CISA:不要在具有域控制器)欺骗漏洞的设备上安装WindowsMayUpdate。此高严重性漏洞可能使未经身份验证的攻击者能够匿名调用方法并强制域控制器(DC)通过NTLM对其进行身份验证。在最坏的情况下,这可能会导致特权升级,攻击者会控制整个域。此漏洞很重要,因为美国网络安全和基础设施安全局(CISA)已规定联邦民用行政分支机构(FCEB)应在三周内安装这些更新,以保护自己免受此类攻击和其他攻击。然而,它现在已经取消了这一要求,因为最新的“星期二补丁”更新在DC上安装时也会导致身份验证问题。公告上的说明如下:在客户端Windows设备和非域控制器Windows服务器上安装2022年5月10日更新不会导致此问题,仍然强烈建议这样做。此问题仅影响安装在充当域控制器的服务器上的2022年5月10日更新。组织应继续将更新应用于客户端Windows设备和非域控制器Windows服务器。在有关该问题的咨询中,微软表示:“在您的域控制器上安装2022年5月10日的更新后,您可能会看到远程访问服务(RRAS)等服务的网络策略服务器(NPS)、路由和身份验证失败,Radius、可扩展身份验证协议(EAP)和受保护的可扩展身份验证协议(PEAP)。已发现域控制器如何处理证书到计算机帐户的映射问题。微软分享了一份受影响的平台客户端列表:Windows11Version21H2Windows10Version21H2Windows10Version21H1Windows10Version20H2Windows10Version1909Windows10Version1809Windows10EnterpriseLTSC2019Windows10EnterpriseLTSC2016Windows10VersionBTS1Windows108LWindows7SP1服务器:WindowsServer2022WindowsServerVersion20H2WindowsServerVersion1909WindowsServerVersion1809WindowsServer2019WindowsServer2016WindowsServer2012R2WindowsServer2012WindowsServer2008R2SP1WindowsServer2008SP2这些问题主要是由WindowsKerberos和ActiveDirectory两个补丁引起的对于域服务,分别跟踪为CVE-2022-26931和CVE-2022-26923。由于无法挑选要安装的补丁,CISA不再鼓励IT管理员不要在DC上安装May'sPatchTuesday。目前,微软已经提供了一种解决方法,包括手动映射证书。同时,Microsoft还提供了一种解决方法:此问题的首选缓解方法是手动将证书映射到ActiveDirectory中的计算机帐户。有关说明,请参阅证书映射。注意:这些说明与将证书映射到ActiveDirectory中的用户或计算机帐户的说明相同。如果首选缓解措施在您的环境中不起作用,请参阅KB5014754-Windows域控制器上基于证书的身份验证更改,了解Schannel注册表项部分中的其他可能的缓解措施。注意:除首选缓解措施之外的任何缓解措施都可能会降低或禁用安全强化。它还强烈强调应用任何其他缓解措施可能会对您组织的安全状况产生负面影响。鉴于CISA不鼓励FCEB在WindowsServerDC上完全安装MayPatchTuesday更新,Microsoft可能希望尽快推出更永久的修复程序。
