原始發佈日期: 2025 年 4 月 8 日
KB 識別碼:5057784
|
變更日期 |
變更描述 |
|
2025 年 5 月 9 日 |
|
本文內容
摘要
2025 年 4 月 8 日或之後發行的 Windows 安全性更新包含對具有 Kerberos 驗證之弱點的保護。 當用於安全性主體憑證式驗證的憑證頒發機構單位 (CBA) 受信任,但不在 NTAuth 市集中,且使用憑證型驗證之安全性主體的 altSecID 屬性中存在主旨密鑰標識碼 (SKI) 對應時,此更新的行為會有所變更。 若要深入瞭解此弱點,請參閱 CVE-2025-26647。
採取行動
為了協助保護您的環境並避免中斷,建議您執行下列步驟:
-
使用 2025 年 4 月 8 日或之後發行的 Windows 更新來更新所有域控制器。
-
監控 將顯示在域控制器上的新事件,以識別受影響的證書頒發機構單位。
-
啟用 環境之後的強制執行模式現在僅使用由NTAuth市集中的授權單位所簽發的登入憑證。
altSecID 屬性
下表列出所有 (altSecID) 屬性的替代安全性識別碼,以及受此變更影響的 altSecID。
|
可對應至altSecID的憑證屬性清單 |
需要相符憑證才能鏈鏈至 NTAuth 市集的 AltSecID |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
變更的時程表
2025 年 4 月 8 日:初始部署階段 – 稽核模式
稽 核模式 ( 初始部署階段) 從 2025 年 4 月 8 日發行的更新開始。 這些更新會變更偵測 CVE-2025-26647 中所述之許可權提升弱點的偵測行為,但一開始並不會強制執行。
在 稽核 模式中,當域控制器收到具有不安全憑證的 Kerberos 驗證要求時,事件 標識碼:45 會記錄在域控制器上。 系統會允許驗證要求,且不會預期任何客戶端錯誤。
若要啟用行為變更並保護您不受弱點影響,您必須確保所有 Windows 域控制器都已在 2025 年 4 月 8 日或之後以 Windows 更新版本更新,且 AllowNtAuthPolicyBypass 登錄機碼設定設為 2 以設定 強制執行 模式。
在 強制執行 模式中,如果域控制器收到具有不安全憑證的 Kerberos 驗證要求,則會記錄舊版事件標識碼:21 並拒絕要求。
若要開啟此更新所提供的保護,請遵循下列步驟:
-
將 2025 年 4 月 8 日或之後發行的 Windows 更新套用至您環境中的所有域控制器。 套用更新之後,AllowNtAuthPolicyBypass 登錄值設定為 1 ,可啟用 NTAuth 檢查和稽核記錄警告事件。重要 如果您尚未準備好套用此更新所提供的保護,請將登錄機碼設定為 0 以暫時停用此變更。 如需詳細資訊,請參閱 「登錄機碼資訊 」一節。
-
監控域控制器上會顯示的新事件,以識別不屬於NTAuth市集受影響的證書頒發機構單位。 您需要監視的事件標識碼是 事件標識碼:45。 如需這些事件的詳細資訊,請參閱 稽核事件 一節。
-
確定所有客戶端憑證都有效且鏈結至 NTAuth 市集中信任的發行 CA。
-
在所有 事件標識碼之後:45 個事件都已解決,然後您可以 繼續執行強制 執行模式。 若要這麼做,請將AllowNtAuthPolicyBypass 登錄值設為 2。 如需詳細資訊,請參閱 「登錄機碼資訊 」一節。注意 建議您暫時延後設定 AllowNtAuthPolicyBypass = 2,直到將 2025 年 5 月之後發行的 Windows 更新套用到域控制器之後,在多個案例中使用何種服務自我簽署憑證式驗證。 這包括網域控制器,服務 Windows Hello 企業版 金鑰信任和加入網域的裝置公鑰驗證。
2025年7月:預設階段強制執行
匯報 在 2025 年 7 月或之後發行,預設會強制執行 NTAuth 市集檢查。 AllowNtAuthPolicyBypass 登錄機碼設定仍可讓客戶在需要時移回稽核模式。 不過,完全停用此安全性更新的功能將會移除。
2025年10月:強制執行模式
匯報 於 2025 年 10 月或之後發行,將會停止對 AllowNtAuthPolicyBypass 登錄機碼Microsoft支援。 在此階段,所有憑證都必須由屬於NTAuth市集一部分的授權單位發行。
