Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Ngày phát hành ban đầu: Tháng 4 năm 2023

ID KB: 5036534

Thay đổi ngày

Thay đổi mô tả

Ngày 17 tháng 1 năm 2025

Đã thêm các mục nhập tháng 4 năm 2024, tháng 1 năm 2025 và tháng 4 năm 2025 trong mục "Tăng cường thay đổi theo tháng".

Ngày 10 tháng 3 năm 2024

Đã sửa đổi đường thời gian Hàng tháng thêm phần cứng hóa hơn cho nội dung liên quan và loại bỏ mục nhập Tháng Hai 2024 ra khỏi đường thời gian vì nó không liên quan cứng lại.

Giới thiệu

Hardening là một yếu tố quan trọng của chiến lược bảo mật liên tục của chúng tôi để giúp giữ cho bất động sản của bạn được bảo vệ trong khi bạn tập trung vào công việc của bạn. Các mối đe dọa ngày càng sáng tạo trên mạng nhắm vào các điểm yếu ở bất cứ đâu có thể, từ chip đến đám mây. Bạn đã xem các ấn phẩm của chúng tôi về việc làm cứng trung tâm thông báo của Windows chưa? Một số người gần đây bắt buộc bao gồm xác thực DCOM hardening và Netjoin: miền tham gia hardening. Chúng ta hãy xem xét các lĩnh vực dễ bị tổn thương đang trải qua khó khăn trong những tháng sắp tới.

Lưu ý: Bài viết này sẽ được cập nhật theo thời gian để cung cấp thông tin mới nhất về việc c cố định các thay đổi và đường thời gian. Cập nhật gần nhất: 10/03/2024.

Làm cứng các thay đổi trong nháy mắt

Xem lại đường thời gian trực quan để tập trung vào những thay đổi cụ thể mà bạn quan tâm. Tìm chi tiết cho từng giai đoạn dưới đây. 

Những thay đổi khó khăn trong năm 2023

Hình 1: Đường thời gian trực quan của những thay đổi cứng lại diễn ra vào năm 2023.

Những thay đổi khó khăn trong năm 2024

Hình 2:  Đường thời gian trực quan của những thay đổi cứng lại diễn ra vào năm 2024.

Làm cứng các thay đổi theo tháng

Tham khảo chi tiết cho tất cả các thay đổi khó khăn sắp tới theo tháng để giúp bạn lập kế hoạch cho từng giai đoạn và việc thực thi cuối cùng.

  • Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 2 Giai đoạn Thực thi Ban đầu. Loại bỏ khả năng vô hiệu hóa việc niêm phong RPC bằng cách đặt giá trị 0 vào khóa phụ của sổ đăng ký RequireSeal .

  • Xác thực dựa trên chứng chỉ KB5014754 | Giai đoạn 2 Loại bỏ chế độ Tắt .

  • An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 1 Giai đoạn Triển khai Ban đầu. Windows Cập nhật phát hành vào hoặc sau ngày 9 tháng 5 năm 2023 các lỗ hổng địa chỉ được thảo luận trong CVE-2023-24932, các thay đổi đối với các cấu phần khởi động của Windows và hai tệp thu hồi có thể được áp dụng thủ công (chính sách Tính toàn vẹn Mã và danh sách không cho phép Khởi động An toàn (DBX)).

  • Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 3 Thực thi theo mặc định. Khóa phụ RequireSeal sẽ được chuyển sang chế độ Thực thi trừ khi bạn định cấu hình rõ ràng khóa ở chế độ Tương thích.

  • Kerberos PAC Signatures KB5020805 | Giai đoạn 3 Giai đoạn Triển khai thứ ba. Loại bỏ khả năng tắt tính năng bổ sung chữ ký PAC bằng cách đặt khóa phụ KrbtgtFullPacSignature thành giá trị 0.

  • Giao thức Netlogon thay đổi KB5021130 | Giai đoạn 4 Thực thi cuối cùng. Các bản cập nhật Windows được phát hành vào ngày 11 tháng 7 năm 2023 sẽ loại bỏ khả năng đặt giá trị 1 cho khóa phụ của sổ đăng ký RequireSeal. Điều này cho phép giai đoạn Thực thi của CVE-2022-38023.

  • Kerberos PAC Signatures KB5020805 | Giai đoạn 4 Chế độ Thực thi Ban đầu. Loại bỏ khả năng đặt giá trị 1 cho khóa phụ KrbtgtFullPacSignature và chuyển sang chế độ Thực thi làm mặc định (KrbtgtFullPacSignature = 3), mà bạn có thể ghi đè với cài đặt Kiểm tra rõ ràng. 

  • An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 2 Giai đoạn Triển khai thứ hai. Cập nhật cho Windows được phát hành vào hoặc sau ngày 11 tháng 7 năm 2023 bao gồm tự động triển khai các tệp thu hồi, các sự kiện Nhật ký Sự kiện mới để báo cáo việc triển khai thu hồi thành công hay chưa và gói Cập nhật Động SafeOS cho WinRE.

