Вихідна дата публікації: 29 серпня 2025 р.
Ідентифікатор KB: 5066470
Вступ
У цій статті докладно описано останні та майбутні зміни в Windows 11 версії 24H2 та Windows Server 2025, зосереджуючи увагу на аудиті та можливому примусовому виконанні блокування шифрування, отриманого за допомогою NTLMv1. Ці зміни є частиною ширшої ініціативи корпорації Майкрософт щодо поетапного розгортання NTLM.
Основні відомості
Корпорація Майкрософт видалила протокол NTLMv1 (див. статтю Видалені функції та функції) з Windows 11 версії 24H2 та Windows Server 2025 і пізніших версій. Однак, коли протокол NTLMv1 видаляється, залишки шифрування NTLMv1 все ще присутні в деяких сценаріях, наприклад під час використання MS-CHAPv2 в середовищі, підключеному до домену.
Credential Guard забезпечує повний захист як застарілої криптографії NTLMv1, так і багатьох інших поверхонь атаки, і, таким чином, корпорація Майкрософт наполегливо рекомендує його розгортання та ввімкнення в разі виконання вимог Credential Guard. Майбутні зміни вплинуть лише на пристрої, на яких вимкнуто Credential guard; якщо на пристрої ввімкнуто Засіб захисту облікових даних Windows, зміни, описані в цій статті, не наберуть сили.
Мета
У разі вилучення NTLM (див. статтю Застарілі функції) і видалення протоколу NTLMv1 корпорація Майкрософт працює над завершенням вимкнення NTLMv1 шляхом вимкнення за допомогою облікових даних, отриманих за допомогою NTLMv1.
Майбутні зміни
Це оновлення містить дві нові зміни, загальні відомості про новий розділ реєстру та нові журнали подій. Часову шкалу цих змін див. в розділі Розгортання змін .
Новий розділ реєстру
З'явився новий розділ реєстру, який визначає, чи внесено зміни: у режимі перевірки або в режимі примусового виконання.
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value (Значення) |
BlockNtlmv1SSO |
|
Type (Тип) |
REG_DWORD |
|
Data (Дані) |
|
Нові можливості аудиту
-
Використання параметрів аудиту (за замовчуванням)
Журнал подій
Microsoft-Windows-NTLM/Operational
Тип події
Попередження
Джерело події
NTLM (NTLM)
Ідентифікатор події
4024
Текст події
Аудит спроби використання облікових даних, отриманих за протоколом NTLMv1, для єдиного входу Цільовий сервер: <domain_name> Наданий користувач: <user_name> Наданий домен: <domain_name> Pid процесу клієнта: <process_identifier> Ім'я процесу клієнта: <process_name> LuID клієнтського процесу: <locally_unique_identifier> Посвідчення користувача процесу клієнта: <user_name> Ім'я домену ідентичності користувача процесу клієнта: <domain_name> Механізм OID: <object_identifier> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2321802.
-
Застосування настройок
Журнал подій
Microsoft-Windows-NTLM/Operational
Тип події
Помилка
Джерело події
NTLM (NTLM)
Ідентифікатор події
4025
Текст події
Спробу використання облікових даних, отриманих за допомогою функції NTLMv1 для одного Sign-On, заблоковано через політику.Цільовий сервер: <domain_name> Наданий користувач: <user_name> Наданий домен: <domain_name> Pid процесу клієнта: <process_identifier> Ім'я процесу клієнта: <process_name> LuID клієнтського процесу: <locally_unique_identifier> Посвідчення користувача процесу клієнта: <user_name> Ім'я домену ідентичності користувача процесу клієнта: <domain_name> Механізм OID: <object_identifier> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2321802.
Докладні відомості про інші вдосконалення аудиту див. в статті Огляд покращень аудиту NTLM у Windows 11 версії 24H2 та Windows Server 2025.
Розгортання змін
У вересні 2025 р. та пізніших оновленнях зміни буде розгорнуто на Windows 11 версії 24H2 та пізнішої клієнтської ОС у режимі аудиту. У цьому режимі ідентифікатор події: 4024 буде записано щоразу, коли використовуються облікові дані, отримані за допомогою NTLMv1, але автентифікація працюватиме й надалі. Розгортання досягне Windows Server 2025 року пізніше в цьому році.
У жовтні 2026 року корпорація Майкрософт установить стандартне значення розділу реєстру BlockNTLMv1SSOзначення 1 (Примусово) замість 0 (аудит), якщо розділ реєстру BlockNTLMv1SSO не розгорнуто на пристрої.
Часова шкала
|
Дата |
Зміни |
|
Кінець серпня 2025 р. |
Журнали аудиту для використання NTLMv1 увімкнуто в Windows 11 версії 24H2 та новіших клієнтах. |
|
Листопад 2025 р. |
Початок розгортання змін до Windows Server 2025 р. |
|
Жовтень 2026 р. |
Стандартне значення розділу реєстру BlockNtlmv1SSO змінюється з режиму аудиту (0) на Режим примусового застосування (1) через майбутнє оновлення Windows, що посилює обмеження NTLMv1. Ця зміна за замовчуванням набуває сили, лише якщо розділ реєстру BlockNtlmv1SSO не розгорнуто. |
Примітка. Ці дати під сумнівом можуть змінюватися.
Запитання й відповіді (запитання й відповіді)
Корпорація Майкрософт використовує поступовий метод розгортання, щоб розповсюджувати оновлення випуску протягом певного періоду часу, а не одночасно. Це означає, що користувачі отримують оновлення в різний час, і вони можуть бути доступні не відразу для всіх користувачів.
Облікові дані, отримані за допомогою NTLMv1, використовуються певними протоколами вищого рівня для цілей single Sign-On; Наприклад, розгортання Wi-Fi, Ethernet і VPN за допомогою автентифікації MS-CHAPv2. Аналогічно, коли ввімкнуто Credential Guard, єдиний Sign-On потоки для цих протоколів не працюватимуть, але введення облікових даних вручну продовжуватиме працювати навіть у режимі примусового виконання . Докладні відомості та рекомендації див. в статті Зауваження та відомі проблеми під час використання Credential Guard.
Єдина схожість між цим оновленням і Credential Guard – це захист облікових даних користувача з криптографії, отриманої за допомогою NTLMv1. Це оновлення не забезпечує широкий і надійний захист Credential Guard; Корпорація Майкрософт рекомендує ввімкнути Credential Guard на всіх підтримуваних платформах.
