Last year, Windows updates released on and after April 9, 2024 added new behaviors that start the process of addressing a security risk in the Kerberos PAC Validation Protocol.

Starting today, the Enforcement phase of deployment begins. After installing the April 2025 Windows security update and later updates on all Windows domain controllers and Windows clients, support for Compatibility mode will be removed, and the new secure behavior will be enabled by default. This will properly mitigate the vulnerabilities described in CVE-2024-26248 and CVE-2024-29056.

The Enforcement phase starts today with the release of the April 2025 Windows security update.

To mitigate the risks described in CVE-2024-26248 and CVE-2024-29056, you must update your entire Windows environment. This must include all Windows domain controllers and Windows clients. Environments that are not up to date will not recognize the new request structure and security checks will fail.

 

Install the April 2025 Windows security update on all Windows domain controllers and Windows clients. Enforcement mode will be fully enabled in your environment. This will properly mitigate the vulnerabilities described in CVE-2024-26248 and CVE-2024-29056.

昨年、2024 年 4 月 9 日以降にリリースされた Windows の更新プログラムでは、 Kerberos PAC 検証プロトコルのセキュリティ リスクに対処するプロセスを開始する新しい動作が追加されました。

本日から、デプロイの 強制フェーズ が開始されます。2025 年 4 月の Windows セキュリティ更新プログラムとそれ以降の更新プログラムをすべての Windows ドメイン コントローラーと Windows クライアントにインストールすると、 互換 モードのサポートが削除され、新しいセキュリティ動作が既定で有効になります。これにより、CVE-2024-26248 および CVE-2024-29056 に記載されている 脆弱性が適切に軽減されます。

強制フェーズは、2025 年 4 月の Windows セキュリティ更新プログラムのリリースとともに本日 開始されます。

CVE-2024-26248 と CVE-2024-29056 に記載されているリスクを軽減するには、Windows 環境全体を更新する必要があります。これには、すべての Windows ドメイン コントローラーと Windows クライアントが含まれている必要があります。最新でない環境は、新しい要求構造を認識せず、セキュリティチェックは失敗します。

 

2025 年 4 月の Windows セキュリティ更新プログラムを、すべての Windows ドメイン コントローラーと Windows クライアントにインストールします。 強制 モードは、お使いの環境で完全に有効になります。これにより、CVE-2024-26248 および CVE-2024-29056 に記載されている 脆弱性が適切に軽減されます。