مایکروسافت جدیدترین بروزرسانی مربوط به نقشه راه سخت سازی کنترلر دامنه (DC) را منتشر کرده است. اگر با این مفهوم آشنا نیستید، سخت سازی بطور کلی به فرایند امن سازی سیستم عامل از طریق کاهش سطح حمله و کاهش آسیب پذیریهای احتمالی اشاره دارد.
این اقدامات به منظور محافظت در برابر آسیب پذیریهای CVE-2024-26248 و CVE-2024-29056 در مورد اشکالات PAC (گواهی ویژگی امتیاز) در کرِبِروس و همچنین نقص در Secure Boot با نام Black Lotus طراحی شدهاند.
سخت سازی امنیتی DC به منظور تقویت سرورهایی است که Azure Active Directory (AD) را اجرا میکنند تا خطر دسترسی غیرمجاز و نقض دادهها را کاهش دهد، و این اقدامات بطور تدریجی در حال پیاده سازی هستند.
در فاز قبلی که از اکتبر 2024 آغاز شد، حفاظت از بای پس Secure Boot تحت فاز اجرایی اجباری (Mandatory Enforcement Phase) اعمال شد.
جدول زمانی جدید به شرح زیر است:
ژانویه 2025
تغییرات تأیید PAC – KB5037754 | فاز اجرایی بطور پیش فرض
بروزرسانیهایی که از ژانویه 2025 یا بعد از آن منتشر میشوند، تمامی کنترلرهای دامنه و کلاینتهای ویندوزی موجود در محیط را به حالت اجرایی (Enforced) منتقل خواهند کرد. این حالت بطور پیش فرض رفتارهای امن را اجباری میکند. تنظیمات کلید رجیستری موجود که قبلاً تنظیم شدهاند، این تغییر رفتار پیش فرض را لغو خواهند کرد.
تنظیمات حالت اجرایی پیش فرض میتواند توسط مدیر سیستم تغییر کرده و به حالت سازگاری (Compatibility Mode) بازگشت داده شود.
فوریه 2025 یا بعد از آن
احراز هویت مبتنی بر گواهی – KB5014754 | فاز 3
حالت اجرایی کامل. در صورتی که نتوان گواهی را بطور قوی تطبیق داد، احراز هویت رد خواهد شد.
آوریل 2025
تغییرات تأیید PAC – KB5037754 | فاز اجرایی
بروزرسانیهای امنیتی ویندوز که از آوریل 2025 یا بعد از آن منتشر میشوند، پشتیبانی از زیرکلیدهای رجیستری PacSignatureValidationLevel و CrossDomainFilteringLevel را حذف کرده و رفتار امن جدید را اجباری خواهند کرد. پس از نصب بروزرسانی آوریل 2025، دیگر از حالت سازگاری پشتیبانی نخواهد شد.
source