微軟出擊升級(jí) Kerberos 身份認(rèn)證協(xié)議，筑起 Win10 / Win11 更強(qiáng)安全防線

IT之家 2 月 22 日消息，科技媒體 borncity 今天（2 月 22 日）發(fā)布博文，報(bào)道稱微軟即將升級(jí) Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份認(rèn)證協(xié)議，并于 2025 年 2 月開始分階段實(shí)施。

IT之家援引博文介紹，按照時(shí)間節(jié)點(diǎn)，簡(jiǎn)要介紹了本次調(diào)整內(nèi)容如下：

2025 年 1 月：PAC 驗(yàn)證強(qiáng)制執(zhí)行（KB5037754）

• 所有 Windows 域控制器和客戶端將進(jìn)入強(qiáng)制模式，默認(rèn)啟用更安全的行為。

• 管理員可以通過(guò)修改注冊(cè)表設(shè)置，臨時(shí)恢復(fù)到兼容模式。

2025 年 2 月：證書認(rèn)證全面強(qiáng)制（KB5014754）

• 基于證書的身份驗(yàn)證進(jìn)入第三階段，全面強(qiáng)制執(zhí)行。

• 如果證書無(wú)法被唯一識(shí)別，身份驗(yàn)證將會(huì)失敗，提高安全性。

2025 年 4 月：移除舊注冊(cè)表項(xiàng)，強(qiáng)制新安全行為（KB5037754）

• 移除對(duì) PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注冊(cè)表子項(xiàng)的支持，意味著不再支持兼容模式，所有系統(tǒng)必須符合新的安全標(biāo)準(zhǔn)。

2026 年 1 月：加強(qiáng) Secure Boot Bypass 保護(hù)（KB5025885）

• 進(jìn)入強(qiáng)制執(zhí)行階段，進(jìn)一步提升系統(tǒng)啟動(dòng)安全性。

微軟強(qiáng)化 Kerberos 身份認(rèn)證協(xié)議安全策略外，還限制 Kerberos 主機(jī)名策略的字符串長(zhǎng)度，組策略編輯器最多允許輸入 1024 個(gè)字符，而 Kerberos 客戶端讀取主機(jī)名列表時(shí)，硬性限制為 2048 個(gè)字符。

微軟計(jì)劃從 2025 年起逐步加強(qiáng) Windows 系統(tǒng)的 Kerberos 協(xié)議安全性，涉及 PAC 驗(yàn)證、證書驗(yàn)證以及字符串長(zhǎng)度限制等多個(gè)方面。管理員應(yīng)密切關(guān)注這些變化，并提前進(jìn)行測(cè)試和調(diào)整，確保系統(tǒng)平穩(wěn)過(guò)渡，避免潛在的安全風(fēng)險(xiǎn)和兼容性問(wèn)題。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。