Исправлены проблемы с аутентификацией Kerberos на Windows Server • The Register

Microsoft выпускает исправления для проблем с протоколом сетевой аутентификации Kerberos на Windows Server после того, как он был сломан ноябрьскими обновлениями Patch Tuesday.

Как мы сообщали на прошлой неделе, обновления, выпущенные 8 ноября или позже, которые были установлены на Windows Server с обязанностями контроллера домена по управлению сетью и запросами безопасности удостоверений, нарушили возможности аутентификации Kerberos, начиная от сбоев при входе в систему пользователей домена и аутентификации групповых управляемых учетных записей служб. к подключениям к удаленному рабочему столу не подключается.

Были также другие проблемы, в том числе невозможность доступа пользователей к общим папкам на рабочих станциях и подключениям принтеров, требующих сбоя аутентификации пользователя домена.

«Эта проблема может повлиять на любую аутентификацию Kerberos в вашей среде», — написала тогда Microsoft на своей панели Windows Health, добавив, что инженеры пытаются решить проблему.

В конце прошлой недели Microsoft выпустила экстренные внеполосные обновления (OOB), которые можно установить на все контроллеры домена, заявив, что пользователям не нужно устанавливать другие обновления или вносить изменения в другие серверы или клиентские устройства для решения проблемы. Кроме того, любые обходные пути, используемые для смягчения проблемы, больше не нужны и должны быть удалены, пишет компания.

«Перед установкой этих накопительных обновлений вам не нужно применять какое-либо предыдущее обновление», — сообщает Microsoft. «Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых последующих обновлений, включая обновления [OOB]».

Kerberos используется для аутентификации запросов на обслуживание между несколькими доверенными хостами в ненадежной сети, такой как Интернет, с использованием криптографии с секретным ключом и доверенной третьей стороны для аутентификации приложений и удостоверений пользователей. Он был создан в 1980-х годах исследователями Массачусетского технологического института.

Microsoft начала использовать Kerberos в Windows 2000, и теперь это инструмент авторизации по умолчанию в ОС. Другие версии Kerberos, поддерживаемые Консорциумом Kerberos, доступны для других операционных систем, включая Apple OS, Linux и Unix.

8 ноября поставщик выпустил два обновления для усиления безопасности Kerberos, а также Netlogon, еще одного инструмента аутентификации, после двух уязвимостей, отслеживаемых как CVE-2022-37967 и CVE-2022-37966. Эти обновления привели к проблемам с аутентификацией, которые были устранены последними исправлениями.

Пользователи систем Windows с этой ошибкой время от времени встречали уведомление «Событие ошибки Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14» в разделе «Система» журнала событий на своем контроллере домена с текстом, который включал: « При обработке запроса AS для целевой службы учетная запись не имела подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор 1)».

Для автономного пакета обновлений OOB пользователи могут найти номер базы знаний в каталоге обновлений Microsoft и вручную импортировать исправления в службы Windows Server Update Services (см. инструкции здесь) и диспетчер конфигурации конечных точек (инструкции здесь).

Корпорация Майкрософт выпустила накопительные обновления для установки на контроллерах домена: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655) и Windows Server 2016 (KB5021654). ®

Присылайте нам новости