Ngày phát hành ban đầu: 8 tháng 4 năm 2025
ID KB: 5057784
|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 22 tháng 7 năm 2025 |
|
|
Ngày 9 tháng 5 năm 2025 |
|
Trong bài viết này
Tóm tắt
Các bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025 chứa các tùy chọn bảo vệ cho lỗ hổng bảo mật với xác thực Kerberos. Bản cập nhật này cung cấp thay đổi hành vi khi cơ quan phát hành chứng chỉ được sử dụng cho xác thực dựa trên chứng chỉ của một hiệu trưởng bảo mật (CBA) đáng tin cậy, nhưng không đáng tin cậy trong kho lưu trữ NTAuth và ánh xạ Mã định danh Khóa Chủ đề (SKI) có trong thuộc tính altSecID của hiệu trưởng bảo mật sử dụng xác thực dựa trên chứng chỉ. Để tìm hiểu thêm về lỗ hổng này, vui lòng xem CVE-2025-26647.
Thực hiện Hành động
Để giúp bảo vệ môi trường của bạn và ngăn ngừa sự cố, chúng tôi đề xuất các bước sau:
-
CẬP NHẬT tất cả các bộ kiểm soát miền bằng bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025.
-
MONITOR new events that will be visible on domain controllers to identify affected certificate authorities.
-
BẬT Chế độ thực thi sau khi môi trường của bạn bây giờ chỉ sử dụng chứng chỉ đăng nhập được cấp bởi các cơ quan có thẩm quyền trong cửa hàng NTAuth.
thuộc tính altSecID
Bảng sau đây liệt kê tất cả các thuộc tính Mã định danh Bảo mật Thay thế (altSecID) và altSecID chịu tác động của thay đổi này.
|
Danh sách các thuộc tính Chứng chỉ có thể được ánh xạ tới altSecID |
AltSecID yêu cầu chứng chỉ khớp để chuỗi tới kho NTAuth |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Đường thời gian của các thay đổi
Ngày 8 tháng 4 năm 2025: Giai đoạn Triển khai Ban đầu – Chế độ kiểm tra
Giai đoạn triển khai ban đầu (Chế độ kiểm tra) bắt đầu với các bản cập nhật được phát hành vào ngày 8 tháng 4 năm 2025. Các bản cập nhật này thay đổi hành vi phát hiện sự gia tăng lỗ hổng đặc quyền được mô tả trong CVE-2025-26647 nhưng ban đầu không thực thi nó.
Khi đang ở chế độ Kiểm tra, ID Sự kiện: 45 sẽ được đăng nhập vào bộ kiểm soát miền khi nhận được yêu cầu xác thực Kerberos với chứng chỉ không an toàn. Yêu cầu xác thực sẽ được cho phép và dự kiến sẽ không có lỗi máy khách.
Để cho phép thay đổi hành vi và được bảo mật từ lỗ hổng, bạn phải đảm bảo tất cả các bộ kiểm soát miền Windows đều được cập nhật bản phát hành cập nhật Windows vào hoặc sau ngày 8 tháng 4 năm 2025 và cài đặt khóa đăng ký AllowNtAuthPolicyBypass được đặt thành 2 để đặt cấu hình cho chế độ Thực thi.
Khi ở chế độ Thực thi, nếu bộ kiểm soát miền nhận được yêu cầu xác thực Kerberos kèm theo chứng chỉ không an toàn, bộ điều khiển sẽ ghi nhật ký ID Sự kiện kế thừa: 21 và từ chối yêu cầu.
Để bật các tùy chọn bảo vệ được cung cấp trong bản cập nhật này, hãy làm theo các bước sau:
-
Áp dụng bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025 cho tất cả các bộ kiểm soát miền trong môi trường của bạn. Sau khi áp dụng bản cập nhật, cài đặt AllowNtAuthPolicyBypass mặc định là 1 ( Kiểm tra) cho phép kiểm tra NTAuth và các sự kiện cảnh báo Nhật ký kiểm tra.QUAN TRỌNG Nếu bạn không sẵn sàng tiếp tục áp dụng các biện pháp bảo vệ được cung cấp bởi bản cập nhật này, hãy đặt khóa đăng ký thành 0 để tạm thời tắt thay đổi này. Xem phần Thông tin Khóa Đăng ký để biết thêm thông tin.
