Вихідна дата публікації: Квітень 2023 р.
Ідентифікатор KB: 5036534
|
Змінити дату |
Опис |
|---|---|
|
8 квітня 2025 р. |
|
|
19 лютого 2025 р. |
|
|
30 січня 2025 р. |
|
|
17 січня 2025 р. |
|
|
10 березня 2024 р. |
|
Вступ
Загартування є ключовим елементом нашої поточної стратегії безпеки, щоб допомогти зберегти ваше майно захищеним, поки ви зосереджуєтеся на вашій роботі. Все більш творчі кіберзагрози націлені на слабкі місця в будь-якому місці, від чіпа до хмари.
У цій статті описано вразливі області, які зазнають загартування змін, упроваджених за допомогою оновлень системи безпеки Windows. Ми також публікуємо нагадування в Центрі повідомлень Windows , щоб попередити ІТ-адміністраторів про загартування дат ключів під час наближення.
Примітка.: Цю статтю буде оновлено з часом, щоб надати останню інформацію про загартування змін і часових шкал. Щоб відстежувати останні зміни, див. розділ Журнал змін.
Загартування змін за місяцями
Ознайомтеся з відомостями про останні та майбутні зміни щодо загартування за місяцями, щоб допомогти вам спланувати кожен етап і остаточне застосування.
-
Зміни протоколу Netlogon KB5021130 | Етап 2 Початковий етап примусового застосування. Видаляє можливість вимкнути запечатування віддаленого виклику процедур, установивши значення 0 в підрозділі реєстру RequireSeal .
-
KB5014754 автентифікації на основі сертифіката | Етап 2 Видалення неактивного режиму.
-
Захист захищеного обходу завантаження KB5025885 | Етап 1 Етап початкового розгортання. Вразливості windows Оновлення, випущені 9 травня 2023 р. або пізніше, розглядаються в CVE-2023-24932, зміни в компонентах завантаження Windows і два файли відкликання, які можна застосувати вручну (політика цілісності коду та оновлений список безпечного завантаження (DBX)).
-
Зміни протоколу Netlogon KB5021130 | Етап 3 Примусове застосування за замовчуванням. Підрозділ RequireSeal буде переміщено в режим примусового застосування, якщо ви не налаштуєте його на режим сумісності.
-
Підписи PAC Kerberos KB5020805 | Етап 3 Третій етап розгортання. Дає змогу вимкнути додавання підпису PAC, установивши для підрозділу KrbtgtFullPacSignature значення 0.
-
Зміни протоколу Netlogon KB5021130 | Етап 4 Остаточне застосування. Оновлення Windows, випущені 11 липня 2023 року, усунуть можливість установити значення 1 для підрозділу реєстру RequireSeal. Це дає змогу примусово використовувати CVE-2022-38023.
-
Підписи PAC Kerberos KB5020805 | Етап 4 Початковий режим примусового застосування. Видаляє можливість установлення значення 1 для підрозділу KrbtgtFullPacSignature та переміщується в режим примусового застосування за замовчуванням (KrbtgtFullPacSignature = 3), який можна перевизначити за допомогою явного параметра аудиту.
-
Захист захищеного обходу завантаження KB5025885 | Етап 2 Другий етап розгортання. Оновлення для Windows, випущеної 11 липня 2023 р. або пізніше, включають автоматичне розгортання файлів відкликання, нові події журналу подій, які повідомляють про успішне скасування розгортання та пакет динамічного оновлення SafeOS для WinRE.
-
Підписи PAC Kerberos KB5020805 | Етап 5
Етап повного застосування. Видаляє підтримку підрозділу реєстру KrbtgtFullPacSignature, видаляє підтримку для режиму перевірки , а всі запити на обслуговування без нових підписів PAC буде відмовлено в автентифікації.
-
Оновлення дозволів Active Directory (AD) KB5008383 | Етап 5 Завершальний етап розгортання. Останній етап розгортання може початися, коли ви виконаєте кроки, наведені в розділі "Вжити заходів" KB5008383. Щоб перейти в режим примусового застосування , дотримуйтеся вказівок у розділі "Посібник із розгортання", щоб установити 28-й і 29-й біти в атрибуті dSHeuristics . Потім відстежуйте події 3044-3046. Вони повідомляють, коли режим примусового застосування заблокував операцію додавання або змінення LDAP, яку раніше було дозволено в режимі перевірки .
-
Захист захищеного обходу завантаження KB5025885 | Етап 3 Третій етап розгортання. На цьому етапі буде додано додаткові засоби послаблення ризиків диспетчера завантаження. Цей етап розпочнеться не раніше 9 квітня 2024 року.
