Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Özgün yayımlama tarihi: Nisan 2023

KB Kimliği: 5036534

Tarihi değiştir

Açıklama

8 Nisan 2025

  • CVE-2025-26647 için Kerberos kimlik doğrulaması ile güvenlik açığına yönelik korumalar hakkında bilgi eklendi.

19 Şubat 2025, İstanbul

  • Giriş bölümü sözcüğü düzeltildi.

  • Bilgiler güncel değilken "Değişiklikleri bir bakışta sağlamlaştırma" bölümü kaldırıldı.

  • Artık Windows'ta geliştirilmeyen özelliklere ve işlevlere başvurular için "Windows'taki diğer önemli değişiklikler" bölümü eklendi.

30 Ocak 2025, Saat 2025

  • "Aylara göre değişiklikleri sağlamlaştırma" bölümünün altına Ocak 2026 veya üzeri girdisi eklendi.

17 Ocak 2025, Saat 2025

  • "Aya göre değişiklikleri sağlamlaştırma" bölümüne Nisan 2024, Ocak 2025 ve Nisan 2025 girişleri eklendi.

10 Mart 2024, Saat 20:00

  • Daha sağlamlaştırılmış ilgili içerik ekleyerek Aylık zaman çizelgesi gözden geçirildi ve ilgili sağlamlaştırma olmadığından Şubat 2024 girdisini zaman çizelgesinden kaldırdık.

Giriş

Sağlamlaştırma, siz işinize odaklanırken varlıklarınızın korunmasına yardımcı olmak için devam eden güvenlik stratejimizin önemli bir öğesidir. Giderek daha yaratıcı olan siber tehditler, yongadan buluta kadar mümkün olan her yerde zayıflıkları hedefler.

Bu makalede, Windows güvenlik güncelleştirmeleri aracılığıyla uygulanan sağlamlaştırma değişikliklerinin uygulandığı güvenlik açığı olan alanlar gözden geçirilir. Ayrıca, BT yöneticilerini yaklaştıkça önemli tarihleri sağlamlaştırma konusunda uyarmak için Windows ileti merkezine anımsatıcılar da gönderiyoruz.  

Not: Bu makale, değişiklikleri ve zaman çizelgelerini sağlamlaştırma hakkında en son bilgileri sağlamak için zaman içinde güncelleştirilecektir. En son değişiklikleri izlemek için lütfen Günlüğü değiştir bölümüne bakın.

Değişiklikleri aya göre sağlamlaştırma

Her aşamayı ve son zorlamayı planlamanıza yardımcı olmak için aya göre son ve yaklaşan sağlamlaştırma değişikliklerinin ayrıntılarına bakın.

  • Netlogon protokol değişiklikleri KB5021130 | 2 . Aşama İlk Zorlama aşaması. RequireSeal kayıt defteri alt anahtarına 0 değerini ayarlayarak RPC sızdırmazlığı devre dışı bırakma özelliğini kaldırır.

  • Sertifika tabanlı kimlik doğrulaması KB5014754 | 2 . Aşama Devre Dışı modunu kaldırır.

  • Güvenli Önyükleme atlama korumaları KB5025885 | 1 . Aşama İlk Dağıtım aşaması. 9 Mayıs 2023 veya sonrasında yayımlanan Windows Güncelleştirmeler CVE-2023-24932'de açıklanan güvenlik açıklarını, Windows önyükleme bileşenlerinde yapılan değişiklikleri ve el ile uygulanabilen iki iptal dosyasını (Kod Bütünlüğü ilkesi ve güncelleştirilmiş güvenli önyükleme izin verme listesi (DBX)) giderir.

  • Netlogon protokol değişiklikleri KB5021130 | 3 . Aşama Varsayılan olarak zorlama. RequireSeal alt anahtarı, Uyumluluk modu altında olacak şekilde açıkça yapılandırmadığınız sürece Zorlama moduna taşınır.

  • Kerberos PAC İmzaları KB5020805 | 3 . Aşama Üçüncü Dağıtım aşaması. KrbtgtFullPacSignature alt anahtarını 0 değerine ayarlayarak PAC imzası eklemeyi devre dışı bırakma özelliğini kaldırır.

  • Netlogon protokol değişiklikleri KB5021130 | 4 . Aşama Son zorlama. 11 Temmuz 2023'te yayımlanan Windows güncelleştirmeleri, RequireSeal kayıt defteri alt anahtarına 1 değerini ayarlama özelliğini kaldırır. Bu, CVE-2022-38023'ün Zorlama aşamasını etkinleştirir.

  • Kerberos PAC İmzaları KB5020805 | 4 . Aşama İlk Zorlama modu. KrbtgtFullPacSignature alt anahtarı için 1 değerini ayarlama özelliğini kaldırır ve zorlama moduna varsayılan olarak geçer (KrbtgtFullPacSignature = 3), bunu açık bir Denetim ayarıyla geçersiz kılabilirsiniz. 

  • Güvenli Önyükleme atlama korumaları KB5025885 | 2 . Aşama İkinci Dağıtım aşaması. 11 Temmuz 2023 veya sonrasında yayımlanan Windows için Güncelleştirmeler, iptal dosyalarının otomatik dağıtımı, iptal dağıtımının başarılı olup olmadığını bildiren yeni Olay Günlüğü olayları ve WinRE için SafeOS Dinamik Güncelleştirme paketi içerir.

  • Kerberos PAC İmzaları KB5020805 | 5. Aşama

    Tam Zorlama aşaması. KrbtgtFullPacSignature kayıt defteri alt anahtarı desteğini kaldırır, Denetim modu desteğini kaldırır ve yeni PAC imzaları olmayan tüm hizmet biletleri kimlik doğrulaması reddedilir.

  • Active Directory (AD) izin güncelleştirmeleri KB5008383 | 5 . Aşama Son dağıtım aşaması. Son dağıtım aşaması, KB5008383 "Eyleme Geç" bölümünde listelenen adımları tamamladıktan sonra başlayabilir. Zorlama moduna geçmek için" Dağıtım Kılavuzu" bölümündeki yönergeleri izleyerek dSHeuristics özniteliğinde 28. ve 29. bitleri ayarlayın. Ardından 3044-3046 olaylarını izleyin. Zorlama modu daha önce Denetim modunda izin verilmiş olabilecek bir LDAP Ekleme veya Değiştirme işlemini engellediğinde bildirir. 

  • Güvenli Önyükleme atlama korumaları KB5025885 | 3 . Aşama Üçüncü Dağıtım aşaması. Bu aşama, ek önyükleme yöneticisi risk azaltmaları ekler. Bu aşama 9 Nisan 2024'ten önce başlamayacaktır.

  • PAC Doğrulama değişiklikleri KB5037754 | Uyumluluk modu aşaması

    İlk dağıtım aşaması, 9 Nisan 2024'te yayımlanan güncelleştirmelerle başlar. Bu güncelleştirme, CVE-2024-26248 ve CVE-2024-29056'da açıklanan ayrıcalıkların yükseltilmesini engelleyen yeni davranışlar ekler, ancak ortamdaki hem Windows etki alanı denetleyicileri hem de Windows istemcileri güncelleştirilmediği sürece bunu zorlamaz.

    Yeni davranışı etkinleştirmek ve güvenlik açıklarını azaltmak için tüm Windows ortamınızın (hem etki alanı denetleyicileri hem de istemciler dahil) güncelleştirildiğinden emin olmanız gerekir. Güncelleştirilmeyen cihazların tanımlanmasına yardımcı olması için Denetim Olayları günlüğe kaydedilir.

  • Güvenli Önyükleme atlama korumaları KB5025885 | 3 . Aşama Zorunlu Zorlama aşaması. İptaller (Kod Bütünlüğü Önyükleme ilkesi ve Güvenli Önyükleme izin verme listesi), Windows güncelleştirmeleri devre dışı bırakılmadan etkilenen tüm sistemlere yüklendikten sonra program aracılığıyla zorunlu kılınacaktır.

  • PAC Doğrulama değişiklikleri KB5037754 | Varsayılan aşamaya göre zorlama

    Ocak 2025'te veya sonrasında yayımlanan Güncelleştirmeler, ortamdaki tüm Windows etki alanı denetleyicilerini ve istemcilerini Zorlanan moda taşır. Bu mod varsayılan olarak güvenli davranışı zorunlu kılacak. Önceden ayarlanmış olan mevcut kayıt defteri anahtarı ayarları, bu varsayılan davranış değişikliğini geçersiz kılar.

