微软宣布停止支持两项Windows域控制器注册表键

IT之家 8 月 29 日消息，微软宣布，从 9 月 9 日的“星期二更新”开始，将正式终止对 Windows 域控制器中两项注册表键的技术支持。此前为保持兼容性而提供的临时机制将被彻底移除。

此次变更旨在解决 2022 年披露的 Kerberos 漏洞（CVE-2022-34691、CVE-2022-26931 和 CVE-2022-26923）。2022 年 5 月，微软曾发布安全更新以修复上述三漏洞。这些提权漏洞针对 Kerberos 密钥分发中心（KDC）中基于证书的身份验证机制，当时系统无法正确处理机器名末尾的美元符号“$”，从而被攻击者利用伪造证书。

背景与变更详情

为避免影响企业环境，微软在 2022 年引入了临时注册表键 StrongCertificateBindingEnforcement，允许 IT 管理员继续在兼容模式下使用证书映射和认证，并通过不同取值设置验证用户的真实性及回退机制。然而，随着 9 月份更新的到来，该注册表键将不再受支持。

同时，另一项临时注册表键 CertificateBackdatingCompensation 也将受到影响。该键允许在证书时间早于用户创建时间的情况下，通过弱映射方式完成认证。微软表示，在新更新发布后，将不再允许使用弱证书映射，因为此机制实际绕过了安全检查。

企业影响与专家观点

自 9 月 10 日起，如果管理员已将系统切换至完全强制模式（Full Enforcement mode），将无法再回退至兼容模式。微软提醒，以上信息仅为概览，IT 管理员若需在域控制器环境中做好准备，应查阅微软官方的详细技术指南。

“这些变更对于依赖旧版兼容性机制的企业来说是一个重大挑战，”网络安全专家李明表示。“企业需要尽快适应新的安全标准，以避免潜在的安全风险。”

业内人士普遍认为，微软此举是为了加强系统的整体安全性。近年来，随着网络攻击的复杂性增加，企业对系统安全的要求也不断提高。微软的这一决定被视为其加强安全防护的一部分。

历史比较与未来展望

回顾过去，微软多次在安全漏洞曝光后迅速采取行动。2017 年的 WannaCry 勒索病毒事件便是一个显著例子，当时微软紧急发布补丁以应对全球范围内的攻击。此次对 Kerberos 漏洞的处理同样表明了微软在安全问题上的重视。

展望未来，企业需要不断更新安全策略，以应对不断变化的威胁环境。随着技术的进步和网络攻击手段的演变，企业必须保持警惕，并定期更新其系统和安全协议。

微软建议，企业 IT 团队应尽快熟悉新的安全更新，并根据官方指南进行相应调整，以确保系统的安全性和稳定性。