-
PAC перевірки зміни KB5037754 | Етап режиму сумісності
Початковий етап розгортання починається з оновлень, випущених 9 квітня 2024 року. Це оновлення додає нову поведінку, яка запобігає підвищенню вразливостей прав, описаних у CVE-2024-26248 і CVE-2024-29056, але не застосовує його, якщо контролери домену Windows і клієнти Windows в середовищі не оновлюються.
Щоб увімкнути нову поведінку та зменшити вразливості, переконайтеся, що оновлено все середовище Windows (включно з контролерами домену та клієнтами). Події аудиту буде записано, щоб визначити пристрої, які не оновлюються.
-
Захист захищеного обходу завантаження KB5025885 | Етап 3 Обов'язковий етап примусового застосування. Після інсталяції оновлень для Windows для всіх систем, на які впливає проблема, не можна вимкнути, відкликання (політика завантаження коду та заборона безпечного завантаження) буде програмним способом застосовано.
-
PAC перевірки зміни KB5037754 | Примусове застосування за промовчанням
Оновлення, випущені в січні 2025 року або пізніше, перемістять усі контролери домену Та клієнти Windows у середовищі в режим примусового застосування. Цей режим забезпечує безпечну поведінку за замовчуванням. Наявні параметри розділу реєстру, які раніше були встановлені, скасовують цю зміну поведінки за замовчуванням.
Адміністратор може змінити стандартні параметри застосованого режиму, щоб повернутися до режиму сумісності.
-
PAC перевірки зміни KB5037754 | Етап примусового застосування Оновлення системи безпеки Windows, випущені в квітні 2025 р. або пізніше, усунуть підтримку підрозділів реєстру PacSignatureValidationLevel і CrossDomainFilteringLevel і забезпечать нову безпечну поведінку. Після інсталяції оновлення за квітень 2025 р. підтримку режиму сумісності не буде.
-
Захист автентифікації Kerberos для CVE-2025-26647 KB5057784 | Режим аудиту Початковий етап розгортання починається з оновлень, випущених 8 квітня 2025 року. Ці оновлення додають нову поведінку, яка виявляє підвищення вразливості прав, описаної в CVE-2025-26647 , але не забезпечує її. Щоб увімкнути нову поведінку та захиститися від вразливості, потрібно переконатися, що всі контролери домену Windows оновлюються, а для параметра реєстру AllowNtAuthPolicyBypass установлено значення 2.
-
Захист автентифікації Kerberos для CVE-2025-26647 KB5057784 | Застосовано етапом за промовчанням Оновлення випущений у липні 2025 р. або пізніше, за замовчуванням застосує перевірку сховища NTAuth. Параметр розділу реєстру AllowNtAuthPolicyBypass і надалі дозволить клієнтам за потреби повернутися в режим аудиту. Однак можливість повністю вимкнути це оновлення системи безпеки буде видалено.
-
Захист автентифікації Kerberos для CVE-2025-26647 KB5057784 | Режим примусового застосування Оновлення, випущені в жовтні 2025 року або пізніше, припинять підтримку корпорації Майкрософт для розділу реєстру AllowNtAuthPolicyBypass. На цьому етапі всі сертифікати мають бути видані органами влади, які входять до сховища NTAuth.
-
Захист захищеного обходу завантаження KB5025885 | Етап примусового застосування Етап примусового виконання не почнеться до січня 2026 року, і ми дамо принаймні за шість місяців до початку цієї фази попередження в цій статті. Коли оновлення буде випущено для етапу примусового виконання, вони включатимуть такі елементи:
-
Сертифікат "Windows Production PCA 2011" буде автоматично відкликано шляхом додавання до списку заборонених пристроїв із підтримкою безпечного завантаження UEFI (DBX). Ці оновлення буде програмно застосовано після інсталяції оновлень для Windows для всіх уражених систем без можливості вимкнення.
-
Інші ключові зміни у Windows
Кожна версія клієнта Windows і Windows Server додає нові функції та функції. Іноді нові версії також видаляють функції та функції, часто тому що існує новіший варіант. Докладні відомості про функції та функції, які більше не розробляються у Windows, див. в наведених нижче статтях.
Client
Сервер
Отримання останніх новин
Задайте закладку в Центрі повідомлень Windows, щоб легко знайти останні оновлення та нагадування. Якщо ви ІТ-адміністратор із доступом до Центр адміністрування Microsoft 365, настройте параметри електронної пошти на Центр адміністрування Microsoft 365, щоб отримувати важливі сповіщення та оновлення.
