安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
微软5月份的更新导致Windows AD认证错误
2022-05-20 15:22:55 【

微软正在提醒客户,其5月发布的补丁更新可能会导致与Windows Active Directory域服务相关的认证错误和失败。在周五的更新中,微软说它正在调查这个问题。

一位管理员在Reddit上发布了关于这个话题的帖子,并称该警告是在多个服务和政策安装安全更新失败后发出的。由于用户凭证不匹配,此次认证失败。要么是提供的用户名没有映射到现有的账户,要么是密码不正确。

根据微软的说法,这个问题是在安装2022年5月10日发布的更新后引起的。

微软报告说,在你的域控制器上安装2022年5月10日发布的更新后,你可能会看到服务器或客户端上的认证失败,这些服务包括网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护可扩展认证协议(PEAP)。

微软补充说,现在已经发现了一个关于域控制器处理证书与机器账户的映射有关的漏洞。

域控制器是一个负责响应认证请求以及验证计算机网络上的用户的服务器,活动目录是一种目录服务,它存储了网络上对象的信息,并使这些信息可随时供用户使用。

微软补充说明,此次更新不会影响客户的Windows设备和非域控制器的Windows服务器,只会对作为域控制器的服务器造成问题。

微软解释说,在客户端Windows设备和非域控制器Windows服务器上安装2022年5月10日发布的更新,并不会导致这个问题。这个问题只影响那些作为域控制器的服务器上所安装的2022年5月10日的更新。

由于安全更新导致的认证失败

微软发布了另一份文件,又进一步解释了与解决Windows Kerbose及其活动目录域服务中的特权升级漏洞的安全更新所引起的认证问题的有关细节。

这些漏洞被追踪为Windows Kerberos中的CVE-2022-26931,其高严重度CVSS评分为7.5。还有微软活动目录域服务中的CVE-2022-26923(由安全研究员Oliver Lyak发现),它的CVSS评分为8.8,被评为高等级。如果不打补丁,攻击者可以利用该漏洞,并将权限提升到域管理员的权限。

解决办法

微软建议网域管理员手动将该证书映射到活动目录中的用户,直到官方发布新的组件。

微软补充说,域管理员可以使用用户对象的altSecurityIdentities属性手动将证书映射到活动目录中的用户。

微软报告说,如果首选的缓解措施在你的环境中不起作用,请参见KB5014754-Windows域控制器上基于证书的认证变化,了解使用SChannel注册表键部分的其他可能的缓解措施。

按照微软的说法,其他任何缓解方法都可能无法提供足够的安全加固。

根据微软的说法,2022年5月的更新则允许用户使用所有的认证尝试,除非证书比用户的年龄大。这是因为策略的更新会自动更新StrongCertificateBindingEnforcement注册表键值,它会将KDC的执行模式改为禁用模式、兼容模式或完全执行模式。

一位接受媒体采访的Windows管理员说,在安装补丁后,那么用户可以进行登录的唯一方法是将StrongCertificateBindingEnforcement键值设置为0,从而禁用它。

通过将REG_DWORD DataType值改为0,管理员可以禁用强证书映射检查,并可以从头创建密钥。微软并不推荐这种方法,但这是目前允许所有用户登录的唯一方法。

微软正在对这些问题进行适当的调查,应该很快就会有一个适当的修复方案。

微软最近还发布了5月份更新的73个新补丁的安全修复程序。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇DDoS 攻击在 2022 年第一季度创历.. 下一篇微软:警惕针对 MSSQL 服务器的暴..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800