Компания Microsoft занялась исследованием известной проблемы, вызывающую сбои аутентификации для некоторых служб Windows после установки обновлений, выпущенных во вторник исправлений за май 2022 года.
Это произошло после того, как администраторы Windows начали делиться отчетами о сбоях некоторых политик после установки обновлений безопасности в этом месяце с сообщением: "Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо пароль был неправильным".
Проблема затрагивает клиентские и серверные платформы и системы Windows, работающие под управлением всех версий Windows, включая последние доступные выпуски (Windows 11 и Windows Server 2022).
Microsoft говорит, что проблема возникает только после установки обновлений на серверах, используемых в качестве контроллеров домена. Обновления не окажут негативного влияния при развертывании на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена.
"После установки обновлений, выпущенных 10 мая 2022 г., на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS), Radius, Extensible Authentication Protocol ( EAP) и защищенный расширяемый протокол аутентификации (PEAP)", — поясняет Microsoft.
Microsoft объясняет в отдельном документе поддержки, что проблемы с проверкой подлинности службы вызваны обновлениями безопасности, устраняющими CVE-2022-26931 и CVE-2022-26923, две уязвимости повышения привилегий в Windows Kerberos и доменных службах Active Directory.
Более серьезная из них, CVE-2022-26923 (обнаруженная исследователем безопасности Оливером Ляком и получившая название Certifried), может позволить злоумышленникам, имеющим доступ к учетной записи с низким уровнем привилегий, повысить привилегии до администратора домена в конфигурациях Active Directory по умолчанию.
Чтобы устранить известную проблему, пока не будет доступно официальное обновление, Microsoft рекомендует вручную сопоставлять сертификаты с учетной записью компьютера в Active Directory.
"Если предпочтительная защита не будет работать в вашей среде, см. «KB5014754 — Изменения аутентификации на основе сертификатов на контроллерах домена Windows» для других возможных мер в разделе ключа реестра SChannel", — добавила компания.
Microsoft заявляет, что обновления за май 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, который изменяет режим принудительного применения центра распространения Kerberos (KDC) на режим совместимости (и это должно разрешать все попытки аутентификации, если только сертификат не старше пользователя).
Однако один из администраторов Windows сообщил ресурсу BleepingComputer, что единственный способ заставить некоторых пользователей войти в систему с помощью этого обновления — отключить ключ StrongCertificateBindingEnforcement, установив для него значение 0.
"Если вы не найдете ключ в реестре, создайте его с нуля, используя тип данных REG_DWORD, и установите для него значение 0, чтобы отключить проверку надежного сопоставления сертификатов (хотя это и не рекомендуется Microsoft, это единственный способ разрешить всем пользователям зарегистрироваться)".
В ноябре Microsoft также устранила сбои аутентификации Windows Server, связанные со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC) посредством внеплановых обновлений.
Иван Ковалев
VIAЕсли в этом году вам "убийц флагманов" не хватит, Realme выставил еще одного. После запуска Realme X3 SuperZoom,
И хотя сервер AS6104T, в отличие от модели ASUSTOR AS6202T, работает под управлением двухъядерного, а не
Смартфон способен заменить планшет, ноутбук и простой телефон. Рынок мобильных устройств предлагает широкий ассортимент
