第一生活网

某些Windows更新实际上可能会损害您的安全

管谦萍
导读 随着最新一轮补丁星期二更新的部署,微软目前正在调查一个导致许多Windows服务身份验证失败的已知问题。据BleepingComputer称,在Windows管...

随着最新一轮补丁星期二更新的部署,微软目前正在调查一个导致许多Windows服务身份验证失败的已知问题。据BleepingComputer称,在Windows管理员开始分享安装2022年5月补丁星期二更新后某些策略失败的报告后,这家软件巨头开始调查这些问题。

分享您对网络安全的看法,并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备,以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

这些管理员报告说,在安装更新后,他们开始看到以下错误消息:“由于用户凭据不匹配,身份验证失败。提供的用户名未映射到现有帐户或密码不正确。”

虽然这个问题会影响客户端和服务器Windows平台和系统,包括那些运行Windows11和WindowsServer2022的平台和系统,但微软表示只有在用作域控制器的服务器上安装更新后才会触发它。

在一份支持文档中,该公司解释说,包括网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展身份验证协议(EAP)和受保护的可扩展身份验证协议(佩普)。

在单独的支持文档中,Microsoft进一步详细介绍了这些服务身份验证问题,解释说这些问题是由解决WindowsKerberos及其ActiveDirectory域服务中的权限提升漏洞的安全更新引起的。

Microsoft的ActiveDirectory域服务中的漏洞(跟踪为CVE-2022-26923)具有8.8的高严重性CVSS分数,如果未修补,攻击者可以利用该漏洞将帐户的权限提升到域管理员的权限。同时,WindowsKerberos中的漏洞(跟踪为CVE-2022-26931)也具有7.5的高严重性CVSS分数。

为了缓解这些身份验证问题,Microsoft建议Windows管理员手动将证书映射到ActiveDirectory中的计算机帐户,尽管它还建议使用Kerberos操作日志来查看哪个域控制器无法登录。

尽管如此,一位与BleepingComputer交谈的Windows管理员表示,他们能够让一些用户在安装最新的PatchTuesday更新后登录的唯一方法是通过将StrongCertificateBindingEnforcement注册表项设置为0来禁用它。这注册表项用于将公司的Kerberos分发中心(KDC)的强制模式更改为兼容模式。

既然微软正在积极调查这些问题并提出变通办法,那么适当的修复应该很快就会到来,或者至少在6月的下一个补丁星期二更新期间到来。