登錄設定和事件記錄檔
登錄機碼資訊
下列登錄機碼可讓您稽核易受攻擊案例,然後在解決易受攻擊憑證之後強制執行變更。 不會自動建立登錄機碼。 未設定登錄機碼時,作系統的行為將取決於它所在的部署階段。
AllowNtAuthPolicyBypass
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
值 |
AllowNtAuthPolicyBypass |
|
|
資料類型 |
REG_DWORD |
|
|
數值資料 |
0 |
完全停用變更。 |
|
1 |
執行 NTAuth 檢查和記錄警告事件,指出非 NTAuth 市集 (稽核模式) 單位所簽發的憑證。 (從 2025 年 4 月 8 日開始的預設行為。) |
|
|
2 |
執行 NTAuth 檢查,如果檢查失敗,則不允許登入。 記錄一般事件 (AS-REQ 失敗的現有) ,其中的錯誤碼指出 NTAuth 檢查失敗 (強制 模式) 。 |
|
|
註解 |
AllowNtAuthPolicyBypass 登錄設定只應在 Windows KDC 上進行設定,例如已安裝 2025 年 5 月或之後發行的 Windows 更新的域控制器。 |
|
稽核事件
事件標識碼:45 |NT 驗證市集檢查稽核事件
系統管理員應該 watch 安裝於 2025 年 4 月 8 日或之後發行的 Windows 更新所新增的下列事件。 如果存在,表示憑證是由非 NTAuth 市集一部分的授權單位所發行。
|
事件記錄檔 |
記錄系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kerberos-Key-Distribution-Center |
|
事件識別碼 |
45 |
|
事件文字 |
密鑰發佈中心 (KDC) 發生用戶端憑證有效,但並未鏈聯到 NTAuth 市集中的根目錄。 對於未鏈結至 NTAuth 市集的憑證的支援已遭取代。 憑證鏈結至非NTAuth商店的支援已遭取代且不安全。請參閱 https://go.microsoft.com/fwlink/?linkid=2300705 以深入瞭解。 使用者: <UserName> 憑證主體: <憑證主體> 憑證發行者: <憑證發行者> 憑證序號: <憑證序號> 憑證縮圖: < 認證列印> |
|
註解 |
|
事件標識碼:21 |AS-REQ 失敗事件
解決 Kerberos-Key-Distribution-Center 事件 45 之後,此一般舊版事件的記錄會指出客戶端憑證仍不受信任。 此事件可能會因為多個原因而記錄,其中一個原因就是有效的客戶端憑證未鏈結至 NTAuth 市集中的發行 CA。
|
事件記錄檔 |
記錄系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kerberos-Key-Distribution-Center |
|
事件識別碼 |
21 |
|
事件文字 |
Domain \UserName>使用者< 用戶端憑證無效,導致智慧卡登入失敗。 請連絡使用者以取得他們嘗試用於智慧卡登入之憑證的詳細資訊。 鏈結狀態為:認證鏈條處理正確,但其中一個 CA 憑證不受原則提供者信任。 |
|
註解 |
|
已知問題
客戶回報了事件標識符的問題:45 和事件標識碼:使用自我簽署憑證以憑證為基礎的驗證觸發的 21。 若要查看詳細資訊,請參閱 Windows 版本健康情況所記錄的已知問題:
-
Windows Server 2025: 登入可能會在按鍵信任模式中 Windows Hello 並記錄 Kerberos 事件失敗
-
Windows Server 2022: 登入可能會在密鑰信任模式中 Windows Hello 失敗並記錄 Kerberos 事件
-
Windows Server 2019: 登入可能會在密鑰信任模式中 Windows Hello 失敗並記錄 Kerberos 事件
-
Windows Server 2016: 登入可能會在密鑰信任模式中 Windows Hello 並記錄 Kerberos 事件失敗
