微軟正在提醒客戶�����,其5月發(fā)布的補(bǔ)丁更新可能會(huì)導(dǎo)致與Windows Active Directory域服務(wù)相關(guān)的認(rèn)證錯(cuò)誤和失敗����。在周五的更新中���,微軟說它正在調(diào)查這個(gè)問題��。
一位管理員在Reddit上發(fā)布了關(guān)于這個(gè)話題的帖子�����,并稱該警告是在多個(gè)服務(wù)和政策安裝安全更新失敗后發(fā)出的����。由于用戶憑證不匹配,此次認(rèn)證失敗�����。要么是提供的用戶名沒有映射到現(xiàn)有的賬戶���,要么是密碼不正確����。
根據(jù)微軟的說法���,這個(gè)問題是在安裝2022年5月10日發(fā)布的更新后引起的���。
微軟報(bào)告說,在你的域控制器上安裝2022年5月10日發(fā)布的更新后�����,你可能會(huì)看到服務(wù)器或客戶端上的認(rèn)證失敗�����,這些服務(wù)包括網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由和遠(yuǎn)程訪問服務(wù)(RRAS)���、Radius、可擴(kuò)展認(rèn)證協(xié)議(EAP)和受保護(hù)可擴(kuò)展認(rèn)證協(xié)議(PEAP)���。
微軟補(bǔ)充說�,現(xiàn)在已經(jīng)發(fā)現(xiàn)了一個(gè)關(guān)于域控制器處理證書與機(jī)器賬戶的映射有關(guān)的漏洞��。
域控制器是一個(gè)負(fù)責(zé)響應(yīng)認(rèn)證請(qǐng)求以及驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)上的用戶的服務(wù)器�,活動(dòng)目錄是一種目錄服務(wù),它存儲(chǔ)了網(wǎng)絡(luò)上對(duì)象的信息����,并使這些信息可隨時(shí)供用戶使用。
微軟補(bǔ)充說明���,此次更新不會(huì)影響客戶的Windows設(shè)備和非域控制器的Windows服務(wù)器�����,只會(huì)對(duì)作為域控制器的服務(wù)器造成問題�。
微軟解釋說,在客戶端Windows設(shè)備和非域控制器Windows服務(wù)器上安裝2022年5月10日發(fā)布的更新��,并不會(huì)導(dǎo)致這個(gè)問題���。這個(gè)問題只影響那些作為域控制器的服務(wù)器上所安裝的2022年5月10日的更新�。
由于安全更新導(dǎo)致的認(rèn)證失敗
微軟發(fā)布了另一份文件�����,又進(jìn)一步解釋了與解決Windows Kerbose及其活動(dòng)目錄域服務(wù)中的特權(quán)升級(jí)漏洞的安全更新所引起的認(rèn)證問題的有關(guān)細(xì)節(jié)�����。
這些漏洞被追蹤為Windows Kerberos中的CVE-2022-26931�,其高嚴(yán)重度CVSS評(píng)分為7.5。還有微軟活動(dòng)目錄域服務(wù)中的CVE-2022-26923(由安全研究員Oliver Lyak發(fā)現(xiàn))���,它的CVSS評(píng)分為8.8����,被評(píng)為高等級(jí)����。如果不打補(bǔ)丁����,攻擊者可以利用該漏洞���,并將權(quán)限提升到域管理員的權(quán)限���。
解決辦法
微軟建議網(wǎng)域管理員手動(dòng)將該證書映射到活動(dòng)目錄中的用戶,直到官方發(fā)布新的組件����。
微軟補(bǔ)充說��,域管理員可以使用用戶對(duì)象的altSecurityIdentities屬性手動(dòng)將證書映射到活動(dòng)目錄中的用戶�����。
微軟報(bào)告說�,如果首選的緩解措施在你的環(huán)境中不起作用,請(qǐng)參見KB5014754-Windows域控制器上基于證書的認(rèn)證變化����,了解使用SChannel注冊(cè)表鍵部分的其他可能的緩解措施。
按照微軟的說法�����,其他任何緩解方法都可能無法提供足夠的安全加固。
根據(jù)微軟的說法����,2022年5月的更新則允許用戶使用所有的認(rèn)證嘗試,除非證書比用戶的年齡大�。這是因?yàn)椴呗缘母聲?huì)自動(dòng)更新StrongCertificateBindingEnforcement注冊(cè)表鍵值,它會(huì)將KDC的執(zhí)行模式改為禁用模式��、兼容模式或完全執(zhí)行模式��。
一位接受媒體采訪的Windows管理員說���,在安裝補(bǔ)丁后����,那么用戶可以進(jìn)行登錄的唯一方法是將StrongCertificateBindingEnforcement鍵值設(shè)置為0����,從而禁用它。
通過將REG_DWORD DataType值改為0���,管理員可以禁用強(qiáng)證書映射檢查�����,并可以從頭創(chuàng)建密鑰��。微軟并不推薦這種方法����,但這是目前允許所有用戶登錄的唯一方法。
微軟正在對(duì)這些問題進(jìn)行適當(dāng)?shù)恼{(diào)查����,應(yīng)該很快就會(huì)有一個(gè)適當(dāng)?shù)男迯?fù)方案。
微軟最近還發(fā)布了5月份更新的73個(gè)新補(bǔ)丁的安全修復(fù)程序��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
