Uygulandığı Öğe
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Özgün yayımlama tarihi: 8 Nisan 2025

KB Kimliği: 5057784

Tarihi değiştir

Açıklamayı değiştir

22 Temmuz 2025, Ağustos 2025, Temmuz 2025, Temmuz 2025, Ağustos

  • "Kayıt Defteri Ayarları ve Olay Günlükleri" bölümündeki "Kayıt Defteri Anahtarı Bilgileri" altındaki paragraf güncelleştirildi.Özgün metin: Aşağıdaki kayıt defteri anahtarı, güvenlik açığı olan senaryoların denetlenmesini ve ardından güvenlik açığı bulunan sertifikalar giderildikten sonra değişikliğin zorunlu tutmasını sağlar. Kayıt defteri anahtarı otomatik olarak oluşturulmaz. Kayıt defteri anahtarı yapılandırılmadığında işletim sisteminin davranışı, dağıtımın hangi aşamasında olduğuna bağlıdır.Düzeltilen metin: Aşağıdaki kayıt defteri anahtarı, güvenlik açığı olan senaryoların denetlenmesini ve ardından güvenlik açığı bulunan sertifikalar giderildikten sonra değişikliğin zorunlu tutmasını sağlar. Kayıt defteri anahtarı otomatik olarak eklenmez. Davranışı değiştirmeniz gerekiyorsa, kayıt defteri anahtarını el ile oluşturmanız ve ihtiyacınız olan değeri ayarlamanız gerekir. Kayıt defteri anahtarı yapılandırılmadığında işletim sisteminin davranışının dağıtımın hangi aşamasında olduğuna bağlı olacağını unutmayın.

  • "Kayıt Defteri Ayarları ve Olay Günlükleri" bölümündeki "AllowNtAuthPolicyBypass" altındaki Açıklamalar güncelleştirildi.Özgün metin:AllowNtAuthPolicyBypass kayıt defteri ayarı yalnızca Mayıs 2025'te veya sonrasında yayımlanan Windows güncelleştirmelerini yüklemiş olan etki alanı denetleyicileri gibi Windows KDC'lerinde yapılandırılmalıdır.Düzeltilen metin:AllowNtAuthPolicyBypass kayıt defteri ayarı yalnızca Nisan 2025 veya sonrasında yayımlanan Windows güncelleştirmelerini yükleyen Windows KDC'lerinde yapılandırılmalıdır.

9 Mayıs 2025, Mayıs 2025

  • "Ayrıcalıklı hesap" teriminin yerine "Özet" bölümündeki "sertifika tabanlı kimlik doğrulaması kullanan güvenlik sorumlusu" ifadesi kullanıldı.

  • NTAuth deposundaki yetkililer tarafından verilen oturum açma sertifikalarını kullanmayı netleştirmek için "Eylem Gerçekleştir" bölümündeki "Etkinleştir" adımını yeniden ifade etti.Özgün metin:ORTAMınız NTAuth deposunda olmayan yetkililer tarafından verilen oturum açma sertifikalarını artık kullanmadığından, ENABLE Zorlama modu.

  • "8 Nisan 2025: İlk Dağıtım aşaması – Denetim modu" bölümünde, bu güncelleştirme tarafından sunulan korumaları etkinleştirmeden önce belirli koşulların mevcut olması gerektiğini vurgulayarak kapsamlı değişiklikler yapıldı... bu güncelleştirme tüm etki alanı denetleyicilerine uygulanmalıdır VE yetkililer tarafından verilen oturum açma sertifikalarının NTAuth deposunda olduğundan emin olun. Zorlama moduna geçmek için adımlar eklendi ve birden çok senaryoda kullanılan otomatik olarak imzalanan sertifika tabanlı kimlik doğrulamasının kullanıldığı etki alanı denetleyicileriniz olduğunda taşınmayı geciktirmek için bir özel durum notu eklendi.Özgün metin: Yeni davranışı etkinleştirmek ve güvenlik açığından emin olmak için tüm Windows etki alanı denetleyicilerinin güncelleştirildiğinden ve AllowNtAuthPolicyBypass kayıt defteri anahtarı ayarının 2 olarak ayarlandığından emin olmanız gerekir.

  • "Kayıt Defteri Anahtarı Bilgileri" ve "Denetim Olayları" bölümlerinin "Açıklamalarına" ek içerik eklendi.

