Quelle: support.microsoft.com
Microsoft untersucht ein bekanntes Problem, das zu Authentifizierungsfehlern bei einigen Windows-Diensten führt, nachdem Updates installiert wurden, die während des Patch Tuesday im Mai 2022 veröffentlicht wurden.
Dies geschieht, nachdem Windows-Administratoren begonnen haben, Berichte über einige Richtlinien zu teilen, die nach der Installation der Sicherheitsupdates dieses Monats fehlgeschlagen sind, mit „Authentifizierung fehlgeschlagen aufgrund einer Nichtübereinstimmung der Benutzeranmeldeinformationen. Entweder ist der angegebene Benutzername keinem vorhandenen Konto zugeordnet oder das Kennwort war falsch.“ Fehler.
Das Problem betrifft Client- und Server-Windows-Plattformen und -Systeme, auf denen alle Windows-Versionen ausgeführt werden, einschließlich der neuesten verfügbaren Versionen (Windows 11 und Windows Server 2022).
Laut Microsoft wird das bekannte Problem erst nach der Installation der Updates auf Servern ausgelöst, die als Domänencontroller verwendet werden. