最近有企业在5月10日微软“周二修补程序日”(patch tuesday)完成最新更新修补后,结果引发windows服务器认证失效问题,但凡用户端或服务器端windows平台,以及所有windows版本系统(包括最新windows 11及windows server 2022)都会受到影响。
许多windows管理员纷纷在reddit社交网上回应安装5月安全更新后一些政策失效的灾情。他们指出,在安装更新后会出现“由于用户凭证无法对应,所以认证失败。可能是所提供用户名与现有账号不匹配,或者是密码不正确所致”的错误消息。
经过一番调查,微软特别指出,这个问题只会在充当域名控制器的服务器上安装更新后触发。但若在用户端windows设备及非域名控制器windows服务器上安装更新,则不会有任何不良影响。
原本5月10日发布的更新修补程序是为了解决cve-2022-26931及cve-2022-26923安全漏洞问题,这两个漏洞会在windows kerberos及ad域名服务中引发权限提升的安全隐忧。然而,用户只要在自家域名控制器上安装更新后,就可能会在服务器或用户端增至到像是网络原则服务器(network policy server, nps)、路由和远程访问服务(routing and remote access service, rras)、远程验证拨号用户服务(radius)、延伸验证通信协议(extensible authentication protocol, eap)及防护型延伸验证通信协议(protected extensible authentication protocol, peap)等服务上出现认证失败。
微软认为,这个问题是与域名控制器如何处理凭证与机器账号的对应设置有很大关系。在官方正式发布解决这个问题的更新修补程序之前,微软建议手动进行凭证与ad服务中机器账号的对应设置。但如果微软首推的缓金沙软件免费下载的解决方案法在用户环境中不起作用的话,可以参考微软“kb5014017”每月更新汇总公告中有关“windows域名控制上凭证式认证变更”的其他缓金沙软件免费下载的解决方案法(请参考有关schannel登录机码的段落部分)。
由于5月10日的更新会自动进行strongcertificatebindingenforcement登录机码的设置,并将kerberos密钥发中心(kdc)的强制模式(enforcement mode)改成兼容模式。用户在进行上述缓金沙软件免费下载的解决方案法前,必须先将上述登录机码值设为0。
当前企业在进行关键系统与程序漏洞更新时,难免会遇到愈更新愈糟糕的状况,所以务必创建审慎的更新修补应变措施与政策,运用诸如虚拟修补等金沙软件免费下载的解决方案来获取更充足的时间,以进行修补程序与漏洞间的权衡评估作业。
(首图来源:科技新报)