Застосовується до
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Вихідна дата публікації: 8 квітня 2025 р.

Ідентифікатор KB: 5057784

Змінити дату

Змінити опис

22 липня 2025 р.

  • Оновлено абзац у розділі "Відомості про розділ реєстру" в розділі "Параметри реєстру та журнали подій".Вихідний текст: Наведений нижче розділ реєстру дає змогу відстежувати вразливі сценарії, а потім застосовувати зміни після вирішення вразливих сертифікатів. Розділ реєстру не буде створено автоматично. Поведінка ОС, коли розділ реєстру не настроєно, залежить від того, на якому етапі розгортання він перебуває.Відредагований текст: Наведений нижче розділ реєстру дає змогу відстежувати вразливі сценарії, а потім застосовувати зміни після вирішення вразливих сертифікатів. Розділ реєстру не додається автоматично. Якщо потрібно змінити поведінку, створіть розділ реєстру вручну та встановіть потрібне значення. Зверніть увагу, що поведінка ОС, коли розділ реєстру не настроєно, залежатиме від того, на якому етапі розгортання він перебуває.

  • Оновлено примітки в розділі "AllowNtAuthPolicyBypass" в розділі "Параметри реєстру та журнали подій".Вихідний текст: Параметр реєстру AllowNtAuthPolicyBypass слід настроїти лише на KDCs Windows, наприклад контролерах домену, на яких інстальовано оновлення Windows, випущені в травні 2025 р. або пізніше.Відредагований текст: Параметр реєстру AllowNtAuthPolicyBypass слід настроїти лише на KDCs Windows, на яких інстальовано оновлення Windows, випущені в квітні 2025 р. або пізніше.

9 травня 2025 р.

  • У розділі "Зведення" термін "привілейований обліковий запис" замінено на "принципал безпеки за допомогою автентифікації на основі сертифіката".

  • Перефразуйте крок "Увімкнути" в розділі "Вжити заходів", щоб уточнити використання сертифікатів входу, виданих органами, які містяться в сховищі NTAuth.Вихідний текст:Увімкнення примусового режиму після того, як ваше середовище більше не використовує сертифікати входу, видані органами, які не в сховищі NTAuth.

  • У розділі "8 квітня 2025: етап початкового розгортання – режим аудиту" внесли масштабні зміни, підкресливши, що перед увімкненням захисту, запропонованого цим оновленням, мають існувати певні умови... це оновлення має застосовуватися до всіх контролерів домену І переконайтеся, що сертифікати входу, видані владою, знаходяться в сховищі NTAuth. Додано кроки для переходу до режиму примусового застосування та додано примітку про виняток для затримки переміщення, якщо у вас є контролери домену, які служби самостійно підписані сертифікат на основі автентифікації, що використовуються в декількох сценаріях.Вихідний текст: Щоб увімкнути нову поведінку та захиститися від вразливості, потрібно переконатися, що всі контролери домену Windows оновлюються, а для параметра реєстру AllowNtAuthPolicyBypass установлено значення 2.

  • Додано додатковий вміст до розділів "Примітки" розділів "Відомості про розділ реєстру" та "Контрольні події".

  • Додано розділ "Відома проблема".

У цій статті

Зведення

Оновлення системи безпеки Windows, випущені 8 квітня 2025 р. або пізніше, містять захист вразливості за допомогою автентифікації Kerberos. Це оновлення забезпечує зміну поведінки, коли центр видачі сертифіката, який використовується для автентифікації на основі сертифіката принципала безпеки (CBA), є довіреним, але не в сховищі NTAuth, а зіставлення ідентифікатора ключа теми (SKI) присутнє в атрибуті altSecID принципала безпеки за допомогою автентифікації на основі сертифіката. Докладні відомості про цю вразливість див. в статті CVE-2025-26647.

Вжити заходів

Щоб захистити середовище та запобігти перебої в роботі, радимо виконати такі дії:

  1. ОНОВЛЕННЯ всіх контролерів домену за допомогою оновлення Windows, випущеного 8 квітня 2025 р. або пізніше.

  2. ВІДСТЕЖУЙТЕ нові події, які відображатимуться на контролерах домену для визначення відповідних центрів сертифікації.

  3. ВМИКАТИ Режим примусового застосування після того, як ваше середовище зараз використовує лише сертифікати входу, видані органами влади, які знаходяться в сховищі NTAuth.

Атрибути altSecID

У таблиці нижче перелічено всі атрибути AltSecID (AltSecIDs) і altSecID, на які впливає ця зміна.

