原始發佈日期: 2023 年 4 月
KB 識別碼: 5036534
|
變更日期 |
描述 |
|---|---|
|
2025 年 4 月 8 日 |
|
|
2025年2月19日 |
|
|
2025年1月30日 |
|
|
2025年1月17日 |
|
|
2024 年 3 月 10 日 |
|
簡介
硬化是我們持續安全策略的重要元素,可在您專注於工作時協助保護您的財產。 從晶片到雲端,越來越有創意的網路威脅會盡可能地以弱點為目標。
本文將檢閱正在進行透過 Windows 安全性更新實作之硬化變更的易受攻擊區域。 我們也會在 Windows 訊息中心 張貼提醒,提醒 IT 系統管理員在接近重要日期時要強化。
逐月硬化變更
請參閱每個月近期和近期硬化變更的詳細數據,以協助您規劃每個階段和最終強制執行。
-
Netlogon 通訊協議變更KB5021130 |階段 2 初始強制執行階段。 將值 0 設定為 RequireSeal 登錄子機碼,以移除停用 RPC 封存的功能。
-
憑證式驗證KB5014754 |階段 2 拿掉 停用 模式。
-
安全開機略過保護KB5025885 |階段 1 初始部署階段。 Windows 匯報 於 2023 年 5 月 9 日或之後發行,解決 CVE-2023-24932 中討論的弱點、Windows 開機組件的變更,以及兩個可手動套用的撤銷檔案, (程式代碼完整性原則和更新的安全開機不允許清單 (DBX) ) 。
-
Netlogon 通訊協議變更KB5021130 |階段3 根據預設,強制執行。 除非您明確設定為 [兼容模式],否則 RequireSeal 子機碼將會移至 [強制執行] 模式。
-
Kerberos PAC Signatures KB5020805 |階段3 第三個部署階段。 將 KrbtgtFullPacSignature 子機碼設為 0 值,即可移除停用 PAC 簽章加法的功能。
-
Netlogon 通訊協議變更KB5021130 |階段 4 最後強制執行。 2023 年 7 月 11 日發行的 Windows 更新會移除將 RequireSeal 登錄子機碼值設定為 1 的功能。 這會啟用 CVE-2022-38023 的強制階段。
-
Kerberos PAC Signatures KB5020805 |階段 4 初始強制執行模式。 拿掉為 KrbtgtFullPacSignature 子機碼設定值 1 的功能,並移至強制執行模式做為預設 (KrbtgtFullPacSignature = 3) ,您可以使用明確的稽核設定覆寫。
-
安全開機略過保護KB5025885 |階段 2 第二個部署階段。 2023 年 7 月 11 日或之後發行的 Windows 版 匯報 包括撤銷檔案的自動化部署、用來報告是否成功撤銷部署的新事件記錄事件,以及適用於 WinRE 的 SafeOS 動態更新套件。
-
Kerberos PAC Signatures KB5020805 |階段 5
完整強制執行階段。 拿掉登錄子機碼 KrbtgtFullPacSignature 的支援、移除稽核 模式的支援,以及所有沒有新 PAC 簽章的服務票證將被拒絕驗證。
-
安全開機略過保護KB5025885 |階段3 第三個部署階段。 此階段將新增其他開機管理員緩和措施。 此階段最快將于 2024 年 4 月 9 日開始。
-
PAC 驗證變更 KB5037754 |相容模式階段
初始部署階段從 2024 年 4 月 9 日發行的更新開始。 此更新新增了防止提高 CVE-2024-26248 和 CVE-2024-29056 中所述之許可權弱點的新行為,但不會強制執行,除非環境中的 Windows 域控制器和 Windows 用戶端都已更新。
若要啟用新行為並降低弱點,您必須確保您的整個 Windows 環境 (同時更新域控制器和用戶端) 。 系統會記錄稽核事件,以協助識別未更新的裝置。
-
安全開機略過保護KB5025885 |階段3 強制強制強制執行階段。 在所有受影響且沒有停用選項的系統上安裝 Windows 更新之後,將會以程式設計方式強制執行撤銷 (程式碼完整性開機原則和安全開機不允許清單)。
-
PAC 驗證變更 KB5037754 |默認階段強制執行
匯報 於 2025 年 1 月或之後發行,將會將環境中的所有 Windows 域控制器和用戶端移至強制模式。 此模式預設會強制執行安全行為。 先前設定的現有登錄機碼設定將會覆寫此預設行為變更。
系統管理員可以覆寫預設的強制模式設定,以還原為相容模式。
-
憑證式驗證 KB5014754 |階段3 完整強制執行模式。 如果憑證無法強對應,則會拒絕驗證。
-
PAC 驗證變更 KB5037754 |強制執行階段 2025 年 4 月或之後發行的 Windows 安全性更新將會移除對登錄子機碼 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支援,並強制執行新的安全行為。 安裝 2025 年 4 月更新之後,將不支援相容模式。
-
CVE-2025-26647 的 Kerberos 驗證保護 KB5057784 |稽核模式 初始部署階段從 2025 年 4 月 8 日發行的更新開始。 這些更新會新增新行為,以偵測 CVE-2025-26647 中所述之許可權弱點的提升,但不會強制執行。 若要啟用新行為並保護您不受弱點影響,您必須確保所有 Windows 域控制器都已更新,且 AllowNtAuthPolicyBypass 登錄機碼設定設為 2。
-
CVE-2025-26647 的 Kerberos 驗證保護KB5057784 |依預設階段 強制執行 匯報 於 2025 年 7 月或之後發行,預設會強制執行 NTAuth 市集檢查。 AllowNtAuthPolicyBypass 登錄機碼設定仍可讓客戶在需要時移回稽核模式。 不過,完全停用此安全性更新的功能將會移除。
-
CVE-2025-26647 KB5057784 的 Kerberos 驗證保護 |強制執行模式 匯報 於 2025 年 10 月或之後發行,將會停止對 AllowNtAuthPolicyBypass 登錄機碼Microsoft支援。 在此階段,所有憑證都必須由屬於NTAuth市集一部分的授權單位發行。
-
安全開機略過保護 KB5025885 |強制執行階段 強制執行階段不會在 2026 年 1 月之前開始,我們會在本階段開始前至少提前六個月提供警告。 發行強制階段的更新時,會包括下列項目:
-
「Windows 生產 PCA 2011」憑證會被新增至支援裝置上安全開機 UEFI 禁止清單 (DBX),而自動撤銷。 在所有受影響的系統上安裝 Windows 更新之後,系統會以程式設計方式強制執行這些更新,而無須停用選項。
-
Windows 中的其他重要變更
每個版本的 Windows 用戶端和 Windows Server 新增功能。 有時候,新版本也會移除功能,通常是因為有較新的選項存在。 如需不再在 Windows 中開發之功能的詳細數據,請參閱下列文章。
用戶端
伺服器
取得最新消息
請在 Windows 訊息中心加上書籤,以輕鬆找到最新的更新和提醒。 如果您是具有 Microsoft 365 系統管理中心 存取權的 IT 系統管理員,請在 Microsoft 365 系統管理中心 上設定 Email 喜好設定,以接收重要通知和更新。
