最近有企業在 5 月 10 日微軟「週二修補程式日」(Patch Tuesday)完成最新更新修補後,結果引發 Windows 伺服器認證失效問題,舉凡用戶端或伺服器端 Windows 平台,以及所有 Windows 版本系統(包括最新 Windows 11 及 Windows Server 2022)都會受到影響。
許多 Windows 管理員紛紛在 Reddit 社交網上回報安裝 5 月安全更新後一些政策失效的災情。他們指出,在安裝更新後會出現「由於使用者憑證無法對應,所以認證失敗。可能是所提供使用者名稱與現有帳號不匹配,或者是密碼不正確所致」的錯誤訊息。
經過一番調查,微軟特別指出,這個問題只會在充當網域控制器的伺服器上安裝更新後觸發。但若在用戶端 Windows 裝置及非網域控制器 Windows 伺服器上安裝更新,則不會有任何不良影響。
原本 5 月 10 日釋出的更新修補程式是為了解決 CVE-2022-26931 及 CVE-2022-26923 安全漏洞問題,這兩個漏洞會在 Windows Kerberos 及 AD 網域服務中引發權限提升的安全隱憂。然而,使用者只要在自家網域控制器上安裝更新後,就可能會在伺服器或用戶端上看到像是網路原則伺服器(Network Policy Server, NPS)、路由和遠端存取服務(Routing and Remote access Service, RRAS)、遠端驗證撥號使用者服務(Radius)、延伸驗證通訊協定(Extensible Authentication Protocol, EAP)及防護型延伸驗證通訊協定(Protected Extensible Authentication Protocol, PEAP)等服務上出現認證失敗。
微軟認為,這個問題是與網域控制器如何處理憑證與機器帳號的對應設定有很大關係。在官方正式釋出解決這個問題的更新修補程式之前,微軟建議手動進行憑證與 AD 服務中機器帳號的對應設定。但如果微軟首推的緩解方法在使用者環境中不起作用的話,可以參考微軟「KB5014017」每月更新匯總公告中有關「Windows 網域控制上憑證式認證變更」的其他緩解方法(請參考有關 Schannel 登錄機碼的段落部分)。
由於 5 月 10 日的更新會自動進行 StrongCertificateBindingEnforcement 登錄機碼的設定,並將 Kerberos 金鑰發中心(KDC)的強制模式(Enforcement Mode)改成相容模式。使用者在進行上述緩解方法前,必須先將上述登錄機碼值設為 0。
當前企業在進行關鍵系統與程式漏洞更新時,難免會遇到愈更新愈糟糕的狀況,所以務必建立審慎的更新修補應變措施與政策,運用諸如虛擬修補等解決方案來獲取更充足的時間,以進行修補程式與漏洞間的權衡評估作業。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
