如影随形

微软出击进级 Kerberos 身份认证协定，筑起 Win10

发布时间：2025-02-24 08:32编辑：[db:作者]浏览（173）

IT之家 2 月 22 日新闻，科技媒体 borncity 明天（2 月 22 日）宣布博文，报道称微软行将进级 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份认证协定，并于 2025 年 2 月开端分阶段实行。IT之家征引博文先容，依照时光节点，扼要先容了本次调剂内容如下：2025 年 1 月：PAC 验证强迫履行（KB5037754）全部 Windows 域把持器跟客户端将进入强迫形式，默许启用更保险的行动。治理员能够经由过程修正注册表设置，常设规复到兼容形式。2025 年 2 月：证书认证片面强迫（KB5014754）基于证书的身份验证进入第三阶段，片面强迫履行。假如证书无奈被独一辨认，身份验证将会掉败，进步保险性。2025 年 4 月：移除旧注册表项，强迫新保险行动（KB5037754）移除对 PacSignatureValidationLevel 跟 CrossDomainFilteringLevel 注册表子项的支撑，象征着不再支撑兼容形式，全部体系必需合乎新的保险尺度。2026 年 1 月：增强 Secure Boot Bypass 维护（KB5025885）进入强迫履行阶段，进一步晋升体系启动保险性。微软强化 Kerberos 身份认证协定保险战略外，还限度 Kerberos 主机名战略的字符串长度，组战略编纂器最多容许输入 1024 个字符，而 Kerberos 客户端读取主机名列表时，硬性限度为 2048 个字符。微软打算从 2025 年起逐渐增强 Windows 体系的 Kerberos 协定保险性，波及 PAC 验证、证书验证以及字符串长度限度等多个方面。治理员应亲密存眷这些变更，并提行进行测试跟调剂，确保体系安稳过渡，防止潜伏的保险危险跟兼容性成绩。