微软发布了域控制器(DC)加固路线图的最新更新。如果您对此不熟悉,加固本质上是指通过减少攻击面和缓解潜在漏洞来确保操作系统安全的过程。
这些措施旨在防范 CVE-2024-26248 和 CVE-2024-29056 Kerberos PAC(特权属性证书)漏洞和 Black Lotus 安全启动漏洞。
DC 安全加固正在加强运行 Azure Active Directory(AD)的服务器,以降低未经授权访问和数据泄露的风险,目前正在分阶段部署。
在 2024 年 10 月开始的前一阶段,安全启动旁路保护是在强制执行阶段实施的。
新的时间表如下:
2025 年 1 月
- PAC 验证 更改KB5037754 |默认强制实施阶段
2025 年 1 月或之后发布的汇报会将环境中的所有 Windows 域控制器和客户端移动到“强制”模式。 默认情况下,此模式将强制实施安全行为。 先前设置的现有注册表项设置将覆盖此默认行为更改。
管理员可重写默认的强制模式设置,以还原兼容模式。
2025 年 2 月或更高版本
- 基于证书的身份验证 KB5014754 |阶段 3完全强制模式。 如果证书无法强映射,身份验证将被拒绝。
2025 年 4 月
- PAC 验证 更改KB5037754 |强制阶段2025 年 4 月或之后发布的 Windows 安全更新将删除对注册表子项 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支持,并强制实施新的安全行为。 安装 2025 年 4 月更新后,将不支持兼容模式。
您可以在微软官方网站上的这篇支持文章(KB5036534)中找到时间表:
![[WIN] Ventoy 1.1.03 中文多语言免费版](https://www.pcsofter.com/wp-content/uploads/2022/12/2022122610274974.jpg)
![[WIN] GPU-Z v2.63.0](https://www.pcsofter.com/wp-content/uploads/2023/06/2023062311595974.jpg)
