微软正在提醒客户,其5月发布的补丁更新可能会导致与Windows Active Directory域服务相关的认证错误和失败。在周五的更新中,微软说它正在调查这个问题。
一位管理员在Reddit上发布了关于这个话题的帖子,并称该警告是在多个服务和政策安装安全更新失败后发出的。由于用户凭证不匹配,此次认证失败。要么是提供的用户名没有映射到现有的账户,要么是密码不正确。
根据微软的说法,这个问题是在安装2022年5月10日发布的更新后引起的。
微软报告说,在你的域控制器上安装2022年5月10日发布的更新后,你可能会看到服务器或客户端上的认证失败,这些服务包括网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护可扩展认证协议(PEAP)。
微软补充说,现在已经发现了一个关于域控制器处理证书与机器账户的映射有关的漏洞。
域控制器是一个负责响应认证请求以及验证计算机网络上的用户的服务器,活动目录是一种目录服务,它存储了网络上对象的信息,并使这些信息可随时供用户使用。
微软补充说明,此次更新不会影响客户的Windows设备和非域控制器的Windows服务器,只会对作为域控制器的服务器造成问题。
微软解释说,在客户端Windows设备和非域控制器Windows服务器上安装2022年5月10日发布的更新,并不会导致这个问题。这个问题只影响那些作为域控制器的服务器上所安装的2022年5月10日的更新。
由于安全更新导致的认证失败
微软发布了另一份文件,又进一步解释了与解决Windows Kerbose及其活动目录域服务中的特权升级漏洞的安全更新所引起的认证问题的有关细节。
这些漏洞被追踪为Windows Kerberos中的CVE-2022-26931,其高严重度CVSS评分为7.5。还有微软活动目录域服务中的CVE-2022-26923(由安全研究员Oliver Lyak发现),它的CVSS评分为8.8,被评为高等级。如果不打补丁,攻击者可以利用该漏洞,并将权限提升到域管理员的权限。
解决办法
微软建议网域管理员手动将该证书映射到活动目录中的用户,直到官方发布新的组件。
微软补充说,域管理员可以使用用户对象的altSecurityIdentities属性手动将证书映射到活动目录中的用户。
微软报告说,如果首选的缓解措施在你的环境中不起作用,请参见KB5014754-Windows域控制器上基于证书的认证变化,了解使用SChannel注册表键部分的其他可能的缓解措施。
按照微软的说法,其他任何缓解方法都可能无法提供足够的安全加固。
根据微软的说法,2022年5月的更新则允许用户使用所有的认证尝试,除非证书比用户的年龄大。这是因为策略的更新会自动更新StrongCertificateBindingEnforcement注册表键值,它会将KDC的执行模式改为禁用模式、兼容模式或完全执行模式。
一位接受媒体采访的Windows管理员说,在安装补丁后,那么用户可以进行登录的唯一方法是将StrongCertificateBindingEnforcement键值设置为0,从而禁用它。
通过将REG_DWORD DataType值改为0,管理员可以禁用强证书映射检查,并可以从头创建密钥。微软并不推荐这种方法,但这是目前允许所有用户登录的唯一方法。
微软正在对这些问题进行适当的调查,应该很快就会有一个适当的修复方案。
微软最近还发布了5月份更新的73个新补丁的安全修复程序。
本文翻译自:https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如若转载,请注明原文地址。