูกตั้งค่าเป็น 2
-
Kerberos Authentication protections for CVE-2025-26647 KB5057784 | KERBEROS บังคับใช้ตามระยะ เริ่มต้น Updates ที่วางจําหน่ายในหรือหลังเดือนกรกฎาคม 2025 จะบังคับใช้การตรวจสอบ NTAuth Store ตามค่าเริ่มต้น การตั้งค่ารีจิสทรีคีย์ AllowNtAuthPolicyBypass จะยังคงอนุญาตให้ลูกค้ากลับไปยังโหมดตรวจสอบหากจําเป็น อย่างไรก็ตาม ความสามารถในการปิดใช้งานการอัปเดตความปลอดภัยนี้อย่างสมบูรณ์จะถูกลบออก
-
Kerberos Authentication protections for CVE-2025-26647 KB5057784 | KERBEROS โหมดการบังคับใช้ Updates ที่เผยแพร่ในเดือนตุลาคม 2025 หรือหลังจากนั้น จะยกเลิกการสนับสนุนของ Microsoft สําหรับรีจิสทรีคีย์ AllowNtAuthPolicyBypass ในขั้นตอนนี้ ใบรับรองทั้งหมดต้องออกโดยผู้ออกใบรับรองที่เป็นส่วนหนึ่งของร้านค้า NTAuth
-
การป้องกันการบูตแบบปลอดภัย KB5025885 ระยะ การบังคับใช้ ระยะการบังคับใช้จะไม่เริ่มต้นก่อนเดือนมกราคม 2026 และเราจะให้คําเตือนล่วงหน้าอย่างน้อยหกเดือนในบทความนี้ก่อนที่ระยะนี้จะเริ่มต้น เมื่อมีการเผยแพร่การอัปเดตสําหรับขั้นตอนการบังคับใช้ การอัปเดตจะรวมถึงรายการต่อไปนี้:
-
ใบรับรอง "Windows Production PCA 2011" จะถูกเพิกถอนโดยอัตโนมัติโดยการเพิ่มลงใน Secure Boot UEFI Forbidden List (DBX) บนอุปกรณ์ที่สามารถใช้งานได้ การอัปเดตเหล่านี้จะถูกบังคับใช้ทางโปรแกรมหลังจากติดตั้งการอัปเดตสําหรับ Windows ไปยังระบบที่ได้รับผลกระทบทั้งหมดโดยไม่มีตัวเลือกที่จะปิดใช้งาน
-
การเปลี่ยนแปลงที่สําคัญอื่นๆ ใน Windows
ไคลเอ็นต์ Windows แต่ละเวอร์ชันและ Windows Server จะเพิ่มฟีเจอร์และฟังก์ชันการทํางานใหม่ๆ ในบางครั้ง เวอร์ชันใหม่ยังเอาฟีเจอร์และฟังก์ชันการทํางานออกด้วย บ่อยครั้งเนื่องจากมีตัวเลือกที่ใหม่กว่าอยู่ โปรดดูบทความต่อไปนี้เพื่อดูรายละเอียดเกี่ยวกับคุณลักษณะและฟังก์ชันการทํางานที่ไม่ได้พัฒนาใน Windows อีกต่อไป
ไคลเอ็นต์
เซิร์ฟเวอร์
รับข่าวสารล่าสุด
โปรดบุ๊กมาร์กศูนย์ข้อความ Windows เพื่อค้นหาการอัปเดตและตัวเตือนล่าสุดได้อย่างง่ายดาย และถ้าคุณเป็นผู้ดูแลระบบ IT ที่มีสิทธิ์เข้าถึงศูนย์การจัดการ Microsoft 365 ให้ตั้งค่า การกําหนดลักษณะอีเมล บนศูนย์การจัดการ Microsoft 365 เพื่อรับการแจ้งเตือนและการอัปเดตที่สําคัญ
