微软计划于2025年起分阶段升级Windows 10、Windows 11及Windows Server的Kerberos身份认证协议，旨在提升系统安全性。升级内容涵盖PAC验证、证书验证以及主机名策略的字符串长度限制。管理员需密切关注这些变化，提前进行测试和调整，以确保系统平稳过渡，避免潜在的安全风险和兼容性问题。本次升级将逐步淘汰旧的安全标准，全面启用更安全的新标准，包括强制执行PAC验证、证书认证，并最终移除对旧注册表项的支持。

🛡️ **PAC 验证强制执行：** 2025年1月起，所有Windows域控制器和客户端将进入强制模式，默认启用更安全的行为。管理员可临时通过修改注册表设置恢复到兼容模式。

🔑 **证书认证全面强制：** 2025年2月，基于证书的身份验证进入第三阶段，全面强制执行。如果证书无法被唯一识别，身份验证将会失败，进一步提高安全性。

🧹 **移除旧注册表项：** 2025年4月，微软将移除对 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注册表子项的支持，意味着不再支持兼容模式，所有系统必须符合新的安全标准。

🔒 **加强 Secure Boot Bypass 保护：** 2026年1月，微软将进一步加强Secure Boot Bypass保护，进入强制执行阶段，以提升系统启动安全性。

📏 **限制主机名策略字符串长度：** 微软还限制Kerberos主机名策略的字符串长度，组策略编辑器最多允许输入1024个字符，而Kerberos客户端读取主机名列表时，硬性限制为2048个字符。

IT之家 2 月 22 日消息，科技媒体 borncity 今天（2 月 22 日）发布博文，报道称微软即将升级 Windows 10、Windows 11 以及 Windows Server 的 Kerberos 身份认证协议，并于 2025 年 2 月开始分阶段实施。

IT之家援引博文介绍，按照时间节点，简要介绍了本次调整内容如下：

2025 年 1 月：PAC 验证强制执行（KB5037754）

所有 Windows 域控制器和客户端将进入强制模式，默认启用更安全的行为。

管理员可以通过修改注册表设置，临时恢复到兼容模式。

2025 年 2 月：证书认证全面强制（KB5014754）

基于证书的身份验证进入第三阶段，全面强制执行。

如果证书无法被唯一识别，身份验证将会失败，提高安全性。

2025 年 4 月：移除旧注册表项，强制新安全行为（KB5037754）

移除对 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 注册表子项的支持，意味着不再支持兼容模式，所有系统必须符合新的安全标准。

2026 年 1 月：加强 Secure Boot Bypass 保护（KB5025885）

进入强制执行阶段，进一步提升系统启动安全性。

微软强化 Kerberos 身份认证协议安全策略外，还限制 Kerberos 主机名策略的字符串长度，组策略编辑器最多允许输入 1024 个字符，而 Kerberos 客户端读取主机名列表时，硬性限制为 2048 个字符。

微软计划从 2025 年起逐步加强 Windows 系统的 Kerberos 协议安全性，涉及 PAC 验证、证书验证以及字符串长度限制等多个方面。管理员应密切关注这些变化，并提前进行测试和调整，确保系统平稳过渡，避免潜在的安全风险和兼容性问题。