|
Thay đổi ngày |
Thay đổi mô tả |
|---|---|
|
Ngày 10 tháng 3 năm 2024 |
Đã sửa đổi đường thời gian Hàng tháng thêm phần cứng hóa hơn cho nội dung liên quan và loại bỏ mục nhập Tháng Hai 2024 ra khỏi đường thời gian vì nó không liên quan cứng lại. |
Giới thiệu
Hardening là một yếu tố quan trọng của chiến lược bảo mật liên tục của chúng tôi để giúp giữ cho bất động sản của bạn được bảo vệ trong khi bạn tập trung vào công việc của bạn. Các mối đe dọa ngày càng sáng tạo trên mạng nhắm vào các điểm yếu ở bất cứ đâu có thể, từ chip đến đám mây. Bạn đã xem các ấn phẩm của chúng tôi về việc làm cứng trung tâm thông báo của Windows chưa? Một số người gần đây bắt buộc bao gồm xác thực DCOM hardening và Netjoin: miền tham gia hardening. Chúng ta hãy xem xét các lĩnh vực dễ bị tổn thương đang trải qua khó khăn trong những tháng sắp tới.
Lưu ý: Bài viết này sẽ được cập nhật theo thời gian để cung cấp thông tin mới nhất về việc c cố định các thay đổi và đường thời gian. Cập nhật gần nhất: 10/03/2024.
Làm cứng các thay đổi trong nháy mắt
Xem lại đường thời gian trực quan để tập trung vào những thay đổi cụ thể mà bạn quan tâm. Tìm chi tiết cho từng giai đoạn dưới đây.
Hình 1: Đường thời gian trực quan của những thay đổi cứng lại diễn ra vào năm 2023.
Hình 2: Đường thời gian trực quan của những thay đổi cứng lại diễn ra vào năm 2024.
Làm cứng các thay đổi theo tháng
Tham khảo chi tiết cho tất cả các thay đổi khó khăn sắp tới theo tháng để giúp bạn lập kế hoạch cho từng giai đoạn và việc thực thi cuối cùng.
-
Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 2
Giai đoạn Thực thi Ban đầu. Loại bỏ khả năng vô hiệu hóa việc niêm phong RPC bằng cách đặt giá trị 0 vào khóa phụ của sổ đăng ký RequireSeal . -
Xác thực dựa trên chứng chỉ KB5014754 | Giai đoạn 2
Loại bỏ chế độ Tắt .
-
An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 1
Giai đoạn Triển khai Ban đầu. Windows Cập nhật phát hành vào hoặc sau ngày 9 tháng 5 năm 2023 các lỗ hổng địa chỉ được thảo luận trong CVE-2023-24932, các thay đổi đối với các cấu phần khởi động của Windows và hai tệp thu hồi có thể được áp dụng thủ công (chính sách Tính toàn vẹn Mã và danh sách không cho phép Khởi động An toàn (DBX)).
-
Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 3
Thực thi theo mặc định. Khóa phụ RequireSeal sẽ được chuyển sang chế độ Thực thi trừ khi bạn định cấu hình rõ ràng khóa ở chế độ Tương thích. -
Kerberos PAC Signatures KB5020805 | Giai đoạn 3
Giai đoạn Triển khai thứ ba. Loại bỏ khả năng tắt tính năng bổ sung chữ ký PAC bằng cách đặt khóa phụ KrbtgtFullPacSignature thành giá trị 0.
-
Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 4
Thực thi cuối cùng. Các bản cập nhật Windows được phát hành vào ngày 11 tháng 7 năm 2023 sẽ loại bỏ khả năng đặt giá trị 1 cho khóa phụ của sổ đăng ký RequireSeal. Điều này cho phép giai đoạn Thực thi của CVE-2022-38023. -
Kerberos PAC Signatures KB5020805 | Giai đoạn 4
Chế độ Thực thi Ban đầu. Loại bỏ khả năng đặt giá trị 1 cho khóa phụ KrbtgtFullPacSignature và chuyển sang chế độ Thực thi làm mặc định (KrbtgtFullPacSignature = 3), mà bạn có thể ghi đè với cài đặt Kiểm tra rõ ràng. -
An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 2
Giai đoạn Triển khai thứ hai. Cập nhật cho Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023 bao gồm tự động triển khai các tệp thu hồi, các sự kiện Nhật ký Sự kiện mới để báo cáo việc triển khai thu hồi thành công hay chưa và gói Cập nhật Động SafeOS cho WinRE.
-
Kerberos PAC Signatures KB5020805 | Giai đoạn 5
Giai đoạn Thực thi Đầy đủ. Loại bỏ hỗ trợ cho khóa phụ đăng ký KrbtgtFullPacSignature, loại bỏ hỗ trợ cho chế độ Kiểm tra và tất cả các vé dịch vụ không có chữ ký PAC mới sẽ bị từ chối xác thực.
-
Các bản cập nhật quyền của Active Directory (AD) KB5008383 | Giai đoạn 5
Giai đoạn triển khai cuối cùng. Giai đoạn triển khai cuối cùng có thể bắt đầu sau khi bạn đã hoàn tất các bước được liệt kê trong phần "Thực hiện hành động" của KB5008383. Để chuyển sang chế độ Thực thi, hãy làm theo các hướng dẫn trong mục "Hướng dẫn Triển khai" để đặt các bit thứ 28 và 29 trên thuộc tính dSHeuristics. Sau đó theo dõi các sự kiện 3044-3046. Họ báo cáo khi chế độ Thực thi đã chặn thao tác Thêm hoặc Sửa đổi LDAP mà trước đó có thể đã được cho phép trong chế độ Kiểm tra.
-
An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 3
Giai đoạn Triển khai thứ ba. Giai đoạn này sẽ thêm các biện pháp giảm nhẹ trình quản lý khởi động bổ sung. Giai đoạn này sẽ bắt đầu không sớm hơn ngày 9 tháng 4 năm 2024.
-
An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 3
Giai đoạn Bắt buộc Thực thi. Việc thu hồi (Chính sách Khởi động Toàn vẹn Mã và danh sách không cho phép Khởi động An toàn) sẽ được thực thi theo chương trình sau khi cài đặt các bản cập nhật cho Windows cho tất cả các hệ thống bị ảnh hưởng mà không có tùy chọn nào bị vô hiệu hóa.
-
Xác thực dựa trên chứng chỉ KB5014754 | Giai đoạn 3
Chế độ Thực thi Đầy đủ. Nếu không thể ánh xạ mạnh chứng chỉ, xác thực sẽ bị từ chối.
Nhận tin tức mới nhất
Vui lòng đánh dấu trung tâm thông báo Windows để dễ dàng tìm thấy các bản cập nhật và lời nhắc mới nhất. Và nếu bạn là người quản trị CNTT có quyền truy nhập vào Trung tâm quản trị Microsoft 365, hãy thiết lập Tùy chọn email trên Trung tâm quản trị Microsoft 365 nhận các thông báo và cập nhật quan trọng.
