微软出击升级 Kerberos 身份认证协议，筑起 Win10 / Win11 更强安全防线

IT之家 2 月 22 日最新消息：据科技媒体 borncity 报道，微软将对 Windows 10、Windows 11 和 Windows Server 的 Kerberos 身份认证协议进行升级。预计从 2025 年 2 月起分阶段实施。

根据 IT之家 的报道，这次升级主要内容如下：

2025 年 1 月：PAC 验证强制执行（KB5037754）

• 所有 Windows 域控制器和客户端将默认启用更安全的强制模式。

• 管理员可通过修改注册表设置，临时切换到兼容模式。

2025 年 2 月：证书认证全面强制（KB5014754）

• 基于证书的身份验证将全面强制执行。

• 如果无法唯一识别证书，身份验证将失败，提升安全性。

2025 年 4 月：移除旧注册表项，强制新安全行为（KB5037754）

• 不再支持 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注册表子项，系统需符合新的安全标准，不再兼容旧模式。

2026 年 1 月：加强 Secure Boot Bypass 保护（KB5025885）

• 进一步提升系统启动安全性，强制执行该阶段。

此外，微软还限制了 Kerberos 主机名策略的字符串长度，组策略编辑器最多可输入 1024 个字符，而 Kerberos 客户端读取主机名列表时，字符限制为 2048 个字符。

微软计划自 2025 年开始逐步强化 Windows 系统的 Kerberos 协议安全性，涉及 PAC 验证、证书验证和字符串长度等方面。管理员需要密切关注这些变化，提前测试和调整系统，确保平稳过渡，避免潜在的安全隐患和兼容性问题。

广告声明：本文可能含有外部链接，旨在提供更多信息供参考，敬请留意。