KB5036534: คําแนะนําในการทําให้ Windows แข็งตัวและวันที่สําคัญล่าสุด

โพรโทคอล Netlogon เปลี่ยนแปลง KB5021130 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 2

ระยะการบังคับใช้เริ่มต้น ลบความสามารถในการปิดใช้งานการปิดผนึก RPC โดยการตั้งค่า 0 เป็นซับคีย์รีจิสทรี RequireSeal

KB5014754 การรับรองความถูกต้องโดยใช้ใบรับรอง ขั้นตอนที่ 2

เอาโหมดปิดใช้งานออก

การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 1

ระยะการปรับใช้เริ่มต้น Windows Updates เผยแพร่เมื่อวันที่ 9 พฤษภาคม 2023 หรือหลังจากนั้น แก้ไขช่องโหว่ที่กล่าวถึงใน CVE-2023-24932 การเปลี่ยนแปลงคอมโพเนนต์การเริ่มต้นระบบของ Windows และไฟล์เพิกถอนสองไฟล์ที่สามารถนําไปใช้ได้ด้วยตนเอง (นโยบายความสมบูรณ์ของโค้ดและรายการไม่อนุญาตให้บูตแบบปลอดภัย (DBX)) ที่อัปเดตแล้ว)

โพรโทคอล Netlogon เปลี่ยนแปลง KB5021130 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 3

การบังคับใช้ตามค่าเริ่มต้น คีย์ย่อย RequireSeal จะถูกย้ายไปยังโหมดการบังคับใช้ เว้นแต่ว่าคุณจะกําหนดค่าอย่างชัดเจนให้อยู่ในโหมดความเข้ากันได้

Kerberos PAC ลายเซ็น KB5020805 | Kerberos ขั้นตอนที่ 3

ระยะการปรับใช้ที่สาม เอาความสามารถในการปิดใช้งานการเพิ่มลายเซ็น PAC โดยการตั้งค่าคีย์ย่อย KrbtgtFullPacSignature เป็นค่า 0

โพรโทคอล Netlogon เปลี่ยนแปลง KB5021130 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 4

การบังคับใช้ขั้นสุดท้าย การอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 จะลบความสามารถในการตั้งค่า 1 เป็นซับคีย์รีจิสทรี RequireSeal ซึ่งจะเป็นการเปิดใช้งานขั้นตอนการบังคับใช้ของ CVE-2022-38023

Kerberos PAC ลายเซ็น KB5020805 | Kerberos ขั้นตอนที่ 4

โหมดการบังคับใช้เริ่มต้น เอาความสามารถในการตั้งค่า 1 สําหรับคีย์ย่อย KrbtgtFullPacSignature ออก และย้ายไปยังโหมดการบังคับใช้เป็นค่าเริ่มต้น (KrbtgtFullPacSignature = 3) ซึ่งคุณสามารถแทนที่ด้วยการตั้งค่าการตรวจสอบที่ชัดเจนได้ 

การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 2

ระยะการปรับใช้ที่สอง Updates สําหรับ Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้นรวมถึงการปรับใช้อัตโนมัติของไฟล์การเพิกถอน เหตุการณ์บันทึกเหตุการณ์ใหม่เพื่อรายงานว่าการปรับใช้การยกเลิกสําเร็จหรือไม่ และแพคเกจการอัปเดตแบบไดนามิก SafeOS สําหรับ WinRE

Kerberos PAC ลายเซ็น KB5020805 | เนสท์เล่ ประเทศไทย ขั้นตอนที่ 5

ระยะการบังคับใช้แบบเต็ม เอาการสนับสนุนสําหรับรีจิสทรีซับคีย์ KrbtgtFullPacSignature เอาการสนับสนุนสําหรับโหมดตรวจสอบ และตั๋วบริการทั้งหมดที่ไม่มีลายเซ็น PAC ใหม่จะถูกปฏิเสธการรับรองความถูกต้อง

สิทธิ์ของ Active Directory (AD) จะอัปเดต KB5008383 | สิทธิ์ของ Active Directory (AD) ขั้นตอนที่ 5

ขั้นตอนการปรับใช้ขั้นสุดท้าย ขั้นตอนการปรับใช้ขั้นสุดท้ายสามารถเริ่มต้นได้เมื่อคุณทําตามขั้นตอนที่แสดงในส่วน "ดําเนินการ" ของ KB5008383 เรียบร้อยแล้ว เมื่อต้องการย้ายไปยังโหมดการบังคับใช้ ให้ทําตามคําแนะนําในส่วน "คําแนะนําการปรับใช้" เพื่อตั้งค่าบิตที่ 28 และ 29 บนแอตทริบิวต์ dSHeuristics จากนั้นตรวจสอบเหตุการณ์ 3044-3046 พวกเขารายงานเมื่อโหมดการบังคับใช้บล็อกการดําเนินการเพิ่มหรือปรับเปลี่ยน LDAP ที่อาจได้รับอนุญาตก่อนหน้านี้ในโหมดตรวจสอบ 

การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 3

ระยะการปรับใช้ที่สาม ขั้นตอนนี้จะเพิ่มการบรรเทาตัวจัดการการเริ่มต้นระบบเพิ่มเติม ระยะนี้จะเริ่มต้นไม่เร็วกว่าวันที่ 9 เมษายน 2024

การป้องกันการบูตแบบปลอดภัย KB5025885 ขั้นตอนที่ 3

ขั้นตอนการบังคับใช้บังคับ การเพิกถอน (นโยบายการบูตที่สมบูรณ์ของโค้ดและรายการไม่อนุญาตให้บูตแบบปลอดภัย) จะถูกบังคับใช้ทางโปรแกรมหลังจากติดตั้งการอัปเดตสําหรับ Windows ไปยังระบบที่ได้รับผลกระทบทั้งหมดโดยไม่มีตัวเลือกที่จะปิดใช้งาน

KB5014754 การรับรองความถูกต้องโดยใช้ใบรับรอง ขั้นตอนที่ 3

โหมดการบังคับใช้แบบเต็ม ถ้าไม่สามารถแมปใบรับรองได้อย่างมาก