微軟正在提醒客戶，其5月發(fā)布的補丁更新可能會導致與Windows Active Directory域服務(wù)相關(guān)的認證錯誤和失敗。在周五的更新中，微軟說它正在調(diào)查這個問題。

一位管理員在Reddit上發(fā)布了關(guān)于這個話題的帖子，并稱該警告是在多個服務(wù)和政策安裝安全更新失敗后發(fā)出的。由于用戶憑證不匹配，此次認證失敗。要么是提供的用戶名沒有映射到現(xiàn)有的賬戶，要么是密碼不正確。

根據(jù)微軟的說法，這個問題是在安裝2022年5月10日發(fā)布的更新后引起的。

微軟報告說，在你的域控制器上安裝2022年5月10日發(fā)布的更新后，你可能會看到服務(wù)器或客戶端上的認證失敗，這些服務(wù)包括網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由和遠程訪問服務(wù)(RRAS)、Radius、可擴展認證協(xié)議(EAP)和受保護可擴展認證協(xié)議(PEAP)。

微軟補充說，現(xiàn)在已經(jīng)發(fā)現(xiàn)了一個關(guān)于域控制器處理證書與機器賬戶的映射有關(guān)的漏洞。

域控制器是一個負責響應認證請求以及驗證計算機網(wǎng)絡(luò)上的用戶的服務(wù)器，活動目錄是一種目錄服務(wù)，它存儲了網(wǎng)絡(luò)上對象的信息，并使這些信息可隨時供用戶使用。

微軟補充說明，此次更新不會影響客戶的Windows設(shè)備和非域控制器的Windows服務(wù)器，只會對作為域控制器的服務(wù)器造成問題。

微軟解釋說，在客戶端Windows設(shè)備和非域控制器Windows服務(wù)器上安裝2022年5月10日發(fā)布的更新，并不會導致這個問題。這個問題只影響那些作為域控制器的服務(wù)器上所安裝的2022年5月10日的更新。

由于安全更新導致的認證失敗

微軟發(fā)布了另一份文件，又進一步解釋了與解決Windows Kerbose及其活動目錄域服務(wù)中的特權(quán)升級漏洞的安全更新所引起的認證問題的有關(guān)細節(jié)。

這些漏洞被追蹤為Windows Kerberos中的CVE-2022-26931，其高嚴重度CVSS評分為7.5。還有微軟活動目錄域服務(wù)中的CVE-2022-26923(由安全研究員Oliver Lyak發(fā)現(xiàn))，它的CVSS評分為8.8，被評為高等級。如果不打補丁，攻擊者可以利用該漏洞，并將權(quán)限提升到域管理員的權(quán)限。

解決辦法

微軟建議網(wǎng)域管理員手動將該證書映射到活動目錄中的用戶，直到官方發(fā)布新的組件。

微軟補充說，域管理員可以使用用戶對象的altSecurityIdentities屬性手動將證書映射到活動目錄中的用戶。

微軟報告說，如果首選的緩解措施在你的環(huán)境中不起作用，請參見KB5014754-Windows域控制器上基于證書的認證變化，了解使用SChannel注冊表鍵部分的其他可能的緩解措施。

按照微軟的說法，其他任何緩解方法都可能無法提供足夠的安全加固。

根據(jù)微軟的說法，2022年5月的更新則允許用戶使用所有的認證嘗試，除非證書比用戶的年齡大。這是因為策略的更新會自動更新StrongCertificateBindingEnforcement注冊表鍵值，它會將KDC的執(zhí)行模式改為禁用模式、兼容模式或完全執(zhí)行模式。

一位接受媒體采訪的Windows管理員說，在安裝補丁后，那么用戶可以進行登錄的唯一方法是將StrongCertificateBindingEnforcement鍵值設(shè)置為0，從而禁用它。

通過將REG_DWORD DataType值改為0，管理員可以禁用強證書映射檢查，并可以從頭創(chuàng)建密鑰。微軟并不推薦這種方法，但這是目前允許所有用戶登錄的唯一方法。

微軟正在對這些問題進行適當?shù)恼{(diào)查，應該很快就會有一個適當?shù)男迯头桨浮?/p>

微軟最近還發(fā)布了5月份更新的73個新補丁的安全修復程序。

本文翻譯自：https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如若轉(zhuǎn)載，請注明原文地址。