微軟正在提醒客戶，其5月發(fā)布的補(bǔ)丁更新可能會(huì)導(dǎo)致與Windows Active Directory域服務(wù)相關(guān)的認(rèn)證錯(cuò)誤和失敗。在周五的更新中，微軟說它正在調(diào)查這個(gè)問題。

一位管理員在Reddit上發(fā)布了關(guān)于這個(gè)話題的帖子，并稱該警告是在多個(gè)服務(wù)和政策安裝安全更新失敗后發(fā)出的。由于用戶憑證不匹配，此次認(rèn)證失敗。要么是提供的用戶名沒有映射到現(xiàn)有的賬戶，要么是密碼不正確。

根據(jù)微軟的說法，這個(gè)問題是在安裝2022年5月10日發(fā)布的更新后引起的。

微軟報(bào)告說，在你的域控制器上安裝2022年5月10日發(fā)布的更新后，你可能會(huì)看到服務(wù)器或客戶端上的認(rèn)證失敗，這些服務(wù)包括網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由和遠(yuǎn)程訪問服務(wù)(RRAS)、Radius、可擴(kuò)展認(rèn)證協(xié)議(EAP)和受保護(hù)可擴(kuò)展認(rèn)證協(xié)議(PEAP)。

微軟補(bǔ)充說，現(xiàn)在已經(jīng)發(fā)現(xiàn)了一個(gè)關(guān)于域控制器處理證書與機(jī)器賬戶的映射有關(guān)的漏洞。

域控制器是一個(gè)負(fù)責(zé)響應(yīng)認(rèn)證請求以及驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)上的用戶的服務(wù)器，活動(dòng)目錄是一種目錄服務(wù)，它存儲(chǔ)了網(wǎng)絡(luò)上對(duì)象的信息，并使這些信息可隨時(shí)供用戶使用。

微軟補(bǔ)充說明，此次更新不會(huì)影響客戶的Windows設(shè)備和非域控制器的Windows服務(wù)器，只會(huì)對(duì)作為域控制器的服務(wù)器造成問題。

微軟解釋說，在客戶端Windows設(shè)備和非域控制器Windows服務(wù)器上安裝2022年5月10日發(fā)布的更新，并不會(huì)導(dǎo)致這個(gè)問題。這個(gè)問題只影響那些作為域控制器的服務(wù)器上所安裝的2022年5月10日的更新。

由于安全更新導(dǎo)致的認(rèn)證失敗

微軟發(fā)布了另一份文件，又進(jìn)一步解釋了與解決Windows Kerbose及其活動(dòng)目錄域服務(wù)中的特權(quán)升級(jí)漏洞的安全更新所引起的認(rèn)證問題的有關(guān)細(xì)節(jié)。

這些漏洞被追蹤為Windows Kerberos中的CVE-2022-26931，其高嚴(yán)重度CVSS評(píng)分為7.5。還有微軟活動(dòng)目錄域服務(wù)中的CVE-2022-26923(由安全研究員Oliver Lyak發(fā)現(xiàn))，它的CVSS評(píng)分為8.8，被評(píng)為高等級(jí)。如果不打補(bǔ)丁，攻擊者可以利用該漏洞，并將權(quán)限提升到域管理員的權(quán)限。

解決辦法

微軟建議網(wǎng)域管理員手動(dòng)將該證書映射到活動(dòng)目錄中的用戶，直到官方發(fā)布新的組件。

微軟補(bǔ)充說，域管理員可以使用用戶對(duì)象的altSecurityIdentities屬性手動(dòng)將證書映射到活動(dòng)目錄中的用戶。

微軟報(bào)告說，如果首選的緩解措施在你的環(huán)境中不起作用，請參見KB5014754-Windows域控制器上基于證書的認(rèn)證變化，了解使用SChannel注冊表鍵部分的其他可能的緩解措施。

按照微軟的說法，其他任何緩解方法都可能無法提供足夠的安全加固。

根據(jù)微軟的說法，2022年5月的更新則允許用戶使用所有的認(rèn)證嘗試，除非證書比用戶的年齡大。這是因?yàn)椴呗缘母聲?huì)自動(dòng)更新StrongCertificateBindingEnforcement注冊表鍵值，它會(huì)將KDC的執(zhí)行模式改為禁用模式、兼容模式或完全執(zhí)行模式。

一位接受媒體采訪的Windows管理員說，在安裝補(bǔ)丁后，那么用戶可以進(jìn)行登錄的唯一方法是將StrongCertificateBindingEnforcement鍵值設(shè)置為0，從而禁用它。

通過將REG_DWORD DataType值改為0，管理員可以禁用強(qiáng)證書映射檢查，并可以從頭創(chuàng)建密鑰。微軟并不推薦這種方法，但這是目前允許所有用戶登錄的唯一方法。

微軟正在對(duì)這些問題進(jìn)行適當(dāng)?shù)恼{(diào)查，應(yīng)該很快就會(huì)有一個(gè)適當(dāng)?shù)男迯?fù)方案。

微軟最近還發(fā)布了5月份更新的73個(gè)新補(bǔ)丁的安全修復(fù)程序。

本文翻譯自：https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如若轉(zhuǎn)載，請注明原文地址。