微软近日宣布了一项针对Windows 10、Windows 11及Windows Server系统的重大安全升级计划,核心在于Kerberos身份认证协议的全面强化。这一变革旨在提升系统的整体安全性能,预计从2025年2月起分阶段实施。
根据科技媒体borncity的报道,微软的这一安全升级策略涵盖了多个关键时间节点与具体措施。首先,2025年1月,PAC(Privilege Attribute Certificate)验证将强制执行,所有Windows域控制器和客户端将默认启用更为严格的安全设置。尽管管理员可通过修改注册表设置暂时恢复兼容模式,但这一变动预示着安全标准的显著提升。
紧接着,2025年2月,基于证书的身份验证将迎来第三阶段的全面强制执行。届时,若证书无法被唯一识别,身份验证将直接失败,这一举措无疑将大大提高系统的安全性。同时,微软还计划对Kerberos主机名策略的字符串长度进行限制,组策略编辑器允许的最大输入字符数为1024个,而Kerberos客户端在读取主机名列表时,将硬性限制在2048个字符以内。
随着时间的推移,2025年4月,微软将移除对PacSignaturevalidationLevel和CrossDomainFilteringLevel注册表子项的支持,这意味着兼容模式将不再被支持,所有系统必须符合新的安全标准。这一步骤的完成,标志着微软在Kerberos协议安全性上的进一步强化。
微软还计划在2026年1月进一步加强Secure Boot Bypass保护,进入强制执行阶段,以进一步提升系统启动的安全性。这一系列的升级措施,不仅体现了微软在系统安全方面的持续投入,也要求管理员密切关注这些变化,并提前做好测试和调整工作。
值得注意的是,微软的这一系列安全升级并非一蹴而就,而是分阶段逐步推进。管理员需要充分了解每个阶段的具体要求,确保系统能够平稳过渡,避免潜在的安全风险和兼容性问题。同时,用户也应保持对系统更新的关注,及时安装最新的安全补丁,以享受更为安全、稳定的操作系统体验。
总的来说,微软此次对Kerberos身份认证协议的全面升级,是其在系统安全领域迈出的重要一步。这一系列措施的实施,不仅将提升Windows系统的整体安全性能,也将为用户带来更为安全、可靠的使用体验。