-
Theo dõi các sự kiện mới sẽ được hiển thị trên bộ kiểm soát miền để xác định các cơ quan cấp chứng chỉ bị ảnh hưởng không phải là một phần của kho NTAuth. ID Sự kiện bạn cần để giám sát là ID Sự kiện: 45. Xem mục Sự kiện Kiểm tra để biết thêm thông tin về các sự kiện này.
-
Đảm bảo tất cả các chứng chỉ khách hàng hợp lệ và được nối với một CA phát hành đáng tin cậy trong cửa hàng NTAuth.
-
Sau tất cả ID Sự kiện: 45 sự kiện được giải quyết, sau đó bạn có thể tiếp tục chế độ Thực thi. Để thực hiện điều này, hãy đặt giá trị đăng ký AllowNtAuthPolicyBypass thành 2. Xem phần Thông tin Khóa Đăng ký để biết thêm thông tin.Ghi Chúng tôi khuyên bạn nên tạm thời hoãn cài đặt AllowNtAuthPolicyBypass = 2 cho đến sau khi áp dụng bản cập nhật Windows được phát hành sau tháng 5 năm 2025 cho bộ kiểm soát miền có dịch vụ xác thực dựa trên chứng chỉ tự ký được sử dụng trong nhiều trường hợp. Điều này bao gồm bộ kiểm soát miền có dịch Windows Hello cho Doanh nghiệp vụ Cho phép Khóa Tin cậy và Xác thực Khóa Công khai cho Thiết bị đã tham gia Miền.
Tháng 7 năm 2025: Bắt buộc theo giai đoạn Mặc định
Cập nhật hành trong hoặc sau tháng 7 năm 2025 sẽ thực thi kiểm tra NTAuth Store theo mặc định. Cài đặt khóa đăng ký AllowNtAuthPolicyBypass sẽ vẫn cho phép khách hàng chuyển trở lại chế độ Kiểm tra nếu cần. Tuy nhiên, khả năng vô hiệu hóa hoàn toàn bản cập nhật bảo mật này sẽ bị loại bỏ.
Tháng 10 năm 2025: Chế độ thực thi
Cập nhật hành trong hoặc sau tháng 10 năm 2025 sẽ ngừng hỗ trợ của Microsoft cho khóa đăng ký AllowNtAuthPolicyBypass. Ở giai đoạn này, tất cả các chứng chỉ phải được cấp bởi cơ quan có thẩm quyền là một phần của cửa hàng NTAuth.
Thiết đặt Sổ đăng ký và Nhật ký Sự kiện
Thông tin khóa đăng ký
Khóa đăng ký sau đây cho phép kiểm tra kịch bản dễ bị tấn công và sau đó thực thi thay đổi một khi chứng chỉ dễ bị tấn công được giải quyết. Khóa đăng ký không được tự động thêm vào. Nếu bạn cần thay đổi hành vi, bạn phải tạo khóa đăng ký theo cách thủ công và đặt giá trị bạn cần. Lưu ý rằng hành vi của hệ điều hành khi khóa đăng ký không được cấu hình sẽ phụ thuộc vào giai đoạn triển khai đó là trong.
AllowNtAuthPolicyBypass
|
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Giá trị |
AllowNtAuthPolicyBypass |
|
|
Loại dữ liệu |
REG_DWORD |
|
|
Dữ liệu giá trị |
0 |
Tắt hoàn toàn thay đổi. |
|
1 |
Thực hiện các NTAuth kiểm tra và nhật ký sự kiện cảnh báo chỉ ra chứng chỉ được cấp bởi một cơ quan mà không phải là một phần của NTAuth lưu trữ (chế độ kiểm tra). (Hành vi mặc định bắt đầu từ bản phát hành ngày 8 tháng 4 năm 2025.) |
|
|
2 |
Thực hiện kiểm tra NTAuth và nếu không, không cho phép đăng nhập. Ghi nhật ký các sự kiện bình thường (hiện có) cho lỗi AS-REQ với mã lỗi cho biết kiểm tra NTAuth không thành công (chế độ Ràng buộc). |
|
|
Ý kiến |
Cài đặt đăng ký AllowNtAuthPolicyBypass chỉ nên được đặt cấu hình trên các PC chạy Windows đã cài đặt các bản cập nhật Windows được phát hành trong hoặc sau tháng 4 năm 2025. |
|
Sự kiện Kiểm tra
ID Sự kiện: 45 | Sự kiện Kiểm tra Kiểm tra của NT Auth Store
Người quản trị sẽ theo dõi sự kiện sau được thêm vào bằng cách cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025. Nếu nó tồn tại, nó ngụ ý rằng một chứng chỉ đã được cấp bởi một cơ quan mà không phải là một phần của các NTAuth lưu trữ.
|
Nhật ký Sự kiện |
Hệ thống Nhật ký |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kerberos-Key-Phân phối-Trung tâm |
|
ID Sự kiện |
45 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ máy khách hợp lệ nhưng không được nối với gốc trong cửa hàng NTAuth. Hỗ trợ cho chứng chỉ không chuỗi để lưu trữ NTAuth không được dùng. Hỗ trợ chứng chỉ liên kết với các cửa hàng không phải NTAuth bị phản đối và không an toàn.Hãy xem https://go.microsoft.com/fwlink/?linkid=2300705 để tìm hiểu thêm. Người dùng: <userName> Chủ đề Chứng chỉ: <Đề Tài Chứng Chỉ> Người phát hành Chứng chỉ: <cấp Chứng chỉ của> Số Sê-ri Chứng chỉ:<sê-ri Chứng chỉ> Certificate Thumbprint: < CertThumbprint> |
|
Ý kiến |
|
ID Sự kiện: 21 | Sự kiện Lỗi AS-REQ
Sau khi giải quyết Sự kiện Kerberos-Key-Distribution-Center 45, việc ghi nhật ký của sự kiện kế thừa chung này cho thấy chứng chỉ máy khách vẫn CHƯA được tin cậy. Sự kiện này có thể được ghi nhật ký vì nhiều lý do, một trong số đó là chứng chỉ khách hàng hợp lệ KHÔNG được chuỗi với một PHÁT HÀNH CA trong các cửa hàng NTAuth.
|
Nhật ký Sự kiện |
Hệ thống Nhật ký |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kerberos-Key-Phân phối-Trung tâm |
|
ID Sự kiện |
21 |
|
Văn bản Sự kiện |
Chứng chỉ máy khách cho người dùng<Domain\UserName> hợp lệ và dẫn đến đăng nhập thẻ thông minh không thành công. Vui lòng liên hệ với người dùng để biết thêm thông tin về chứng chỉ mà họ đang tìm cách sử dụng để đăng nhập thẻ thông minh. Tình trạng chuỗi là: Chuỗi chứng nhận xử lý đúng cách, nhưng một trong các chứng chỉ CA không được nhà cung cấp chính sách tin cậy. |
|
Ý kiến |
|
Sự cố đã biết
Khách hàng đã báo cáo sự cố với ID Sự kiện: 45 và ID Sự kiện: 21 được kích hoạt bằng xác thực dựa trên chứng chỉ bằng cách sử dụng chứng chỉ tự ký. Để xem thêm thông tin, vui lòng tham khảo sự cố đã biết được ghi nhận về tình trạng phát hành Windows:
-
Windows Server 2025:Đăng nhập có thể không thành công với Windows Hello độ Tin cậy Chính và ghi nhật ký Sự kiện Kerberos
-
Windows Server 2022:Đăng nhập có thể không thành công với Windows Hello độ Tin cậy Chính và ghi nhật ký Sự kiện Kerberos
-
Windows Server 2019:Đăng nhập có thể không thành công với Windows Hello độ Tin cậy Chính và ghi nhật ký Sự kiện Kerberos
-
Windows Server 2016:Đăng nhập có thể không thành công với Windows Hello độ Tin cậy Chính và ghi nhật ký Sự kiện Kerberos
