m365jp.net

SHD / MC Checker

MC1111657 | Second phase for KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication) begins today

MC1111657 | Second phase for KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication) begins today
Classification stayInformed
Last Updated 07/08/2025 17:02:41
Start Time 07/08/2025 17:02:38
End Time 07/08/2026 17:02:38
Message Content
Starting with the April 8, 2025, Windows security updates, protections for CVE-2025-26647 are being rolled out and enforced in phases. These updates change how certificate-based authentication (CBA) is handled when the issuing certificate authority (CA) is not in the NTAuth store but a Subject Key Identifier (SKI) mapping exists in the altSecID attribute.
The second phase, Enforced by Default phase, begins today, July 8, 2025.
When will this happen:
July 8, 2025: Enforced by Default phase
  • Updates released on or after July 8, 2025, will enforce the NTAuth store check by default. The AllowNtAuthPolicyBypass registry key setting will still allow customers to move back to Audit mode if needed. However, the ability to completely disable this security update will be removed.
October 14, 2025: Enforcement mode
  • Updates released on or after October 14, 2025, will discontinue Microsoft support for the AllowNtAuthPolicyBypass registry key. At this stage, all certificates must be issued by authorities that are a part of NTAuth store.
How this will affect your organization:
If your environment uses CBA and relies on certificates from CAs not in the NTAuth store, authentication may fail once Enforcement mode is enabled. This change affects domain controllers and requires updates to ensure secure authentication behavior. New audit events will help identify affected certificates and CAs.
 
What you need to do to prepare:
  • UPDATE all domain controllers with a Windows update released on or after April 8, 2025.
  • MONITOR new events (e.g., Event ID 45 and 21) that will be visible on domain controllers to identify affected certificate authorities.
  • ENABLE Enforcement mode after your environment is now only using logon certificates issued by authorities that are in the NTAuth store.
  • REVIEW AND UPDATE altSecID mappings if needed to ensure compatibility.
 
Additional information:
To learn more about these protections, please see Guidance for applying protections related to CVE-2025-26647.
Machine Translation
2025 年 4 月 8 日の Windows セキュリティ更新プログラムから、 CVE-2025-26647 の保護が段階的に展開され、適用されています。これらの更新により、発行元の証明機関 (CA) が NTAuth ストアにないが、サブジェクト キー識別子 (SKI) マッピングが altSecID 属性に存在する場合の証明書ベースの認証 (CBA) の処理方法が変更されます。
第 2 フェーズである Enforced by Default フェーズは、 本日 2025 年 7 月 8 日に開始されます。
これはいつ行われますか:
2025 年 7 月 8 日: デフォルトによる強制フェーズ
  • 2025 年 7 月 8 日以降にリリースされた更新プログラムでは、既定で NTAuth ストア チェックが適用されます。 AllowNtAuthPolicyBypass レジストリ キー設定を使用すると、必要に応じて監査モードに戻すことができます。ただし、このセキュリティ更新プログラムを完全に無効にする機能は削除されます。
2025 年 10 月 14 日: 強制モード
  • 2025 年 10 月 14 日以降にリリースされた更新プログラムでは、 Microsoft による AllowNtAuthPolicyBypass レジストリ キーのサポートが終了します。この段階では、すべての証明書は、NTAuth ストアの一部である機関によって発行される必要があります。
これが組織に与える影響:
環境で CBA を使用し、NTAuth ストアにない CA からの証明書に依存している場合、強制モードを有効にすると認証が失敗する可能性があります。この変更はドメイン コントローラーに影響し、セキュリティで保護された認証動作を確保するための更新が必要です。新しい監査イベントは、影響を受ける証明書と CA を特定するのに役立ちます。
 
準備するために必要なこと:
  • 2025 年 4 月 8 日以降にリリースされた Windows 更新プログラムで、すべてのドメイン コントローラーを更新します
  • ドメイン コントローラーに表示される新しいイベント (イベント ID 45 や 21 など) を監視して、影響を受ける証明機関を特定します。
  • ENABLE 強制モードは、NTAuth ストア内の機関によって発行されたログオン証明書 のみを使用するようになった後の環境です。
  • 互換性を確保するために、必要に応じて altSecID マッピングを確認および更新します。
 
追加情報:
これらの保護の詳細については、 CVE-2025-26647 に関連する保護の適用に関するガイダンスを参照してください。
Post Views: 46

m365jp.net