IT之家 2 月 22 日消息,科技媒体 borncity 今天(2 月 22 日)发布博文,报道称微软即将升级 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份认证协议,并于 2025 年 2 月开始分阶段实施。
IT之家援引博文介绍,按照时间节点,简要介绍了本次调整内容如下:
2025 年 1 月:PAC 验证强制执行(KB5037754)
所有 Windows 域控制器和客户端将进入强制模式,默认启用更安全的行为。
管理员可以通过修改注册表设置,临时恢复到兼容模式。
2025 年 2 月:证书认证全面强制(KB5014754)
基于证书的身份验证进入第三阶段,全面强制执行。
如果证书无法被唯一识别,身份验证将会失败,提高安全性。
2025 年 4 月:移除旧注册表项,强制新安全行为(KB5037754)
移除对 PacSignaturevalidationLevel 和 CrossDomainFilteringLevel 注册表子项的支持,意味着不再支持兼容模式,所有系统必须符合新的安全标准。
2026 年 1 月:加强 Secure Boot Bypass 保护(KB5025885)
进入强制执行阶段,进一步提升系统启动安全性。
微软强化 Kerberos 身份认证协议安全策略外,还限制 Kerberos 主机名策略的字符串长度,组策略编辑器最多允许输入 1024 个字符,而 Kerberos 客户端读取主机名列表时,硬性限制为 2048 个字符。
微软计划从 2025 年起逐步加强 Windows 系统的 Kerberos 协议安全性,涉及 PAC 验证、证书验证以及字符串长度限制等多个方面。管理员应密切关注这些变化,并提前进行测试和调整,确保系统平稳过渡,避免潜在的安全风险和兼容性问题。
0 条