Обновления Windows могут навредить безопасности

Microsoft в настоящее время исследует проблему, которая приводит к сбоям аутентификации для ряда служб Windows. Её обнаружили после развертывания своего последнего раунда обновлений вторника.

Софтверный гигант начал изучать эти проблемы после того, как администраторы Windows стали делиться отчетами о сбоях определенных политик после установки обновлений, выпущенных во вторник за май 2022 года.

Из сообщения администраторов

«Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо пароль был неправильным».

Хотя эта проблема затрагивает клиентские и серверные платформы и системы Windows, включая те, которые работают под управлением Windows 11 и Windows Server 2022, в Microsoft заявляют, что она возникает только после установки обновлений на серверах, которые используются в качестве контроллеров домена.

В документе поддержки компания объяснила, что сбои аутентификации могут возникать для ряда служб, включая сервер политики сети (NPS), службу маршрутизации и удаленного доступа (RRAS), Radius, расширяемый протокол аутентификации (EAP) и защищенный расширяемый протокол аутентификации ( ПЭАП).

В отдельном документе поддержки Microsoft подробно рассказала о проблемах с проверкой подлинности службы, объяснив, что они вызваны обновлениями безопасности, которые устраняют уязвимости повышения привилегий в Windows Kerberos и ее доменных службах Active Directory.

Уязвимость в доменных службах Microsoft Active Directory (отслеживается как CVE-2022-26923 ) имеет высокую степень серьезности по шкале CVSS, равную 8,8, и, если ее не устранить, злоумышленник может повысить привилегии учетной записи до прав администратора домена. Уязвимость в Windows Kerberos (отслеживается как CVE-2022-26931 ) также имеет высокую оценку опасности по шкале CVSS — 7,5.

Чтобы смягчить проблемы, Microsoft предлагает администраторам Windows вручную сопоставлять сертификаты с учетной записью компьютера в Active Directory. Кроме этого также предлагается использовать журнал операций Kerberos, чтобы увидеть, какой контроллер домена не может войти.

Тем не менее, единственный способ, с помощью которого администраторам удалось решить проблему — это отключить ключ реестра Strong Certificate Binding Enforcement, установив для него значение 0. Это ключ реестра используется для изменения режима принудительного применения центра распространения Kerberos (KDC) компании на режим совместимости.

Вероятно, официальное решение проблемы будет выпущено в следующий вторник обновлений в июне.

Startpack подготовил список сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.

Статьи по теме