itkvariat

    Обновления Windows могут вызывать сбои аутентификации AD




    Компания Microsoft занялась исследованием известной проблемы, вызывающую сбои аутентификации для некоторых служб Windows после установки обновлений, выпущенных во вторник исправлений за май 2022 года.

    Это произошло после того, как администраторы Windows начали делиться отчетами о сбоях некоторых политик после установки обновлений безопасности в этом месяце с сообщением: "Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо пароль был неправильным".

    Проблема затрагивает клиентские и серверные платформы и системы Windows, работающие под управлением всех версий Windows, включая последние доступные выпуски (Windows 11 и Windows Server 2022).

    Microsoft говорит, что проблема возникает только после установки обновлений на серверах, используемых в качестве контроллеров домена. Обновления не окажут негативного влияния при развертывании на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена.

    "После установки обновлений, выпущенных 10 мая 2022 г., на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS), Radius, Extensible Authentication Protocol ( EAP) и защищенный расширяемый протокол аутентификации (PEAP)", — поясняет Microsoft.

    Microsoft объясняет в отдельном документе поддержки, что проблемы с проверкой подлинности службы вызваны обновлениями безопасности, устраняющими CVE-2022-26931 и CVE-2022-26923, две уязвимости повышения привилегий в Windows Kerberos и доменных службах Active Directory.

    Более серьезная из них, CVE-2022-26923 (обнаруженная исследователем безопасности Оливером Ляком и получившая название Certifried), может позволить злоумышленникам, имеющим доступ к учетной записи с низким уровнем привилегий, повысить привилегии до администратора домена в конфигурациях Active Directory по умолчанию.

    Чтобы устранить известную проблему, пока не будет доступно официальное обновление, Microsoft рекомендует вручную сопоставлять сертификаты с учетной записью компьютера в Active Directory.

    "Если предпочтительная защита не будет работать в вашей среде, см. «KB5014754 — Изменения аутентификации на основе сертификатов на контроллерах домена Windows» для других возможных мер в разделе ключа реестра SChannel", — добавила компания.

    Microsoft заявляет, что обновления за май 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, который изменяет режим принудительного применения центра распространения Kerberos (KDC) на режим совместимости (и это должно разрешать все попытки аутентификации, если только сертификат не старше пользователя).

    Однако один из администраторов Windows сообщил ресурсу BleepingComputer, что единственный способ заставить некоторых пользователей войти в систему с помощью этого обновления — отключить ключ StrongCertificateBindingEnforcement, установив для него значение 0.

    "Если вы не найдете ключ в реестре, создайте его с нуля, используя тип данных REG_DWORD, и установите для него значение 0, чтобы отключить проверку надежного сопоставления сертификатов (хотя это и не рекомендуется Microsoft, это единственный способ разрешить всем пользователям зарегистрироваться)".

    В ноябре Microsoft также устранила сбои аутентификации Windows Server, связанные со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC) посредством внеплановых обновлений.


    Иван Ковалев

    VIA





    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Microsoft признала, что прошивки для защиты от Spectre и Meltdown могут замедлить работу вашего ПК
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • Обновлено: Google подает в суд на российского спамера за букву «ɢ»
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • Домашний мультимедийный NAS-сервер ASUSTOR AS6104T. И хранение и развлечение…


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    
Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Обновления Windows могут вызывать сбои аутентификации AD




Компания Microsoft занялась исследованием известной проблемы, вызывающую сбои аутентификации для некоторых служб Windows после установки обновлений, выпущенных во вторник исправлений за май 2022 года.

Это произошло после того, как администраторы Windows начали делиться отчетами о сбоях некоторых политик после установки обновлений безопасности в этом месяце с сообщением: "Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо пароль был неправильным".

Проблема затрагивает клиентские и серверные платформы и системы Windows, работающие под управлением всех версий Windows, включая последние доступные выпуски (Windows 11 и Windows Server 2022).

Microsoft говорит, что проблема возникает только после установки обновлений на серверах, используемых в качестве контроллеров домена. Обновления не окажут негативного влияния при развертывании на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена.

"После установки обновлений, выпущенных 10 мая 2022 г., на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS), Radius, Extensible Authentication Protocol ( EAP) и защищенный расширяемый протокол аутентификации (PEAP)", — поясняет Microsoft.

Microsoft объясняет в отдельном документе поддержки, что проблемы с проверкой подлинности службы вызваны обновлениями безопасности, устраняющими CVE-2022-26931 и CVE-2022-26923, две уязвимости повышения привилегий в Windows Kerberos и доменных службах Active Directory.

Более серьезная из них, CVE-2022-26923 (обнаруженная исследователем безопасности Оливером Ляком и получившая название Certifried), может позволить злоумышленникам, имеющим доступ к учетной записи с низким уровнем привилегий, повысить привилегии до администратора домена в конфигурациях Active Directory по умолчанию.

Чтобы устранить известную проблему, пока не будет доступно официальное обновление, Microsoft рекомендует вручную сопоставлять сертификаты с учетной записью компьютера в Active Directory.

"Если предпочтительная защита не будет работать в вашей среде, см. «KB5014754 — Изменения аутентификации на основе сертификатов на контроллерах домена Windows» для других возможных мер в разделе ключа реестра SChannel", — добавила компания.

Microsoft заявляет, что обновления за май 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, который изменяет режим принудительного применения центра распространения Kerberos (KDC) на режим совместимости (и это должно разрешать все попытки аутентификации, если только сертификат не старше пользователя).

Однако один из администраторов Windows сообщил ресурсу BleepingComputer, что единственный способ заставить некоторых пользователей войти в систему с помощью этого обновления — отключить ключ StrongCertificateBindingEnforcement, установив для него значение 0.

"Если вы не найдете ключ в реестре, создайте его с нуля, используя тип данных REG_DWORD, и установите для него значение 0, чтобы отключить проверку надежного сопоставления сертификатов (хотя это и не рекомендуется Microsoft, это единственный способ разрешить всем пользователям зарегистрироваться)".

В ноябре Microsoft также устранила сбои аутентификации Windows Server, связанные со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC) посредством внеплановых обновлений.


Иван Ковалев

VIA





Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Microsoft признала, что прошивки для защиты от Spectre и Meltdown могут замедлить работу вашего ПК
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • Обновлено: Google подает в суд на российского спамера за букву «ɢ»
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • Домашний мультимедийный NAS-сервер ASUSTOR AS6104T. И хранение и развлечение…


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024