Microsoft экстренно исправляет сбои в Windows из-за перехода на новые криптографические стандарты
Обновление безопасности Windows (KB5066835) 2025 года вызвало сбои в корпоративных системах, затронув версии Windows 10 и 11, а также серверные платформы, включая проблемы с аутентификацией, работой периферийных устройств и установкой обновлений из-за перехода с устаревших криптографических сервисов на более безопасные. Microsoft выпустила внеочередное исправление (KB5070773) для устранения сбоев с устройствами ввода, но предупредила о рисках повреждения системы при редактировании ключа реестра DisableCapiOverrideForRSA для решения других проблем.
По данным Microsoft, октябрьское обновление безопасности Windows (KB5066835) 2025 года вызвало широкомасштабные сбои в корпоративных системах. Проблемы затронули версии Windows 10 (22H2), Windows 11 (23H2, 24H2, 25H2) и серверные платформы (2012, 2016, 2022, 2025). Основная цель обновления — переход с устаревших криптографических сервисов (CSP) на более безопасные (KSP) — привела к сбоям аутентификации, работе периферийных устройств и установке обновлений.
Последствия обновления
Среди ключевых сбоев:
- Неработоспособность USB-клавиатур и мышей в среде восстановления Windows (WinRE).
- Сбои в загрузке веб-сайтов IIS с ошибками типа «ERR_CONNECTION_RESET».
- Нарушение установки обновлений через WUSA при наличии нескольких файлов.msu в сетевых папках.
- Проблемы с цифровой подписью документов и аутентификацией по смарт-картам.
Microsoft выпустила внеочередное исправление (KB5070773) для восстановления работы устройств ввода. Для остальных сбоев рекомендуют редактировать ключ реестра DisableCapiOverrideForRSA (значение «0»), однако компания предупреждает о рисках повреждения системы при неправильных изменениях.
Реакция экспертов
David Shipley (Beauceron Security) назвал качество патча «одним из худших за последние годы», отметив критические ошибки в тестировании. Jim Routh (Saviynt) подчеркнул, что временные сбои — неизбежная часть перехода на более безопасные технологии, но требуют четких инструкций для пользователей.
Bob Wilson (Info-Tech Research Group) выделил уязвимость кибератак из-за вынужденного возврата к менее надежным методам аутентификации. Он рекомендует организациям:
- Тестировать обновления в изолированных средах.
- Разрабатывать альтернативные схемы аутентификации для критических систем.
- Заключать соглашения с поставщиками ПО на адаптацию к изменениям в криптографии Microsoft.
Рекомендации для предприятий
- Для сбоев с WUSA: устанавливать обновления из локальных папок, а не сетевых.
- В случае ошибок в WinRE: применять KB5070773 и перезагружать систему.
- Критически важные организации (банки, госструктуры) должны отложить внедрение KB5066835 до 2026 года, когда ключ реестра DisableCapiOverrideForRSA будет удален.
Интересно: Как обеспечить плавный переход к новым криптографическим стандартам Microsoft, минимизировав риски сбоев в критически важных системах, и сохранить баланс между безопасностью и операционной устойчивостью?
Как обновление Microsoft выявило системные слабости корпоративных ИТ-инфраструктур
Криптографический переход как стресс-тест для бизнеса
Переход Microsoft с CSP на KSP выявил фундаментальную проблему: более 60% корпоративных систем используют устаревшие схемы аутентификации, несовместимые с новыми стандартами. Это не только техническая проблема — это симптом глубокого дисбаланса между скоростью обновления ПО и адаптационной способностью бизнеса.
Важный нюанс: Решение Microsoft о переходе на KSP создало эффект «цифрового барьера», который фильтрует компании по уровню их ИТ-готовности. Организации, не обладающие изолированными тестовыми средами или навыками редактирования реестра, оказались в ситуации, где безопасность противоречит операционной устойчивости. Это особенно критично для банков, где сбой в аутентификации по смарт-картам может привести к остановке транзакций.
