2 月 22 日消息，科技媒体 borncity 今天（2 月 22 日）发布博文，报道称微软即将升级 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份认证协议，并于 2025 年 2 月开始分阶段实施。
推荐系统：win11系统下载
援引博文介绍，按照时间节点，简要介绍了本次调整内容如下：


2025 年 1 月：PAC 验证强制执行（KB5037754）


所有 Windows 域控制器和客户端将进入强制模式，默认启用更安全的行为。


管理员可以通过修改注册表设置，临时恢复到兼容模式。


2025 年 2 月：证书认证全面强制（KB5014754）


基于证书的身份验证进入第三阶段，全面强制执行。


如果证书无法被唯一识别，身份验证将会失败，提高安全性。


2025 年 4 月：移除旧注册表项，强制新安全行为（KB5037754）


移除对 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注册表子项的支持，意味着不再支持兼容模式，所有系统必须符合新的安全标准。


2026 年 1 月：加强 Secure Boot Bypass 保护（KB5025885）


进入强制执行阶段，进一步提升系统启动安全性。


微软强化 Kerberos 身份认证协议安全策略外，还限制 Kerberos 主机名策略的字符串长度，组策略编辑器最多允许输入 1024 个字符，而 Kerberos 客户端读取主机名列表时，硬性限制为 2048 个字符。


微软计划从 2025 年起逐步加强 Windows 系统的 Kerberos 协议安全性，涉及 PAC 验证、证书验证以及字符串长度限制等多个方面。管理员应密切关注这些变化，并提前进行测试和调整，确保系统平稳过渡，避免潜在的安全风险和兼容性问题。

2 月 22 日消息，科技媒体 borncity 今天（2 月 22 日）发布博文，报道称微软即将升级 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份认证协议，并于 2025 年 2 月开始分阶段实施。
推荐系统：win11系统下载
援引博文介绍，按照时间节点，简要介绍了本次调整内容如下：


2025 年 1 月：PAC 验证强制执行（KB5037754）


所有 Windows 域控制器和客户端将进入强制模式，默认启用更安全的行为。


管理员可以通过修改注册表设置，临时恢复到兼容模式。


2025 年 2 月：证书认证全面强制（KB5014754）


基于证书的身份验证进入第三阶段，全面强制执行。


如果证书无法被唯一识别，身份验证将会失败，提高安全性。


2025 年 4 月：移除旧注册表项，强制新安全行为（KB5037754）


移除对 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注册表子项的支持，意味着不再支持兼容模式，所有系统必须符合新的安全标准。


2026 年 1 月：加强 Secure Boot Bypass 保护（KB5025885）


进入强制执行阶段，进一步提升系统启动安全性。


微软强化 Kerberos 身份认证协议安全策略外，还限制 Kerberos 主机名策略的字符串长度，组策略编辑器最多允许输入 1024 个字符，而 Kerberos 客户端读取主机名列表时，硬性限制为 2048 个字符。


微软计划从 2025 年起逐步加强 Windows 系统的 Kerberos 协议安全性，涉及 PAC 验证、证书验证以及字符串长度限制等多个方面。管理员应密切关注这些变化，并提前进行测试和调整，确保系统平稳过渡，避免潜在的安全风险和兼容性问题。