微软 5 月份的更新导致 Windows AD 认证错误
微软正在提醒客户,其 5 月发布的补丁更新可能会导致与 Windows Active Directory 域服务相关的认证错误和失败。
微软正在提醒客户,其 5 月发布的补丁更新可能会导致与 Windows Active Directory 域服务相关的认证错误和失败。在周五的更新中,微软说它正在调查这个问题。
一位管理员在 Reddit 上发布了关于这个话题的帖子,并称该警告是在多个服务和政策安装安全更新失败后发出的。由于用户凭证不匹配,此次认证失败。要么是提供的用户名没有映射到现有的账户,要么是密码不正确。
根据微软的说法,这个问题是在安装 2022 年 5 月 10 日发布的更新后引起的。
微软报告说,在你的域控制器上安装 2022 年 5 月 10 日发布的更新后,你可能会看到服务器或客户端上的认证失败,这些服务包括网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护可扩展认证协议(PEAP)。
微软补充说,现在已经发现了一个关于域控制器处理证书与机器账户的映射有关的漏洞。
域控制器是一个负责响应认证请求以及验证计算机网络上的用户的服务器,活动目录是一种目录服务,它存储了网络上对象的信息,并使这些信息可随时供用户使用。
微软补充说明,此次更新不会影响客户的 Windows 设备和非域控制器的 Windows 服务器,只会对作为域控制器的服务器造成问题。
微软解释说,在客户端 Windows 设备和非域控制器 Windows 服务器上安装 2022 年 5 月 10 日发布的更新,并不会导致这个问题。这个问题只影响那些作为域控制器的服务器上所安装的 2022 年 5 月 10 日的更新。
由于安全更新导致的认证失败
微软发布了另一份文件,又进一步解释了与解决 Windows Kerbose 及其活动目录域服务中的特权升级漏洞的安全更新所引起的认证问题的有关细节。
这些漏洞被追踪为 Windows Kerberos 中的 CVE-2022-26931,其高严重度 CVSS 评分为 7.5。还有微软活动目录域服务中的 CVE-2022-26923(由安全研究员 Oliver Lyak 发现),它的 CVSS 评分为 8.8,被评为高等级。如果不打补丁,攻击者可以利用该漏洞,并将权限提升到域管理员的权限。
解决办法
微软建议网域管理员手动将该证书映射到活动目录中的用户,直到官方发布新的组件。
微软补充说,域管理员可以使用用户对象的 altSecurityIdentities 属性手动将证书映射到活动目录中的用户。
微软报告说,如果首选的缓解措施在你的环境中不起作用,请参见 KB5014754-Windows 域控制器上基于证书的认证变化,了解使用 SChannel 注册表键部分的其他可能的缓解措施。
按照微软的说法,其他任何缓解方法都可能无法提供足够的安全加固。
根据微软的说法,2022 年 5 月的更新则允许用户使用所有的认证尝试,除非证书比用户的年龄大。这是因为策略的更新会自动更新 StrongCertificateBindingEnforcement 注册表键值,它会将 KDC 的执行模式改为禁用模式、兼容模式或完全执行模式。
一位接受媒体采访的 Windows 管理员说,在安装补丁后,那么用户可以进行登录的唯一方法是将 StrongCertificateBindingEnforcement 键值设置为 0,从而禁用它。
通过将 REG_DWORD DataType 值改为 0,管理员可以禁用强证书映射检查,并可以从头创建密钥。微软并不推荐这种方法,但这是目前允许所有用户登录的唯一方法。
微软正在对这些问题进行适当的调查,应该很快就会有一个适当的修复方案。
微软最近还发布了 5 月份更新的 73 个新补丁的安全修复程序。
本文翻译自:https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如若转载,请注明原文地址。
文章来源:嘶吼网
版权声明:
作者:神秘***派
链接:https://dbmer.com/it-zx/windows-ad/
来源:系统派-轻松玩转苹果系统的少数派
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论