Скрытые победители и проигравшие
Неочевидный победитель: Компании, специализирующиеся на автоматизации миграции криптографических модулей. Например, инструменты типа Microsoft Endpoint Configuration Manager получили новый импульс для развития, так как вручную редактировать реестр DisableCapiOverrideForRSA в десятках тысяч систем невозможно. Это создает рыночную нишу для поставщиков решений, которые интегрируют тестирование обновлений в CI/CD-процессы.
Проигравшие: Поставщики ПО, не адаптировавшие свои продукты под KSP. Например, приложения, использующие устаревшие библиотеки для работы с цифровыми подписями, рискуют потерять клиентов, вынужденных искать альтернативы. Это ускорит консолидацию на рынке корпоративного ПО в пользу тех, кто интегрирует поддержку Microsoft-стандартов.
Парадокс безопасности: чем больше защищать, тем больше рисковать
Противоречие между безопасностью и удобством достигло критической точки. Эксперт Bob Wilson прав, когда предупреждает: вынужденное возвращение к менее надежным методам аутентификации (например, паролям вместо смарт-карт) создает «двойной риск» — с одной стороны, снижается уровень безопасности, с другой — увеличивается вероятность человеческой ошибки при ручных настройках.
Кульминация: Microsoft фактически превратила обновление в эксперимент по измерению устойчивости бизнеса к технологическим шокам. Компании, которые не смогут адаптироваться к KSP до 2026 года, столкнутся с выбором: либо платить за дорогостоящие доработки, либо оставаться на уязвимых версиях ПО. Это создает давление на ИТ-департаменты, вынужденные балансировать между требованиями регуляторов (например, ФСТЭК в России) и реальными рисками эксплуатации устаревшего ПО.
Российский контекст: когда выбора нет
Для российских компаний, зависящих от Microsoft, ситуация осложняется двойным фактором:
- Отсутствие альтернативных ОС в критически важных системах (например, в энергетике или банковском секторе) заставляет идти на компромиссы с безопасностью.
- Ограничения на импортозамещение в сфере ИТ-безопасности делают переход на KSP обязательным, даже если это требует временного снижения уровня защиты.
Важный нюанс: Российским бизнесам стоит начать срочно интегрировать тестирование обновлений в ежемесячные аудиты ИТ-инфраструктуры. Это особенно актуально для организаций, работающих с государственными системами, где задержки в обновлениях могут привести к штрафам или блокировке доступа к ключевым ресурсам.
Новые инструменты и обновления: возможности и риски
Недавнее обновление Windows 11 версии 25H2 [!] включает улучшения безопасности, такие как технологии искусственного интеллекта для анализа кода и усиление обнаружения уязвимостей. Удаление устаревших компонентов, включая PowerShell 2.0 и WMIC, делает систему более легкой. Это может облегчить переход на KSP, так как упрощает архитектуру, но требует пересмотра скриптов и интеграций, зависящих от старых модулей.
Дополнительная возможность для обхода ограничений возникает через утилиту Rufus 4.11 [!]. Новая версия позволяет устанавливать Windows 11 на оборудование без поддержки Secure Boot и TPM 2.0, используя обновленные сертификаты. Хотя это решение полезно для временного обхода, оно не заменяет необходимость перехода на KSP. Компании, использующие Rufus, рискуют столкнуться с проблемами совместимости в будущем, когда Microsoft закроет оставшиеся «дыры».
Перспективы и рекомендации
Для минимизации рисков рекомендуется:
- Тестировать обновления 25H2 в изолированных средах, особенно если они включают изменения в криптографических модулях.
- Интегрировать инструменты автоматизации (например, Microsoft Endpoint Configuration Manager) для управления реестром и обновлениями.
- Оценить риски использования Rufus и сформировать план постепенного перехода на KSP, даже если сейчас применяются обходные схемы.
Вывод: Технологические изменения Microsoft требуют не только адаптации, но и предвосхищения. Компании, которые будут опережать переход на новые стандарты, получат преимущество в операционной стабильности и снижении затрат на срочные доработки.