  • "Bilinen sorun" bölümü eklendi.

Bu makalede

Özet

8 Nisan 2025 veya sonrasında yayımlanan Windows güvenlik güncelleştirmeleri, Kerberos kimlik doğrulaması ile güvenlik açığına yönelik korumalar içerir. Bu güncelleştirme, bir güvenlik sorumlusunun sertifika tabanlı kimlik doğrulaması (CBA) için kullanılan sertifika veren yetkilisine güvenildiğinde ancak NTAuth deposunda güvenilmediğinde ve sertifika tabanlı kimlik doğrulaması kullanılarak güvenlik sorumlusunun altSecID özniteliğinde Konu Anahtarı Tanımlayıcısı (SKI) eşlemesi bulunduğunda davranışta bir değişiklik sağlar. Bu güvenlik açığı hakkında daha fazla bilgi edinmek için bkz. CVE-2025-26647.

Eyleme Geç

Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için aşağıdaki adımları öneririz:

  1. 8 Nisan 2025 tarihinde veya sonrasında yayımlanan bir Windows güncelleştirmesi ile tüm etki alanı denetleyicilerini GÜNCELLE.

  2. Etki alanı denetleyicilerinde görünür olacak yeni olayları izleyerek etkilenen sertifika yetkililerini belirleyin.

  3. ETKİNLEŞTİRMEK Ortamınız artık yalnızca NTAuth deposundaki yetkililer tarafından verilen oturum açma sertifikalarını kullandıktan sonra zorlama modu.

altSecID öznitelikleri

Aşağıdaki tabloda, bu değişiklik tarafından etkilenen tüm Alternatif Güvenlik Tanımlayıcıları (altSecID) öznitelikleri ve altSecID'ler listelenmiştir.

AltSecID'lerle eşlenebilen Sertifika özniteliklerinin listesi 

NTAuth deposuna zincirleme olarak eşleşen bir sertifika gerektiren AltSecID'ler

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Değişikliklerin zaman çizelgesi

8 Nisan 2025: İlk Dağıtım aşaması – Denetim modu

İlk dağıtım aşaması (Denetim modu), 8 Nisan 2025'te yayımlanan güncelleştirmelerle başlar. Bu güncelleştirmeler CVE-2025-26647'de açıklanan ayrıcalık yükseltme güvenlik açığını algılayan ancak başlangıçta zorlamayan davranışı değiştirir.

Denetim modundayken, etki alanı denetleyicisi güvenli olmayan bir sertifikayla Kerberos kimlik doğrulama isteği aldığında Olay Kimliği: 45 günlüğe kaydedilir. Kimlik doğrulama isteğine izin verilir ve istemci hatası beklenmez.

Davranış değişikliğini etkinleştirmek ve güvenlik açığına karşı güvenli olmak için, tüm Windows etki alanı denetleyicilerinin 8 Nisan 2025 veya sonrasında bir Windows update sürümüyle güncelleştirildiğinden ve AllowNtAuthPolicyBypass kayıt defteri anahtarı ayarının Zorlama modu için yapılandırılacak şekilde 2 olarak ayarlandığından emin olmanız gerekir.

Zorlama modundayken, etki alanı denetleyicisi güvenli olmayan bir sertifikayla Kerberos kimlik doğrulama isteği alırsa, eski Olay Kimliği: 21'i günlüğe kaydeder ve isteği reddeder.

Bu güncelleştirme tarafından sunulan korumaları açmak için şu adımları izleyin:

  1. 8 Nisan 2025 tarihinde veya sonrasında yayımlanan Windows güncelleştirmesini ortamınızdaki tüm etki alanı denetleyicilerine uygulayın. Güncelleştirmeyi uyguladıktan sonra AllowNtAuthPolicyBypass ayarı, NTAuth denetimini ve Denetim günlüğü uyarı olaylarını etkinleştiren varsayılan olarak 1 'e (Denetim) ayarlanır.ÖNEMLİ Bu güncelleştirme tarafından sunulan korumaları uygulamaya devam etmeye hazır değilseniz, bu değişikliği geçici olarak devre dışı bırakmak için kayıt defteri anahtarını 0 olarak ayarlayın. Daha fazla bilgi için Kayıt Defteri Anahtarı Bilgileri bölümüne bakın.

  2. NTAuth deposunun parçası olmayan etkilenen sertifika yetkililerini tanımlamak için etki alanı denetleyicilerinde görünür olacak yeni olayları izleyin. İzlemeniz gereken Olay Kimliği Olay Kimliği: 45'tir. Bu olaylar hakkında daha fazla bilgi için Denetim Olayları bölümüne bakın.

  3. Tüm istemci sertifikalarının geçerli olduğundan ve NTAuth deposundaki güvenilir bir Veren CA'ya zincirlendiğinden emin olun.

  4. Tüm Olay Kimliği: 45 olay çözüldükten sonra Zorlama moduna geçebilirsiniz. Bunu yapmak için AllowNtAuthPolicyBypass kayıt defteri değerini 2 olarak ayarlayın. Daha fazla bilgi için Kayıt Defteri Anahtarı Bilgileri bölümüne bakın.NotAllowNtAuthPolicyBypass = 2 ayarını, Birden çok senaryoda kullanılan otomatik olarak imzalanan sertifika tabanlı kimlik doğrulaması hizmetinin etki alanı denetleyicilerine Mayıs 2025'den sonra yayımlanan Windows güncelleştirmesini uyguladıktan sonraya kadar geçici olarak geciktirmenizi öneririz. Bu, Anahtar Güveni ve Etki Alanına Katılmış Cihaz Ortak Anahtar Kimlik Doğrulaması İş İçin Windows Hello hizmet veren etki alanı denetleyicilerini içerir.

Temmuz 2025: Varsayılan aşama tarafından zorunlu kılındı

Temmuz 2025'te veya sonrasında yayımlanan Güncelleştirmeler varsayılan olarak NTAuth Store denetimini zorunlu kılacaktır. AllowNtAuthPolicyBypass kayıt defteri anahtarı ayarı, müşterilerin gerekirse Denetim moduna geri dönmelerine izin verir. Ancak, bu güvenlik güncelleştirmesini tamamen devre dışı bırakma özelliği kaldırılacaktır.

Ekim 2025: Zorlama modu

Ekim 2025 veya sonrasında yayımlanan Güncelleştirmeler AllowNtAuthPolicyBypass kayıt defteri anahtarı için Microsoft desteğini sona erdirecektir. Bu aşamada, tüm sertifikaların NTAuth deposunun bir parçası olan yetkililer tarafından verilmesi gerekir. 

Kayıt Defteri Ayarları ve Olay Günlükleri

Kayıt Defteri Anahtarı Bilgileri

Aşağıdaki kayıt defteri anahtarı, güvenlik açığı olan senaryoların denetlenmesini ve ardından güvenlik açığı bulunan sertifikalar giderildikten sonra değişikliğin zorunlu tutmasını sağlar. Kayıt defteri anahtarı otomatik olarak eklenmez. Davranışı değiştirmeniz gerekiyorsa, kayıt defteri anahtarını el ile oluşturmanız ve ihtiyacınız olan değeri ayarlamanız gerekir. Kayıt defteri anahtarı yapılandırılmadığında işletim sisteminin davranışının dağıtımın hangi aşamasında olduğuna bağlı olacağını unutmayın.

AllowNtAuthPolicyBypass

Kayıt Defteri Alt Anahtarı

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Değer

AllowNtAuthPolicyBypass

Veri tipi

REG_DWORD

Değer verileri

0

Değişikliği tamamen devre dışı bırakır.

1

NTAuth deposunun (Denetim modu) parçası olmayan bir yetkili tarafından verilen sertifikayı belirten NTAuth denetimi ve günlük uyarısı olayını gerçekleştirir. (8 Nisan 2025 sürümünden itibaren varsayılan davranış.)

2

NTAuth denetimini gerçekleştirin ve başarısız olursa oturum açmaya izin vermez. NTAuth denetiminin başarısız olduğunu (Zorunlu mod) belirten bir hata koduyla AS-REQ hatası için normal olayları (mevcut) günlüğe kaydetme.

Yorum

AllowNtAuthPolicyBypass kayıt defteri ayarı yalnızca Nisan 2025 veya sonrasında yayımlanan Windows güncelleştirmelerini yükleyen Windows KDC'lerinde yapılandırılmalıdır.

