原始发布日期: 2025 年 4 月 8 日
KB ID:5057784
|
更改日期 |
更改说明 |
|
2025 年 7 月 22 日 |
|
|
2025 年 5 月 9 日 |
|
本任务的内容
摘要
2025 年 4 月 8 日或之后发布的 Windows 安全更新包含对使用 Kerberos 身份验证的漏洞的保护。 当用于安全主体的基于证书的身份验证的证书的颁发机构 (CBA) 受信任,但不在 NTAuth 存储中,并且使用基于证书的身份验证的安全主体的 altSecID 属性中存在使用者密钥标识符 (SKI) 映射时,此更新会更改行为。 若要了解有关此漏洞的详细信息,请参阅 CVE-2025-26647。
采取操作
为了帮助保护环境并防止中断,我们建议执行以下步骤:
-
使用 2025 年 4 月 8 日或之后发布的 Windows 更新所有域控制器。
-
监视 将在域控制器上可见的新事件,以识别受影响的证书颁发机构。
-
启用 环境现在仅使用 NTAuth 存储中的颁发机构颁发的登录证书之后的强制模式。
altSecID 属性
下表列出了受此更改影响的所有备用安全标识符 (altSecIDs) 属性和 altSecID。
|
可映射到 altSecID 的证书属性列表 |
需要匹配证书才能链接到 NTAuth 存储的 AltSecID |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
更改时间线
2025 年 4 月 8 日:初始部署阶段 - 审核模式
初始部署阶段 (审核 模式) 从 2025 年 4 月 8 日发布的更新开始。 这些更新更改了检测 CVE-2025-26647 中所述特权提升漏洞的行为,但最初不会强制实施该漏洞。
在 审核 模式下,当域控制器收到带有不安全证书的 Kerberos 身份验证请求时,事件 ID: 45 将记录在域控制器上。 将允许身份验证请求,并且预期不会出现客户端错误。
若要启用行为更改并防止漏洞,必须确保所有 Windows 域控制器在 2025 年 4 月 8 日或之后使用 Windows 更新版本进行更新,并且 AllowNtAuthPolicyBypass 注册表项设置设置为 2 以配置 强制 模式。
在 强制 模式下,如果域控制器收到具有不安全证书的 Kerberos 身份验证请求,它将记录旧事件 ID:21 并拒绝该请求。
若要打开此更新提供的保护,请执行以下步骤:
-
将 2025 年 4 月 8 日或之后发布的 Windows 更新应用到环境中的所有域控制器。 应用更新后,AllowNtAuthPolicyBypass 设置默认为 1 (审核) 这将启用 NTAuth 检查和审核日志警告事件。重要 如果尚未准备好继续应用此更新提供的保护,请将注册表项设置为 0 以暂时禁用此更改。 有关详细信息,请参阅 注册表项信息 部分。
-
监视将在域控制器上显示的新事件,以识别不属于 NTAuth 存储区一部分的受影响的证书颁发机构。 需要监视的事件 ID 为 事件 ID:45。 有关这些 事件 的详细信息,请参阅审核事件部分。
-
确保所有客户端证书都有效,并将其链接到 NTAuth 存储中受信任的颁发 CA。
-
解析所有 事件 ID:45 个事件后, 可以继续执行 模式。 为此,请将 AllowNtAuthPolicyBypass 注册表值设置为 2。 有关详细信息,请参阅 注册表项信息 部分。注意 建议暂时延迟设置 AllowNtAuthPolicyBypass = 2,直到将 2025 年 5 月之后发布的 Windows 更新应用于域控制器,后者在多个方案中使用基于自签名证书的身份验证。 这包括Windows Hello 企业版密钥信任和已加入域的设备公钥身份验证服务的域控制器。
2025 年 7 月:默认强制实施阶段
默认情况下,2025 年 7 月或之后发布的汇报将强制实施 NTAuth Store 检查。 AllowNtAuthPolicyBypass 注册表项设置仍允许客户在需要时返回到审核模式。 但是,将删除完全禁用此安全更新的功能。
2025 年 10 月:强制模式
2025 年 10 月或之后发布的汇报将停止对 AllowNtAuthPolicyBypass 注册表项的Microsoft支持。 在此阶段,所有证书都必须由 NTAuth 存储的颁发机构颁发。
注册表设置和事件日志
注册表项信息
以下注册表项允许审核易受攻击的方案,然后在解决易受攻击的证书后强制实施更改。 不会自动添加注册表项。如果需要更改行为,则必须手动创建注册表项并设置所需的值。 请注意,未配置注册表项时 OS 的行为将取决于它所在的部署阶段。
AllowNtAuthPolicyBypass
|
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
值 |
AllowNtAuthPolicyBypass |
|
|
数据类型 |
REG_DWORD |
|
|
值数据 |
0 |
完全禁用更改。 |
|
1 |
执行 NTAuth 检查和日志警告事件,指示证书是由不属于 NTAuth 存储的颁发机构颁发的, (审核模式) 。 (从 2025 年 4 月 8 日版本开始的默认行为。) |
|
|
2 |
执行 NTAuth 检查如果失败,则不允许登录。 记录 AS-REQ 失败 (现有) 的正常事件,并显示一个错误代码,指示 NTAuth 检查 (强制模式) 失败。 |
|
|
备注 |
仅应在已安装 2025 年 4 月或之后发布的 Windows 更新的 Windows KDC 上配置 AllowNtAuthPolicyBypass 注册表设置。 |
|
审核事件
事件 ID:45 |NT 身份验证存储检查审核事件
对于 2025 年 4 月 8 日或之后发布的 Windows 更新安装所添加的以下事件,管理员应watch。 如果证书存在,则表示证书由不属于 NTAuth 存储的颁发机构颁发。
|
事件日志 |
日志系统 |
|
事件类型 |
警告 |
|
事件源 |
Kerberos-Key-Distribution-Center |
|
事件 ID |
45 |
|
事件文本 |
密钥分发中心 (KDC) 遇到有效但未链接到 NTAuth 存储中的根的客户端证书。 对不链接到 NTAuth 存储的证书的支持已弃用。 对链接到非 NTAuth 存储的证书的支持已弃用且不安全。有关详细信息 ,请参阅 https://go.microsoft.com/fwlink/?linkid=2300705 。 用户: <用户名> 证书使用者: <证书使用者> 证书颁发者: <证书颁发者> 证书序列号: <证书序列号> 证书指纹: < CertThumbprint> |
|
备注 |
|
事件 ID:21 |AS-REQ 失败事件
解决 Kerberos-Key-Distribution-Center 事件 45 后,此通用旧事件日志记录指示客户端证书仍不受信任。 记录此事件的原因有多种,其中之一是有效的客户端证书未链接到 NTAuth 存储中的颁发 CA。
|
事件日志 |
日志系统 |
|
事件类型 |
警告 |
|
事件源 |
Kerberos-Key-Distribution-Center |
|
事件 ID |
21 |
|
事件文本 |
用户 <域\UserName> 的客户端证书无效,导致智能卡登录失败。 请联系用户,了解有关他们尝试用于智能卡登录的证书的详细信息。 链状态为:已正确处理证书链,但策略提供程序不信任其中一个 CA 证书。 |
|
备注 |
|
已知问题
客户报告了使用自签名证书的基于证书的身份验证触发的事件 ID: 45 和事件 ID: 21 的问题。 若要查看详细信息,请参阅 有关 Windows 版本运行状况的已知问题:
-
Windows Server 2025: 登录失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件
-
Windows Server 2022: 登录失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件
-
Windows Server 2019: 登录失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件
-
Windows Server 2016: 登录可能会失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件
