KB5036534: Microsoft выпускает последние обновление защиты для Windows 10/11
Microsoft выпустила последнее обновление плана усиления защиты контроллера домена (DC). Если вы с этим не знакомы, усиление защиты по существу относится к процессу защиты операционной системы путем уменьшения ее поверхности атаки и устранения потенциальных уязвимостей.
Эти меры предназначены для защиты от уязвимостей CVE-2024-26248 и CVE-2024-29056 Kerberos PAC (сертификат атрибутов привилегий), а также уязвимостей Black Lotus Secure Boot.
Усиление безопасности DC направлено на усиление серверов, на которых работает Azure Active Directory (AD), чтобы снизить риск несанкционированного доступа и утечки данных. Они развертываются поэтапно.
Что нового в обновлении KB5036534
Январь 2025 г.
- Изменения проверки PAC KB5037754 | Этап принудительного применения по умолчанию
Обновления, выпущенные в январе 2025 г. или позже, переведут все контроллеры домена и клиенты Windows в среде на Принудительный режим. Этот режим по умолчанию обеспечивает безопасное поведение. Существующие параметры раздела реестра, которые были установлены ранее, переопределят это изменение поведения по умолчанию.
По умолчанию Принудительные настройки режима могут быть отменены администратором для возврата к режиму Совместимость.
Февраль 2025 г. или позже
- Аутентификация на основе сертификатов KB5014754 | Этап 3
Режим полного соблюдения. Если сертификат не может быть строго сопоставлен, в аутентификации будет отказано.
Апрель 2025 г.
- Изменения проверки PAC KB5037754 | Этап исполнения
Обновления безопасности Windows, выпущенные в апреле 2025 г. или позже, прекратят поддержку подразделов реестра.
PacSignatureValidationLevelиCrossDomainFilteringLevelи обеспечить новое безопасное поведение. Не будет никакой поддержки режима Совместимость после установки обновления от апреля 2025 года.
Источник: https://support.microsoft.com/en-us/topic/latest-windows-hardening-guidance-and-key-dates-eb1bd411-f68c-4d74-a4e1-456721a6551b
