Microsoft: Майские обновления Windows вызывают сбои аутентификации AD

7
Аварийные обновления Microsoft устраняют проблемы аутентификации Windows AD

Компания Microsoft расследует известную проблему, вызывающую сбои аутентификации для некоторых служб Windows после установки обновлений, выпущенных во вторник исправлений 2022 мая.

Это произошло после того, как администраторы Windows начали делиться сообщениями о сбоях в некоторых политиках после установки обновлений безопасности этого месяца с ошибкой «Аутентификация не прошла из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не сопоставлено с существующей учетной записью, либо пароль был неверным.» ошибки.

Проблема затрагивает клиентские и серверные платформы Windows и системы, работающие под управлением всех версий Windows, включая последние доступные выпуски (Windows 11 и Windows Server 2022).

Microsoft утверждает, что известная проблема возникает только после установки обновлений на серверы, используемые в качестве контроллеров домена. Обновления не окажут негативного влияния при установке на клиентские устройства Windows и серверы Windows Servers, не являющиеся контроллерами домена.

«После установки обновлений, выпущенных 10 мая 2022 года, на контроллерах домена могут наблюдаться сбои аутентификации на сервере или клиенте для таких служб, как Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP)», — поясняет Microsoft.

«Была обнаружена проблема, связанная с тем, как сопоставление сертификатов с учетными записями машин обрабатывается контроллером домена».

Редмонд изучает эту недавно обнаруженную проблему и предоставит обновление, устраняющее ее, в одном из ближайших выпусков.

Вызвано обновлениями безопасности, доступно обходное решение

Microsoft объясняет в отдельном документе поддержки, что эти продолжающиеся проблемы с аутентификацией служб вызваны обновлениями безопасности, устраняющими CVE-2022-26931 и CVE-2022-26923, две уязвимости повышения привилегий в Windows Kerberos и Active Directory Domain Services.

Более серьезная из них, CVE-2022-26923 (обнаруженная исследователем безопасности Оливером Ляком и получившая название Certifried), может позволить злоумышленникам с доступом к низкопривилегированной учетной записи повысить привилегии до администратора домена в конфигурациях Active Directory по умолчанию.

Для устранения известной проблемы до выхода официального обновления Microsoft рекомендует вручную сопоставить сертификаты с учетной записью машины в Active Directory.

«Если предпочтительное решение не сработает в вашей среде, обратитесь к разделу ‘KB5014754-Certificate-based authentication changes on Windows domain controllers’ для других возможных решений в разделе ключа реестра SChannel», — добавили в компании.

«Любые другие меры смягчения, кроме предпочтительных, могут снизить или отключить усиление безопасности».

Microsoft утверждает, что обновления от мая 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, который изменяет режим применения Kerberos Distribution Center (KDC) на режим совместимости (что должно разрешить все попытки авторизации, если только сертификат не старше, чем у пользователя).

Однако администратор Windows сообщил BleepingComputer, что единственный способ заставить некоторых пользователей войти в систему с этим обновлением — отключить ключ StrongCertificateBindingEnforcement, установив его в 0.

Если вы не найдете этот ключ в реестре, создайте его с нуля с помощью типа данных REG_DWORD и установите его в 0, чтобы отключить проверку сильного сопоставления сертификатов (хотя это не рекомендуется компанией Microsoft, это единственный способ позволить всем пользователям войти в систему).

В ноябре Microsoft также устранила сбои аутентификации Windows Server, связанные со сценариями делегирования Kerberos на контроллерах домена (DC) с помощью внеполосных обновлений.

Предыдущая статьяMicrosoft: Срок службы Windows 10 20H2 истек
Следующая статьяИгровой зал Вулкан24 — лучшие бесплатные слоты со всего мира
Главный редактор сайта освещающий последние игровые новости и рассказывающий занимательные геймерские истории. Большой фанат онлайн-игр. Пополняет каталог проекта самыми интересными играми. Когда он не работает, вы, несомненно, можете найти его играющего в один из последних тайтлов.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь