最近,微软证实了一个重大的 Windows 服务器问题,即域控制器(DC)存在 LSASS 内存泄漏,在极端情况下,它会导致在接受 Kerberos 身份验证请求时意外重启。幸运的是,该公司通过带外更新在几天内就修复了这一问题。
同时,该公司最近还更新了 DC 加固时间表。在其网站上的一份新的支持文档中,该公司删除了 2024 年 2 月的条目,因为它与加固无关。
在支持文章的更新日志中,微软写道:
March 10, 2024
修订了 "每月" 时间轴,增加了更多与硬化相关的内容,并从时间轴中删除了与硬化无关的 2024 年 2 月条目。
对于那些想知道的人来说,DC 安全加固是对运行 Azure Active Directory(AD)的服务器进行强化的过程,目的是降低未经授权访问和数据泄露的风险。该公司上一次发布更新时间表还要追溯到 2023 年 4 月,详细说明了截至 2024 年 1 月即将发生的变化。
新的时间表增加了直至 2025 年 2 月的指导和关键日期。2024 年 4 月是针对 BlackLotus 安全启动旁路的第三个部署阶段,随后将在 10 月进入强制执行阶段。
详情请见下文:
April 2024
- 安全启动旁路保护 KB5025885 | 第 3 阶段
第三个部署阶段。该阶段将增加更多的启动管理器缓解措施。该阶段的启动时间不会早于 2024 年 4 月 9 日。
October 2024 或更晚
- 安全启动旁路保护 KB5025885 | 第 3 阶段
强制执行阶段。在为所有受影响的系统安装 Windows 更新后,撤销(代码完整性启动策略和安全启动禁止列表)将以编程方式强制执行,且没有禁用选项。
February 2025 或更晚
- 基于证书的身份验证 KB5014754 | 第 3 阶段
完全执行模式。如果证书无法强映射,则会拒绝验证。
您可以在微软网站上的官方支持文档(KB5036534)中找到完整的时间表详情:
