14.05.2022 | Обновления вызвали сбои в некоторых службах Windows |
Администраторы Windows начали делиться сообщениями о сбое некоторых служб после установки обновлений безопасности в мае с сообщением «Ошибка аутентификации из-за несоответствия учетных данных пользователя. Либо указанное имя пользователя не соответствует существующей учетной записи, либо пароль был введен неверно». Проблема затронула клиентские и серверные Windows платформы и системы под управлением всех версий ОС, включая последние доступные версии Windows 11 и Windows Server 2022. По заявлению Microsoft, проблема возникает только после установки обновлений на контроллерах домена. Обновления не окажут негативного влияния при установке на клиентских устройствах и серверах Windows, не относящихся к контроллеру домена. «После установки обновлений от 10 мая 2022 года на ваших контроллерах домена вы можете увидеть сбои аутентификации на сервере или клиенте для служб Network Policy Server (NPS) , Routing and Remote access Service (RRAS) , Radius , Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP) », - сказала компания Microsoft. «Обнаруженная проблема связанна с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатывается контроллером домена», - добавила компания. Исследовательская лаборатория Microsoft Redmond изучает обнаруженную проблему и в скором времени предоставит обновление с исправлениями. Согласно отчету корпорации, текущий недостаток с проверкой подлинности службы вызван обновлениями безопасности с исправлениями уязвимостей CVE-2022-26931 и CVE-2022-26923 и двух уровней уязвимостей привилегий в Windows Kerberos и Active Directory Domain Services. Наиболее опасная уязвимость CVE-2022-26923 под названием Certified может позволить злоумышленнику повысить привилегии администратора домена по умолчанию в конфигурациях Active Directory. Для устранения проблемы до выпуска официальных обновлений Microsoft рекомендует вручную сопоставить сертификаты с учетной записью компьютера в Active Directory. «Если меры безопасности не будут работать в вашей среде, пожалуйста, ознакомьтесь с " KB5014754 —Изменение проверки подлинности на основе сертификатов на контроллерах домена Windows" для других возможных мер по смягчению последствий в разделе раздела реестра SChannel. Любые другие меры, кроме предпочтительных, могут снизить или отключить усиление безопасности », - добавила компания. По заявлению компании, обновления от мая 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, меняющий режим принудительного исполнения Kerberos Distribution Center (KDC) в режим совместимости, и могут разрешить все попытки аутентификации, если сертификат не старше пользователя. Microsoft не рекомендует так делать, но единственным способом войти в систему с помощью нового обновления является отключение ключа StrongCertificateBindingEnforcement, установив для него значение 0. Если пользователь не нашел ключ в реестре, нужно создать его заново с помощью REG_DWORD и установить для него значение 0 для отключения проверки надежного сопоставления сертификатов. Ранее сообщалось, что 10 мая Microsoft выпустила ежемесячные обновления безопасности для своих продуктов с исправлениями 74 уязвимостей, включая уязвимость нулевого дня в Windows LSA (Local Security Authority). |
Проверить безопасность сайта