Список атрибутів сертифіката, які можна зіставити з altSecIDs 

AltSecIDs, для ланцюжка яких потрібен відповідний сертифікат, до сховища NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Часова шкала змін

8 квітня 2025 р.: етап початкового розгортання – режим перевірки

Початковий етап розгортання (режим аудиту ) починається з оновлень, випущених 8 квітня 2025 року. Ці оновлення змінюють поведінку, яка виявляє вразливість підвищення прав, описану в CVE-2025-26647 , але спочатку не забезпечують її застосування.

У режимі аудитуідентифікатор події: 45 буде записано на контролері домену, коли він отримує запит автентифікації Kerberos із небезпечним сертифікатом. Запит на автентифікацію буде дозволено, а помилки клієнта не очікуються.

Щоб увімкнути зміну поведінки та захиститися від вразливості, переконайтеся, що всі контролери домену Windows оновлюються з випуском Windows Update 8 квітня 2025 р. або пізніше, а для параметра реєстру AllowNtAuthPolicyBypass установлено значення 2 , щоб настроїти режим примусового застосування .

У режимі примусового застосування , якщо контролер домену отримує запит автентифікації Kerberos із небезпечним сертифікатом, він буде записувати застарілий ідентифікатор події: 21 і відхиляти запит.

Щоб увімкнути захист, який пропонує це оновлення, виконайте такі дії:

  1. Застосуйте оновлення Windows, випущене 8 квітня 2025 р. або пізніше, до всіх контролерів домену у вашому середовищі. Після застосування оновлення параметр AllowNtAuthPolicyBypass за замовчуванням установлює значення 1 (аудит ), що дає змогу перевірити NTAuth і попереджувальні події журналу аудиту.ВАЖЛИВИЙ Якщо ви не готові продовжити застосовувати захист, запропонований цим оновленням, установіть для розділу реєстру значення 0 , щоб тимчасово вимкнути цю зміну. Докладні відомості див. в розділі Відомості про розділ реєстру .

  2. Відстежуйте нові події, які відображатимуться на контролерах домену, щоб визначити відповідні центри сертифікації, які не входять до сховища NTAuth. Ідентифікатор події, який потрібно відстежувати, – це ідентифікатор події: 45. Докладні відомості про ці події див. в розділі Контрольні події .

  3. Переконайтеся, що всі сертифікати клієнта дійсні та прикуті до надійного центру сертифікації видачі в сховищі NTAuth.

  4. Після того, як усунуто всі ідентифікатори подій: 45 подій, ви можете перейти в режим примусового виконання . Для цього встановіть для значення реєстру AllowNtAuthPolicyBypassзначення 2. Докладні відомості див. в розділі Відомості про розділ реєстру .Примітка Ми рекомендуємо тимчасово відкласти налаштування AllowNtAuthPolicyBypass = 2, доки після застосування оновлення Windows, випущеного після травня 2025 року, до контролерів домену, які служби самостійно підписані автентифікації на основі сертифікатів використовуються в декількох сценаріях. Це стосується контролерів домену, які Windows Hello для бізнесу ключа довіри та автентифікації загальнодоступного ключа пристрою, підключеного до домену.

Липень 2025 р.: застосовано за замовчуванням

Оновлення, випущені в липні 2025 р. або пізніше, буде виконано перевірку сховища NTAuth за замовчуванням. Параметр розділу реєстру AllowNtAuthPolicyBypass і надалі дозволить клієнтам за потреби повернутися в режим аудиту . Однак можливість повністю вимкнути це оновлення системи безпеки буде видалено.

Жовтень 2025: режим примусового застосування

Оновлення, випущені в жовтні 2025 р. або пізніше, припинять підтримку корпорації Майкрософт для розділу реєстру AllowNtAuthPolicyBypass. На цьому етапі всі сертифікати мають бути видані органами влади, які входять до сховища NTAuth. 

Параметри реєстру та журнали подій

Відомості про розділ реєстру

Наведений нижче розділ реєстру дає змогу відстежувати вразливі сценарії, а потім застосовувати зміни після вирішення вразливих сертифікатів. Розділ реєстру не додається автоматично. Якщо потрібно змінити поведінку, створіть розділ реєстру вручну та встановіть потрібне значення. Зверніть увагу, що поведінка ОС, коли розділ реєстру не настроєно, залежатиме від того, на якому етапі розгортання він перебуває.

