微软提醒客户,其5月补丁更新可能导致与WindowsActiveDirectory域服务相关的认证错误和失败。在周五的更新中,微软表示正在调查这个问题。一位管理员在Reddit上发布了该主题,并表示警告是在多项服务和政策未能安装安全更新后发出的。由于用户凭据不匹配,这次身份验证失败。提供的用户名未映射到现有帐户,或者密码不正确。根据Microsoft的说法,该问题是在安装2022年5月10日发布的更新后引起的。Microsoft报告说,在您的域控制器上安装2022年5月10日的更新后,您可能会在服务器或客户端上看到包括网络策略服务器在内的服务的身份验证失败(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展身份验证协议(EAP)和受保护的可扩展身份验证协议(PEAP)。微软补充说,它现在发现了一个与域控制器如何处理证书到机器帐户的映射有关的漏洞。域控制器是负责响应身份验证请求并在计算机网络上对用户进行身份验证的服务器。ActiveDirectory是一种目录服务,它存储有关网络上对象的信息并使用户可以随时使用这些信息。微软补充说,该更新不会影响客户的Windows设备和非域控制器的Windows服务器,只会导致域控制器服务器出现问题。微软解释说,在客户端Windows设备和非域控制器Windows服务器上安装2022年5月10日更新不会导致该问题。此问题仅影响安装了2022年5月10日更新的域控制器服务器。安全更新导致身份验证失败Microsoft发布了另一份文件,进一步详细说明了安全更新导致的身份验证问题,这些安全更新解决了WindowsKerbose及其ActiveDirectory域服务中的特权升级漏洞。这些漏洞在WindowsKerberos中被跟踪为CVE-2022-26931,并具有7.5的高严重性CVSS评分。MicrosoftActiveDirectory域服务中还有CVE-2022-26923(由安全研究员OliverLyak发现),其CVSS评分为8.8,评级为高。如果不打补丁,攻击者可以利用该漏洞并将权限提升到域管理员的权限。解决方法Microsoft建议域管理员手动将此证书映射到ActiveDirectory中的用户,直到新组件正式发布。微软补充说,域管理员可以使用用户对象的altSecurityIdentities属性手动将证书映射到ActiveDirectory中的用户。Microsoft报告说,如果首选的缓解措施在您的环境中不起作用,请参阅KB5014754-Windows域控制器上基于证书的身份验证更改,了解使用SChannel注册表项部分的其他可能的缓解措施。根据Microsoft的说法,任何其他缓解方法可能无法提供足够的安全强化。据微软称,2022年5月的更新允许用户使用所有身份验证尝试,除非证书早于用户的年龄。这是因为策略更新会自动更新StrongCertificateBindingEnforcement注册表项,这会将KDC的强制模式更改为禁用、兼容或完全强制。接受CNBC采访的一位Windows管理员表示,安装补丁后,用户可以登录的唯一方法是通过将StrongCertificateBindingEnforcement键设置为0来禁用它。通过将REG_DWORDDataType值更改为0,管理员可以禁用强证书映射检查并从头开始创建密钥。微软不推荐这种方法,但它是目前允许所有用户登录的唯一方法。微软正在对这些问题进行适当的调查,应该会尽快修复。微软最近还发布了5月更新的安全修复程序,其中包含73个新补丁。本文翻译自:https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如有转载请注明出处。
