Обновления вызвали сбои в некоторых службах Windows

Kerberos Distribution Center Active Directory ошибка обновление пароль
Обновления Windows привели к сбоям аутентификации клиентских и серверных платформ Windows

Обновления вызвали сбои в некоторых службах Windows

Администраторы Windows начали делиться сообщениями о сбое некоторых служб после установки обновлений безопасности в мае с сообщением «Ошибка аутентификации из-за несоответствия учетных данных пользователя. Либо указанное имя пользователя не соответствует существующей учетной записи, либо пароль был введен неверно».
Проблема затронула клиентские и серверные Windows платформы и системы под управлением всех версий ОС, включая последние доступные версии Windows 11 и Windows Server 2022. По заявлению Microsoft, проблема возникает только после установки обновлений на контроллерах домена. Обновления не окажут негативного влияния при установке на клиентских устройствах и серверах Windows, не относящихся к контроллеру домена.
«После установки обновлений от 10 мая 2022 года на ваших контроллерах домена вы можете увидеть сбои аутентификации на сервере или клиенте для служб Network Policy Server (NPS) , Routing and Remote access Service (RRAS) , Radius , Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP) », — сказала компания Microsoft.
«Обнаруженная проблема связанна с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатывается контроллером домена», — добавила компания.
Исследовательская лаборатория Microsoft Redmond изучает обнаруженную проблему и в скором времени предоставит обновление с исправлениями. Согласно отчету корпорации, текущий недостаток с проверкой подлинности службы вызван обновлениями безопасности с исправлениями уязвимостей CVE-2022-26931 и CVE-2022-26923 и двух уровней уязвимостей привилегий в Windows Kerberos и Active Directory Domain Services.

Наиболее опасная уязвимость CVE-2022-26923 под названием Certified может позволить злоумышленнику повысить привилегии администратора домена по умолчанию в конфигурациях Active Directory.
Для устранения проблемы до выпуска официальных обновлений Microsoft рекомендует вручную сопоставить сертификаты с учетной записью компьютера в Active Directory.
«Если меры безопасности не будут работать в вашей среде, пожалуйста, ознакомьтесь с » KB5014754 —Изменение проверки подлинности на основе сертификатов на контроллерах домена Windows» для других возможных мер по смягчению последствий в разделе раздела реестра SChannel. Любые другие меры, кроме предпочтительных, могут снизить или отключить усиление безопасности », — добавила компания.
По заявлению компании, обновления от мая 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, меняющий режим принудительного исполнения Kerberos Distribution Center (KDC) в режим совместимости, и могут разрешить все попытки аутентификации, если сертификат не старше пользователя.
Microsoft не рекомендует так делать, но единственным способом войти в систему с помощью нового обновления является отключение ключа StrongCertificateBindingEnforcement, установив для него значение 0. Если пользователь не нашел ключ в реестре, нужно создать его заново с помощью REG_DWORD и установить для него значение 0 для отключения проверки надежного сопоставления сертификатов.
Ранее сообщалось, что 10 мая Microsoft выпустила ежемесячные обновления безопасности для своих продуктов с исправлениями 74 уязвимостей, включая уязвимость нулевого дня в Windows LSA (Local Security Authority).

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *