微軟升級Kerberos身份認證協議，築起 Win10/Win11 更強安全防線

IT之家 2 月 22 日消息，科技媒體 borncity 今天（2 月 22 日）發佈博文，報道稱微軟即將升級 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份認證協議，並於 2025 年 2 月開始分階段實施。

IT之家援引博文介紹，按照時間節點，簡要介紹了本次調整內容如下：

2025 年 1 月：PAC 驗證強制執行（KB5037754）

所有 Windows 域控制器和客戶端將進入強制模式，默認啓用更安全的行爲。

管理員可以通過修改註冊表設置，臨時恢復到兼容模式。

2025 年 2 月：證書認證全面強制（KB5014754）

基於證書的身份驗證進入第三階段，全面強制執行。

如果證書無法被唯一識別，身份驗證將會失敗，提高安全性。

2025 年 4 月：移除舊註冊表項，強制新安全行爲（KB5037754）

移除對 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 註冊表子項的支持，意味着不再支持兼容模式，所有系統必須符合新的安全標準。

2026 年 1 月：加強 Secure Boot Bypass 保護（KB5025885）

進入強制執行階段，進一步提升系統啓動安全性。

微軟強化 Kerberos 身份認證協議安全策略外，還限制 Kerberos 主機名策略的字符串長度，組策略編輯器最多允許輸入 1024 個字符，而 Kerberos 客戶端讀取主機名列表時，硬性限制爲 2048 個字符。

微軟計劃從 2025 年起逐步加強 Windows 系統的 Kerberos 協議安全性，涉及 PAC 驗證、證書驗證以及字符串長度限制等多個方面。管理員應密切關注這些變化，並提前進行測試和調整，確保系統平穩過渡，避免潛在的安全風險和兼容性問題。