  • Kerberos PAC Signatures KB5020805 | Giai đoạn 5

    Giai đoạn Thực thi Đầy đủ. Loại bỏ hỗ trợ cho khóa phụ đăng ký KrbtgtFullPacSignature, loại bỏ hỗ trợ cho chế độ Kiểm tra và tất cả các vé dịch vụ không có chữ ký PAC mới sẽ bị từ chối xác thực.

  • Các bản cập nhật quyền của Active Directory (AD) KB5008383 | Giai đoạn 5 Giai đoạn triển khai cuối cùng. Giai đoạn triển khai cuối cùng có thể bắt đầu sau khi bạn đã hoàn tất các bước được liệt kê trong phần "Thực hiện hành động" của KB5008383. Để chuyển sang chế độ Thực thi, hãy làm theo các hướng dẫn trong mục "Hướng dẫn Triển khai" để đặt các bit thứ 28 và 29 trên thuộc tính dSHeuristics. Sau đó theo dõi các sự kiện 3044-3046. Họ báo cáo khi chế độ Thực thi đã chặn thao tác Thêm hoặc Sửa đổi LDAP mà trước đó có thể đã được cho phép trong chế độ Kiểm tra. 

  • An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 3 Giai đoạn Triển khai thứ ba. Giai đoạn này sẽ thêm các biện pháp giảm nhẹ trình quản lý khởi động bổ sung. Giai đoạn này sẽ bắt đầu không sớm hơn ngày 9 tháng 4 năm 2024.

  • Thay đổi xác thực PAC KB5037754 | Giai đoạn chế độ tương thích

    Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào ngày 9 tháng 4 năm 2024. Bản cập nhật này thêm hành vi mới ngăn chặn sự gia tăng lỗ hổng đặc quyền được mô tả trong CVE-2024-26248CVE-2024-29056 nhưng không thực thi nó trừ khi cả hai bộ kiểm soát miền Windows và máy khách Windows trong môi trường được cập nhật.

    Để cho phép hành vi mới và để giảm thiểu các lỗ hổng, bạn phải đảm bảo rằng toàn bộ môi trường Windows của bạn (bao gồm cả bộ điều khiển miền và máy khách) được cập nhật. Sự kiện Kiểm tra sẽ được ghi nhật ký để giúp xác định các thiết bị không được cập nhật.

  • An toàn khởi động bỏ qua bảo vệ KB5025885 | Giai đoạn 3 Giai đoạn Bắt buộc Thực thi. Việc thu hồi (Chính sách Khởi động Toàn vẹn Mã và danh sách không cho phép Khởi động An toàn) sẽ được thực thi theo chương trình sau khi cài đặt các bản cập nhật cho Windows cho tất cả các hệ thống bị ảnh hưởng mà không có tùy chọn nào bị vô hiệu hóa.

  • Thay đổi xác thực PAC KB5037754 | Thực thi theo giai đoạn mặc định

    Cập nhật hành trong hoặc sau tháng 1 năm 2025 sẽ di chuyển tất cả các bộ kiểm soát miền và máy khách Windows trong môi trường sang chế độ Bắt buộc. Theo mặc định, chế độ này sẽ thực thi hành vi an toàn. Thiết đặt khóa đăng ký hiện có đã được đặt trước đó sẽ ghi đè lên thay đổi hành vi mặc định này.

    Người quản trị có thể ghi đè thiết đặt chế độ Bắt buộc mặc định để hoàn nguyên về chế độ Tương thích.

  • Xác thực dựa trên chứng chỉ KB5014754 | Giai đoạn 3 Chế độ Thực thi Đầy đủ. Nếu không thể ánh xạ mạnh chứng chỉ, xác thực sẽ bị từ chối.

  • Thay đổi xác thực PAC KB5037754 | Giai đoạn thực thi Các bản cập nhật bảo mật Windows được phát hành trong hoặc sau tháng 4 năm 2025, sẽ loại bỏ hỗ trợ cho các khóa phụ của sổ đăng ký PacSignatureValidationLevelCrossDomainFilteringLevel và thực thi hành vi bảo mật mới. Sẽ không có hỗ trợ cho chế độ Tương thích sau khi cài đặt bản cập nhật tháng 4 năm 2025.

Nhận tin tức mới nhất

Vui lòng đánh dấu trung tâm thông báo Windows để dễ dàng tìm thấy các bản cập nhật và lời nhắc mới nhất. Và nếu bạn là người quản trị CNTT có quyền truy nhập vào Trung tâm quản trị Microsoft 365, hãy thiết lập Tùy chọn email trên Trung tâm quản trị Microsoft 365 nhận các thông báo và cập nhật quan trọng.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.