Denetim Olayları

Olay Kimliği: 45 | NT Kimlik Doğrulama Deposu Denetim Olayını Denetleme

Yöneticiler, 8 Nisan 2025 tarihinde veya sonrasında yayımlanan Windows güncelleştirmelerinin yüklenmesiyle eklenen aşağıdaki olay için watch. Varsa, sertifikanın NTAuth deposunun parçası olmayan bir yetkili tarafından verildiği anlamına gelir.

Olay Günlüğü

Günlük Sistemi

Olay Türü

Uyarı

Olay Kaynağı

Kerberos-Key-Distribution-Center

Olay Kimliği

45

Olay Metni

Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak NTAuth deposundaki bir köke zincirlenmemiş bir istemci sertifikasıyla karşılaştı. NTAuth deposuna zincirleme olmayan sertifika desteği kullanım dışıdır.

NTAuth olmayan depolara zincirleme sertifika desteği kullanım dışı ve güvenli değildir.Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2300705 .

 Kullanıcı: UserName><  Sertifika Konusu: Sertifika Konusu><  Sertifika Veren: Sertifika Veren><  Sertifika Seri Numarası: Sertifika Seri Numarası><  Sertifika Parmak İzi: < CertThumbprint>

Yorum

  • Gelecekteki Windows güncelleştirmeleri CVE-2025-26647 korumalı etki alanı denetleyicilerinde günlüğe kaydedilen Olay 45'lerin sayısını iyileştirir.

  • Yöneticiler aşağıdaki durumlarda Kerberos-Key-Distribution-Center olayı 45'in günlüğe kaydedilmesini yoksayabilir:

    • İş İçin Windows Hello (WHfB) kullanıcı oturum açma işlemleri; sertifika sahibinin ve verenin biçimiyle eşleşmesi: <SID>/<UID>/login.windows.net/<Kiracı Kimliği>/<kullanıcı UPN>

    • Kullanıcının bir bilgisayar hesabı olduğu (sondaki $ karakteriyle sonlandırıldığı) İlk Kimlik Doğrulaması (PKINIT) oturum açma işlemleri için Makine Ortak Anahtar Şifrelemesi), konu ve veren aynı bilgisayardır ve seri numarası 01'dir.

Olay Kimliği: 21 | AS-REQ Hatası Olayı

Kerberos-Key-Distribution-Center Olay 45'i ele aldıktan sonra, bu genel, eski olayın günlüğe kaydedilmesi istemci sertifikasının hala güvenilir olmadığını gösterir. Bu olay birden çok nedenle günlüğe kaydedilebilir; bunlardan biri, geçerli bir istemci sertifikasının NTAuth deposundaki Veren CA'ya zincirlenmeMESIdir.

Olay Günlüğü

Günlük Sistemi

Olay Türü

Uyarı

Olay Kaynağı

Kerberos-Key-Distribution-Center

Olay Kimliği

21

Olay Metni

Domain\UserName>< kullanıcının istemci sertifikası geçerli değil ve başarısız bir akıllı kart oturumuyla sonuçlandı.

Akıllı kart oturumu açmak için kullanmaya çalıştığı sertifika hakkında daha fazla bilgi için lütfen kullanıcıyla iletişime geçin.

Zincir durumu: Doğru işlenen bir sertifika zinciri, ancak CA sertifikalarından birine ilke sağlayıcısı tarafından güvenilmiyor.

Yorum

  • Bir Olay Kimliği: "kullanıcı" veya "bilgisayar" hesabına başvuran 21, Kerberos kimlik doğrulamasını başlatan güvenlik sorumlusunu açıklar.

  • İş İçin Windows Hello (WHfB) oturum açma işlemleri bir kullanıcı hesabına başvurur.

  • İlk Kimlik Doğrulaması için Makine Ortak Anahtar Şifrelemesi (PKINIT), bir bilgisayar hesabına başvurur.

Bilinen sorun

Müşteriler, otomatik olarak imzalanan sertifikalar kullanılarak sertifika tabanlı kimlik doğrulaması tarafından tetiklenen Olay Kimliği: 45 ve Olay Kimliği: 21 ile ilgili sorunlar bildirdi. Daha fazla bilgi edinmek için lütfen Windows sürüm durumu hakkında belgelenen bilinen soruna bakın:

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi