微軟近日宣布了一項(xiàng)針對(duì)Windows 10、Windows 11及Windows Server系統(tǒng)的重大安全升級(jí)計(jì)劃，核心在于Kerberos身份認(rèn)證協(xié)議的全面強(qiáng)化。這一變革旨在提升系統(tǒng)的整體安全性能，預(yù)計(jì)從2025年2月起分階段實(shí)施。

根據(jù)科技媒體borncity的報(bào)道，微軟的這一安全升級(jí)策略涵蓋了多個(gè)關(guān)鍵時(shí)間節(jié)點(diǎn)與具體措施。首先，2025年1月，PAC（Privilege Attribute Certificate）驗(yàn)證將強(qiáng)制執(zhí)行，所有Windows域控制器和客戶端將默認(rèn)啟用更為嚴(yán)格的安全設(shè)置。盡管管理員可通過(guò)修改注冊(cè)表設(shè)置暫時(shí)恢復(fù)兼容模式，但這一變動(dòng)預(yù)示著安全標(biāo)準(zhǔn)的顯著提升。

緊接著，2025年2月，基于證書(shū)的身份驗(yàn)證將迎來(lái)第三階段的全面強(qiáng)制執(zhí)行。屆時(shí)，若證書(shū)無(wú)法被唯一識(shí)別，身份驗(yàn)證將直接失敗，這一舉措無(wú)疑將大大提高系統(tǒng)的安全性。同時(shí)，微軟還計(jì)劃對(duì)Kerberos主機(jī)名策略的字符串長(zhǎng)度進(jìn)行限制，組策略編輯器允許的最大輸入字符數(shù)為1024個(gè)，而Kerberos客戶端在讀取主機(jī)名列表時(shí)，將硬性限制在2048個(gè)字符以內(nèi)。

隨著時(shí)間的推移，2025年4月，微軟將移除對(duì)PacSignaturevalidationLevel和CrossDomainFilteringLevel注冊(cè)表子項(xiàng)的支持，這意味著兼容模式將不再被支持，所有系統(tǒng)必須符合新的安全標(biāo)準(zhǔn)。這一步驟的完成，標(biāo)志著微軟在Kerberos協(xié)議安全性上的進(jìn)一步強(qiáng)化。

微軟還計(jì)劃在2026年1月進(jìn)一步加強(qiáng)Secure Boot Bypass保護(hù)，進(jìn)入強(qiáng)制執(zhí)行階段，以進(jìn)一步提升系統(tǒng)啟動(dòng)的安全性。這一系列的升級(jí)措施，不僅體現(xiàn)了微軟在系統(tǒng)安全方面的持續(xù)投入，也要求管理員密切關(guān)注這些變化，并提前做好測(cè)試和調(diào)整工作。

值得注意的是，微軟的這一系列安全升級(jí)并非一蹴而就，而是分階段逐步推進(jìn)。管理員需要充分了解每個(gè)階段的具體要求，確保系統(tǒng)能夠平穩(wěn)過(guò)渡，避免潛在的安全風(fēng)險(xiǎn)和兼容性問(wèn)題。同時(shí)，用戶也應(yīng)保持對(duì)系統(tǒng)更新的關(guān)注，及時(shí)安裝最新的安全補(bǔ)丁，以享受更為安全、穩(wěn)定的操作系統(tǒng)體驗(yàn)。

總的來(lái)說(shuō)，微軟此次對(duì)Kerberos身份認(rèn)證協(xié)議的全面升級(jí)，是其在系統(tǒng)安全領(lǐng)域邁出的重要一步。這一系列措施的實(shí)施，不僅將提升Windows系統(tǒng)的整體安全性能，也將為用戶帶來(lái)更為安全、可靠的使用體驗(yàn)。