微軟正在提醒客戶，其5月發布的補丁更新可能會導致與Windows Active Directory域服務相關的認證錯誤和失敗。在周五的更新中，微軟說它正在調查這個問題。

一位管理員在Reddit上發布了關于這個話題的帖子，并稱該警告是在多個服務和政策安裝安全更新失敗后發出的。由于用戶憑證不匹配，此次認證失敗。要么是提供的用戶名沒有映射到現有的賬戶，要么是密碼不正確。

根據微軟的說法，這個問題是在安裝2022年5月10日發布的更新后引起的。

微軟報告說，在你的域控制器上安裝2022年5月10日發布的更新后，你可能會看到服務器或客戶端上的認證失敗，這些服務包括網絡策略服務器(NPS)、路由和遠程訪問服務(RRAS)、Radius、可擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)。

微軟補充說，現在已經發現了一個關于域控制器處理證書與機器賬戶的映射有關的漏洞。

域控制器是一個負責響應認證請求以及驗證計算機網絡上的用戶的服務器，活動目錄是一種目錄服務，它存儲了網絡上對象的信息，并使這些信息可隨時供用戶使用。

微軟補充說明，此次更新不會影響客戶的Windows設備和非域控制器的Windows服務器，只會對作為域控制器的服務器造成問題。

微軟解釋說，在客戶端Windows設備和非域控制器Windows服務器上安裝2022年5月10日發布的更新，并不會導致這個問題。這個問題只影響那些作為域控制器的服務器上所安裝的2022年5月10日的更新。

由于安全更新導致的認證失敗

微軟發布了另一份文件，又進一步解釋了與解決Windows Kerbose及其活動目錄域服務中的特權升級漏洞的安全更新所引起的認證問題的有關細節。

這些漏洞被追蹤為Windows Kerberos中的CVE-2022-26931，其高嚴重度CVSS評分為7.5。還有微軟活動目錄域服務中的CVE-2022-26923(由安全研究員Oliver Lyak發現)，它的CVSS評分為8.8，被評為高等級。如果不打補丁，攻擊者可以利用該漏洞，并將權限提升到域管理員的權限。

解決辦法

微軟建議網域管理員手動將該證書映射到活動目錄中的用戶，直到官方發布新的組件。

微軟補充說，域管理員可以使用用戶對象的altSecurityIdentities屬性手動將證書映射到活動目錄中的用戶。

微軟報告說，如果首選的緩解措施在你的環境中不起作用，請參見KB5014754-Windows域控制器上基于證書的認證變化，了解使用SChannel注冊表鍵部分的其他可能的緩解措施。

按照微軟的說法，其他任何緩解方法都可能無法提供足夠的安全加固。

根據微軟的說法，2022年5月的更新則允許用戶使用所有的認證嘗試，除非證書比用戶的年齡大。這是因為策略的更新會自動更新StrongCertificateBindingEnforcement注冊表鍵值，它會將KDC的執行模式改為禁用模式、兼容模式或完全執行模式。

一位接受媒體采訪的Windows管理員說，在安裝補丁后，那么用戶可以進行登錄的唯一方法是將StrongCertificateBindingEnforcement鍵值設置為0，從而禁用它。

通過將REG_DWORD DataType值改為0，管理員可以禁用強證書映射檢查，并可以從頭創建密鑰。微軟并不推薦這種方法，但這是目前允許所有用戶登錄的唯一方法。

微軟正在對這些問題進行適當的調查，應該很快就會有一個適當的修復方案。

微軟最近還發布了5月份更新的73個新補丁的安全修復程序。

本文翻譯自：https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/如若轉載，請注明原文地址。