    Varsayılan Zorunlu mod ayarları, Uyumluluk moduna geri dönmek için Yönetici tarafından geçersiz kılınabilir.

  • Sertifika tabanlı kimlik doğrulama KB5014754 | 3 . Aşama Tam Zorlama modu. Bir sertifika kesin olarak eşlenemiyorsa, kimlik doğrulaması reddedilir.

  • PAC Doğrulama değişiklikleri KB5037754 | Zorlama aşaması Nisan 2025'te veya sonrasında yayımlanan Windows güvenlik güncelleştirmeleri PacSignatureValidationLevel ve CrossDomainFilteringLevel kayıt defteri alt anahtarları desteğini kaldırır ve yeni güvenli davranışı zorlar. Nisan 2025 güncelleştirmesini yükledikten sonra Uyumluluk modu desteği olmayacaktır.

  • CVE-2025-26647 KB5057784 için Kerberos Kimlik Doğrulaması korumaları | Denetim modu İlk dağıtım aşaması, 8 Nisan 2025'te yayımlanan güncelleştirmelerle başlar. Bu güncelleştirmeler CVE-2025-26647'de açıklanan ayrıcalık yükseltme güvenlik açığını algılayan ancak zorlamayan yeni davranışlar ekler. Yeni davranışı etkinleştirmek ve güvenlik açığından emin olmak için tüm Windows etki alanı denetleyicilerinin güncelleştirildiğinden ve AllowNtAuthPolicyBypass kayıt defteri anahtarı ayarının 2 olarak ayarlandığından emin olmanız gerekir.

  • CVE-2025-26647 KB5057784 için Kerberos Kimlik Doğrulaması korumaları | Varsayılan aşama tarafından zorunlu kılındı Güncelleştirmeler Temmuz 2025'te veya sonrasında yayımlandıysa, NTAuth Store denetimini varsayılan olarak zorunlu kılacaktır. AllowNtAuthPolicyBypass kayıt defteri anahtarı ayarı, müşterilerin gerekirse Denetim moduna geri dönmelerine izin verir. Ancak, bu güvenlik güncelleştirmesini tamamen devre dışı bırakma özelliği kaldırılacaktır.

  • CVE-2025-26647 KB5057784 için Kerberos Kimlik Doğrulaması korumaları | Zorlama modu ​​​​​​​Ekim 2025 veya sonrasında yayımlanan Güncelleştirmeler AllowNtAuthPolicyBypass kayıt defteri anahtarı için Microsoft desteğini sona erdirecektir. Bu aşamada, tüm sertifikaların NTAuth deposunun bir parçası olan yetkililer tarafından verilmesi gerekir.

  • Güvenli Önyükleme atlama korumaları KB5025885 | Zorlama Aşaması Zorlama Aşaması Ocak 2026'dan önce başlamayacak ve bu aşama başlamadan önce bu makalede en az altı ay önceden uyarı vereceğiz. Güncelleştirmeler Zorlama Aşaması için yayımlandığında aşağıdakileri içerir:

    • "Windows Production PCA 2011" sertifikası, uyumlu cihazlarda Güvenli Önyükleme UEFI Yasak Listesi'ne (DBX) eklenerek otomatik olarak iptal edilir. Bu güncelleştirmeler, Windows güncelleştirmelerini devre dışı bırakma seçeneği olmadan etkilenen tüm sistemlere yükledikten sonra program aracılığıyla zorunlu kılınacaktır.

Windows'taki diğer önemli değişiklikler

Windows istemcisinin ve Windows Server her sürümü yeni özellikler ve işlevler ekler. Bazen, yeni sürümler genellikle daha yeni bir seçenek mevcut olduğundan özellikleri ve işlevleri de kaldırır. Windows'ta artık geliştirilmayan özellikler ve işlevler hakkında ayrıntılı bilgi için lütfen aşağıdaki makalelere bakın.

Client

Sunucu

En son haberleri alın

En son güncelleştirmeleri ve anımsatıcıları kolayca bulmak için lütfen Windows ileti merkezine yer işareti ekleyin. Microsoft 365 yönetim merkezi erişimi olan bir BT yöneticisiyseniz, önemli bildirimleri ve güncelleştirmeleri almak için Microsoft 365 yönetim merkezi Email tercihlerini ayarlayın.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi