m365jp.net

SHD / MC Checker

MC1050816 | KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication)

MC1050816 | KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication)
Classification stayInformed
Last Updated 04/08/2025 17:54:39
Start Time 04/08/2025 17:54:37
End Time 04/08/2026 17:54:37
Message Content
The Windows security updates released on or after April 8, 2025, contain protections for a vulnerability with Kerberos authentication. To learn more about this vulnerability, please see CVE-2025-26647.
 
When will this happen:
April 8, 2025: Initial Deployment phase C Audit mode
  • The initial deployment phase starts with the updates released on April 8, 2025. These updates add new behavior that detects the elevation of privilege vulnerability described in CVE-2025-26647 but does not enforce it.
  • To enable the new behavior and be secure from the vulnerability, you must ensure all Windows domain controllers are updated and the AllowNtAuthPolicyBypass registry key setting is set to 2.
July 8 2025: Enforced by Default phase
  • Updates released on or after July 8, 2025, will enforce the NTAuth Store check by default. The AllowNtAuthPolicyBypass registry key setting will still allow customers to move back to Audit mode if needed. However, the ability to completely disable this security update will be removed.
October 14, 2025: Enforcement mode
  • Updates released on or after October 14, 2025, will discontinue Microsoft support for the AllowNtAuthPolicyBypass registry key. At this stage, all certificates must be issued by authorities that are a part of NTAuth store.
 
How this will affect your organization:
You are at risk when a certificate authority (CA) is part of the Windows root store but not the NTAuth store and a Subject Key Identifier (SKI) is present in a privileged account. To mitigate the risks, you must apply the protections described in CVE-2025-26647.
 
What you need to do to prepare:
  1. UPDATE all domain controllers with a Windows update released on or after April 8, 2025.
  2. MONITOR new events that will be visible on domain controllers to identify affected certificate authorities.
  3. ENABLE Enforcement mode once your environment is no longer using certificates issued by authorities that are not in the NTAuth store.
 
Additional information:
Machine Translation
2025 年 4 月 8 日以降にリリ`スされた Windows セキュリティ更新プログラムには、Kerberos J^の脆弱性にする保oが含まれています。この脆弱性のについては、 CVE-2025-26647 を参照してください。
 
これはいつ行われますか:
2025 年 4 月 8 日: 初期デプロイ フェ`ズ – O衰猢`ド
  • 初期デプロイ フェ`ズは、2025 年 4 月 8 日にリリ`スされた更新プログラムから始まります。これらの更新プログラムでは、 CVE-2025-26647 でh明されている特丐N格の脆弱性を食訾工胄陇筏幼鳏芳婴丹欷蓼工饯欷制するものではありません。
  • 新しい幼鳏蛴郡摔贰长未嗳跣预楸Woするためには、すべての Windows ドメイン コントロ`ラ`が更新され、 AllowNtAuthPolicyBypass レジストリ キ`のO定が 2 にO定されていることを_Jする必要があります。
2025 年 7 月 8 日: デフォルトによる制フェ`ズ
  • 2025 年 7 月 8 日以降にリリ`スされた更新プログラムでは、既定で NTAuth ストア チェックがm用されます。AllowNtAuthPolicyBypass レジストリ キ`O定を使用すると、必要にじてO衰猢`ドに工长趣扦蓼埂¥郡坤贰长违互濂辚匹8楼抓恁哎楗啶蛲耆o郡摔工C能は削除されます。
2025 年 10 月 14 日: 制モ`ド
  • 2025 年 10 月 14 日以降にリリ`スされた更新プログラムでは、 Microsoft による AllowNtAuthPolicyBypass レジストリ キ`のサポ`トがK了します。この段Aでは、すべての^明稀NTAuth ストアの一部であるCvによってk行される必要があります。
 
これがMに与える影:
^明Cv (CA) が Windows ル`ト ストアの一部であるが NTAuth ストアには含まれておらず、サブジェクト キ`Re子 (SKI) が特廿Ε螗趣舜嬖冥工龊稀辚攻辘蓼埂%辚攻蜉Xpするには、 CVE-2025-26647 でh明されている保oをm用する必要があります。
 
浃工毪郡幛吮匾胜长:
  1. 2025 年 4 月 8 日以降にリリ`スされた Windows 更新プログラムで、すべてのドメイン コントロ`ラ`を更新します
  2. ドメイン コントロ`ラ`に表示される新しいイベントをOして、影を受ける^明Cvを特定します。
  3. エネ`ブル NTAuth ストアにないCvによってk行された^明颦h境で使用しなくなった龊悉制モ`ド。
 
追加情:
Post Views: 50

m365jp.net