Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Змінити дату

Змінити опис

10 березня 2024 р.

Виправлено щомісячну часову шкалу, додавши більше загартовуваного пов'язаного вмісту, і видалено запис за лютий 2024 року з часової шкали, оскільки він не загартовує пов'язаний вміст.

Вступ

Загартування є ключовим елементом нашої поточної стратегії безпеки, щоб допомогти зберегти ваше майно захищеним, поки ви зосереджуєтеся на вашій роботі. Все більш творчі кіберзагрози націлені на слабкі місця в будь-якому місці, від чіпа до хмари. Чи бачили ви наші публікації з питань загартування в центрі повідомлень Windows? Деякі з тих, які нещодавно застосуються, включають апаратне забезпечення автентифікації DCOM і Netjoin: апаратне забезпечення приєднання до домену. Давайте переглянемо вразливі райони, які проходять загартування в найближчі місяці.

Примітка.: Цю статтю буде оновлено з часом, щоб надати останню інформацію про загартування змін і часових шкал. Останнє оновлення: 10 березня 2024 р.

Загартування змін з першого погляду

Перегляньте візуальну часову шкалу, щоб зосередитися на певних цікавих для вас змінах. Нижче наведено відомості про кожен етап. 

Загартування змін у 2023 році

Рисунок 1: Візуальна часова шкала змін у загартуванні, що відбуваються у 2023 році.

Загартування змін у 2024 році

Рисунок 2:  Візуальна шкала загартування змін, що відбуваються у 2024 році.

Загартування змін за місяцями

Ознайомтеся з відомостями про всі майбутні зміни загартування за місяцями, щоб допомогти вам спланувати кожен етап і остаточне застосування.

  • Зміни протоколу Netlogon KB5021130 | Етап 2 Початковий етап примусового застосування. Видаляє можливість вимкнути запечатування віддаленого виклику процедур, установивши значення 0 в підрозділі реєстру RequireSeal .

  • KB5014754 автентифікації на основі сертифіката | Етап 2 Видалення неактивного режиму.

  • Захист захищеного обходу завантаження KB5025885 | Етап 1 Етап початкового розгортання. Вразливості windows Оновлення, випущені 9 травня 2023 р. або пізніше, розглядаються в CVE-2023-24932, зміни в компонентах завантаження Windows і два файли відкликання, які можна застосувати вручну (політика цілісності коду та оновлений список безпечного завантаження (DBX)).

  • Зміни протоколу Netlogon KB5021130 | Етап 3 Примусове застосування за замовчуванням. Підрозділ RequireSeal буде переміщено в режим примусового застосування, якщо ви не налаштуєте його на режим сумісності.

  • Підписи PAC Kerberos KB5020805 | Етап 3 Третій етап розгортання. Дає змогу вимкнути додавання підпису PAC, установивши для підрозділу KrbtgtFullPacSignature значення 0.

  • Зміни протоколу Netlogon KB5021130 | Етап 4 Остаточне застосування. Оновлення Windows, випущені 11 липня 2023 року, усунуть можливість установити значення 1 для підрозділу реєстру RequireSeal. Це дає змогу примусово використовувати CVE-2022-38023.

  • Підписи PAC Kerberos KB5020805 | Етап 4 Початковий режим примусового застосування. Видаляє можливість установлення значення 1 для підрозділу KrbtgtFullPacSignature та переміщується в режим примусового застосування за замовчуванням (KrbtgtFullPacSignature = 3), який можна перевизначити за допомогою явного параметра аудиту. 

  • Захист захищеного обходу завантаження KB5025885 | Етап 2 Другий етап розгортання. Оновлення для Windows, випущеної 11 липня 2023 р. або пізніше, включають автоматичне розгортання файлів відкликання, нові події журналу подій, які повідомляють про успішне скасування розгортання та пакет динамічного оновлення SafeOS для WinRE.

  • Підписи PAC Kerberos KB5020805 | Етап 5

    Етап повного застосування. Видаляє підтримку підрозділу реєстру KrbtgtFullPacSignature, видаляє підтримку для режиму перевірки , а всі запити на обслуговування без нових підписів PAC буде відмовлено в автентифікації.

  • Оновлення дозволів Active Directory (AD) KB5008383 | Етап 5 Завершальний етап розгортання. Останній етап розгортання може початися, коли ви виконаєте кроки, наведені в розділі "Вжити заходів" KB5008383. Щоб перейти в режим примусового застосування , дотримуйтеся вказівок у розділі "Посібник із розгортання", щоб установити 28-й і 29-й біти в атрибуті dSHeuristics . Потім відстежуйте події 3044-3046. Вони повідомляють, коли режим примусового застосування заблокував операцію додавання або змінення LDAP, яку раніше було дозволено в режимі перевірки

  • Захист захищеного обходу завантаження KB5025885 | Етап 3 Третій етап розгортання. На цьому етапі буде додано додаткові засоби послаблення ризиків диспетчера завантаження. Цей етап розпочнеться не раніше 9 квітня 2024 року.

  • Захист захищеного обходу завантаження KB5025885 | Етап 3 Обов'язковий етап примусового застосування. Після інсталяції оновлень для Windows для всіх систем, на які впливає проблема, не можна вимкнути, відкликання (політика завантаження коду та заборона безпечного завантаження) буде програмним способом застосовано.

  • KB5014754 автентифікації на основі сертифіката | Етап 3 Повноекранний режим. Якщо сертифікат не можна сильно зіставити, автентифікацію буде відмовлено.

Отримання останніх новин

Задайте закладку в Центрі повідомлень Windows, щоб легко знайти останні оновлення та нагадування. Якщо ви ІТ-адміністратор із доступом до Центр адміністрування Microsoft 365, настройте параметри електронної пошти на Центр адміністрування Microsoft 365, щоб отримувати важливі сповіщення та оновлення.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.