原始发布日期: 2023 年 4 月
KB ID: 5036534
|
更改日期 |
说明 |
|---|---|
|
2025 年 4 月 8 日 |
|
|
2025 年 2 月 19 日 |
|
|
2025 年 1 月 30 日 |
|
|
2025 年 1 月 17 日 |
|
|
2024 年 3 月 10 日 |
|
简介
强化是我们持续安全策略的一个关键要素,有助于在专注于工作的同时保护你的遗产。 从芯片到云,越来越有创意的网络威胁可以瞄准任何可能的弱点。
本文介绍正在经历通过 Windows 安全更新实现的强化更改的易受攻击区域。 我们还在 Windows 消息中心 发布提醒,提醒 IT 管理员在关键日期接近时强化。
注意: 本文将随着时间的推移而更新,以提供有关强化更改和时间线的最新信息。 请参阅 更改日志 部分来跟踪最新更改。
按月强化更改
请参阅每月最近和即将进行的强化更改的详细信息,以帮助你规划每个阶段和最终实施。
-
netlogon 协议更改KB5021130 |阶段 2 初始强制阶段。 通过将值 0 设置为 RequireSeal 注册表子项来消除禁用 RPC 密封的功能。
-
基于证书的身份验证KB5014754 |阶段 2 删除 “禁用” 模式。
-
安全启动旁路保护KB5025885 |阶段 1 初始部署阶段。 2023 年 5 月 9 日或之后发布的 Windows 汇报解决了 CVE-2023-24932 中讨论的漏洞、对 Windows 启动组件的更改,以及两个可手动应用 (代码完整性策略的吊销文件,以及更新的安全启动禁止列表 (DBX) ) 。
-
netlogon 协议更改KB5021130 |阶段 3 默认情况下强制实施。 RequireSeal 子项将移至强制模式,除非显式将其配置为兼容模式。
-
Kerberos PAC 签名KB5020805 |阶段 3 第三个部署阶段。 通过将 KrbtgtFullPacSignature 子项设置为 值 0,删除禁用 PAC 签名添加的功能。
-
netlogon 协议更改KB5021130 |阶段 4 最终强制实施。 2023 年 7 月 11 日发布的 Windows 更新将删除将值 1 设置为 RequireSeal 注册表子项的功能。 这将启用 CVE-2022-38023 的强制执行阶段。
-
Kerberos PAC 签名KB5020805 |阶段 4 初始强制模式。 删除了为 KrbtgtFullPacSignature 子项设置值 1 的功能,并移动到强制模式作为默认 (KrbtgtFullPacSignature = 3) ,可以使用显式审核设置替代该模式。
-
安全启动旁路保护KB5025885 |阶段 2 第二个部署阶段。 2023 年 7 月 11 日或之后发布的 Windows 汇报包括自动部署吊销文件、用于报告吊销部署是否成功的新事件日志事件以及 WinRE 的 SafeOS 动态更新包。
-
Kerberos PAC 签名KB5020805 |阶段 5
完全强制阶段。 删除对注册表子项 KrbtgtFullPacSignature 的支持,删除对审核 模式的支持,并且所有没有新 PAC 签名的服务票证都将被拒绝身份验证。
-
Active Directory (AD) 权限更新KB5008383 |阶段 5 最终部署阶段。 完成 KB5008383的“采取措施”部分中列出的步骤后,最终部署阶段即可开始。 若要转到 强制 模式,请按照“部署指南”部分中的说明在 dSHeuristics 属性上设置第 28 位和第 29 位。 然后监视事件 3044-3046。 他们报告强制模式阻止了以前在审核模式下可能允许的 LDAP 添加或修改作。
-
安全启动旁路保护KB5025885 |阶段 3 第三个部署阶段。 此阶段将添加其他启动管理器缓解措施。 此阶段最早将于 2024 年 4 月 9 日开始。
-
PAC 验证 更改KB5037754 |兼容性模式阶段
初始部署阶段从 2024 年 4 月 9 日发布的更新开始。 此更新添加了防止 CVE-2024-26248 和 CVE-2024-29056 中描述的特权提升漏洞的新行为,但不会强制实施该漏洞,除非同时更新环境中的 Windows 域控制器和 Windows 客户端。
若要启用新行为并缓解漏洞,必须确保更新整个 Windows 环境 (包括域控制器和客户端) 。 将记录审核事件以帮助识别未更新的设备。
-
安全启动旁路保护KB5025885 |阶段 3 强制实施阶段。 在将 Windows 更新安装到所有受影响的系统后,将以编程方式强制执行吊销(代码完整性启动策略和安全启动禁止列表),且不禁用任何选项。
-
PAC 验证 更改KB5037754 |默认强制实施阶段
2025 年 1 月或之后发布的汇报会将环境中的所有 Windows 域控制器和客户端移动到“强制”模式。 默认情况下,此模式将强制实施安全行为。 先前设置的现有注册表项设置将覆盖此默认行为更改。
管理员可重写默认的强制模式设置,以还原兼容模式。
-
基于证书的身份验证 KB5014754 |阶段 3 完全强制模式。 如果证书无法强映射,身份验证将被拒绝。
-
PAC 验证 更改KB5037754 |强制阶段 2025 年 4 月或之后发布的 Windows 安全更新将删除对注册表子项 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支持,并强制实施新的安全行为。 安装 2025 年 4 月更新后,将不支持兼容模式。
-
CVE-2025-26647 KB5057784 的 Kerberos 身份验证保护 |审核模式 初始部署阶段从 2025 年 4 月 8 日发布的更新开始。 这些更新添加了检测 CVE-2025-26647 中所述特权提升漏洞但不会强制实施的新行为。 若要启用新行为并防止漏洞,必须确保更新所有 Windows 域控制器,并将 AllowNtAuthPolicyBypass 注册表项设置设置为 2。
-
CVE-2025-26647 KB5057784的 Kerberos 身份验证保护 |默认强制实施阶段 汇报在 2025 年 7 月或之后发布,默认情况下将强制实施 NTAuth 存储检查。 AllowNtAuthPolicyBypass 注册表项设置仍允许客户在需要时返回到审核模式。 但是,将删除完全禁用此安全更新的功能。
-
针对 CVE-2025-26647 KB5057784 的 Kerberos 身份验证保护 |强制模式 汇报在 2025 年 10 月或之后发布,将停止对 AllowNtAuthPolicyBypass 注册表项的Microsoft支持。 在此阶段,所有证书都必须由 NTAuth 存储的颁发机构颁发。
-
安全启动旁路保护 KB5025885 |强制阶段 执行阶段不会在 2026 年 1 月之前开始,在此阶段开始之前,我们将在本文中至少提前 6 个月发出警告。 当针对强制阶段发布更新时,它们将包括以下内容:
-
通过将“Windows 生产 PCA 2011”证书添加到支持设备上的安全启动 UEFI 禁止列表 (DBX),将会自动撤销该证书。 将 Windows 更新安装到所有受影响的系统(没有禁用选项)后,将以编程方式强制实施这些更新。
-
Windows 中的其他关键更改
每个版本的 Windows 客户端和Windows Server都添加了新的特性和功能。 有时,新版本也会删除特性和功能,这通常是因为存在较新的选项。 有关 Windows 中不再开发的特性和功能的详细信息,请参阅以下文章。
客户端
服务器
获取最新新闻
请为 Windows 消息中心添加书签,以便轻松查找最新更新和提醒。 如果你是有权访问Microsoft 365 管理中心的 IT 管理员,请在Microsoft 365 管理中心上设置Email首选项,以接收重要通知和更新。
