微軟近日宣布了一項針對Windows 10、Windows 11及Windows Server系統的重大安全升級計劃,核心在于Kerberos身份認證協議的全面強化。這一變革旨在提升系統的整體安全性能,預計從2025年2月起分階段實施。
根據科技媒體borncity的報道,微軟的這一安全升級策略涵蓋了多個關鍵時間節點與具體措施。首先,2025年1月,PAC(Privilege Attribute Certificate)驗證將強制執行,所有Windows域控制器和客戶端將默認啟用更為嚴格的安全設置。盡管管理員可通過修改注冊表設置暫時恢復兼容模式,但這一變動預示著安全標準的顯著提升。
緊接著,2025年2月,基于證書的身份驗證將迎來第三階段的全面強制執行。屆時,若證書無法被唯一識別,身份驗證將直接失敗,這一舉措無疑將大大提高系統的安全性。同時,微軟還計劃對Kerberos主機名策略的字符串長度進行限制,組策略編輯器允許的最大輸入字符數為1024個,而Kerberos客戶端在讀取主機名列表時,將硬性限制在2048個字符以內。
隨著時間的推移,2025年4月,微軟將移除對PacSignaturevalidationLevel和CrossDomainFilteringLevel注冊表子項的支持,這意味著兼容模式將不再被支持,所有系統必須符合新的安全標準。這一步驟的完成,標志著微軟在Kerberos協議安全性上的進一步強化。
微軟還計劃在2026年1月進一步加強Secure Boot Bypass保護,進入強制執行階段,以進一步提升系統啟動的安全性。這一系列的升級措施,不僅體現了微軟在系統安全方面的持續投入,也要求管理員密切關注這些變化,并提前做好測試和調整工作。
值得注意的是,微軟的這一系列安全升級并非一蹴而就,而是分階段逐步推進。管理員需要充分了解每個階段的具體要求,確保系統能夠平穩過渡,避免潛在的安全風險和兼容性問題。同時,用戶也應保持對系統更新的關注,及時安裝最新的安全補丁,以享受更為安全、穩定的操作系統體驗。
總的來說,微軟此次對Kerberos身份認證協議的全面升級,是其在系統安全領域邁出的重要一步。這一系列措施的實施,不僅將提升Windows系統的整體安全性能,也將為用戶帶來更為安全、可靠的使用體驗。