AllowNtAuthPolicyBypass

Підрозділ реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значення

AllowNtAuthPolicyBypass

Тип даних

REG_DWORD

Дані про значення

0

Повністю вимикає зміну.

1

Виконує перевірку NTAuth і реєструє попередження про сертифікат, виданий центром сертифікації, який не входить до сховища NTAuth (режим перевірки). (Поведінка за промовчанням, починаючи з випуску від 8 квітня 2025 р.)

2

Виконайте перевірку NTAuth і, якщо не вдається ввійти в систему. Записуйте звичайні події (наявні) для помилки AS-REQ із кодом помилки, який вказує на помилку перевірки NTAuth (примусовий режим).

Коментарі

Параметр реєстру AllowNtAuthPolicyBypass слід настроїти лише на KDCs Windows, на яких інстальовано оновлення Windows, випущені в квітні 2025 р. або пізніше.

Події аудиту

Ідентифікатор події: 45 | Контрольна подія перевірки перевірки сховища автентифікації NT

Адміністратори мають переглянути наведену нижче подію, додану інсталяцією оновлень Windows, випущених 8 квітня 2025 р. або пізніше. Якщо він існує, це означає, що сертифікат видано центром сертифікації, який не входить до сховища NTAuth.

Журнал подій

Система журналів

Тип події

Попередження

Джерело події

Kerberos-Key-Distribution-Center

Ідентифікатор події

45

Текст події

Центр розподілу ключів (KDC) виявив сертифікат клієнта, який був припустимим, але не прикутим до кореня в сховищі NTAuth. Підтримку сертифікатів, які не прикуто до сховища NTAuth, вилучено.

Підтримка сертифікатів, що прикуті до магазинів, відмінних від NTAuth, вилучена та незахищена.Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2300705 .

 Користувач: <userName>  Тема сертифіката: тема<сертифіката>  Постачальник сертифіката: постачальник<Cert>  Серійний номер сертифіката: серійний номер<Cert>  Відбиток сертифіката: < CertThumbprint>

Коментарі

  • Майбутні оновлення Windows оптимізують кількість подій 45, зареєстрованих на контролерах домену, захищених CVE-2025-26647.

  • Адміністратори можуть ігнорувати журналювання Kerberos-ключ-розподіл-центр події 45 за таких обставин:

    • користувач Windows Hello для бізнесу (WHfB) ввійти в обліковий запис, у якому тема сертифікатів і постачальник сертифікатів відповідають формату: <SID>/<UID>/login.windows.net/<ідентифікатор клієнта>/<користувач UPN>

    • Machine Public Key Cryptography for Initial Authentication (PKINIT) logons where the user is a computer account (terminated by trailing $ character)), subject and issuer are the same computer, and the serial number is 01.

Ідентифікатор події: 21 | Подія помилки AS-REQ

Після звернення до Події Kerberos-Key-Distribution-Center 45 журналювання цієї універсальної події застарілої версії вказує на те, що сертифікат клієнта досі не надійний. Ця подія може записуватися з кількох причин, одна з яких полягає в тому, що дійсний сертифікат клієнта не прикутий до центру сертифікації видачі в сховищі NTAuth.

Журнал подій

Система журналів

Тип події

Попередження

Джерело події

Kerberos-Key-Distribution-Center

Ідентифікатор події

21

Текст події

Сертифікат клієнта для користувача <Domain\UserName> неприпустимий і призвів до невдалого входу до системи смарт-карток.

Зверніться до користувача, щоб отримати додаткові відомості про сертифікат, який він намагається використовувати для входу до системи смарт-карт.

Стан ланцюжка: ланцюжок сертифікацій оброблено правильно, але постачальник політики не довіряє одному із сертифікатів центру сертифікації.

Коментарі

  • Ідентифікатор події: 21, який посилається на обліковий запис "користувач" або "комп'ютер", описує принципал безпеки, який ініціює автентифікацію Kerberos.

  • входи Windows Hello для бізнесу (WHfB) посилатимуться на обліковий запис користувача.

  • Шифрування загальнодоступного ключа комп'ютера для початкової автентифікації (PKINIT) посилається на обліковий запис комп'ютера.

Відома проблема

Клієнти повідомили про проблеми з ідентифікатором події: 45 та ідентифікатором події: 21 ініційованою автентифікацією на основі сертифіката з використанням самостійно підписаних сертифікатів. Докладні відомості див. в статті Відома проблема, описана в статті Справність випуску Windows:

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей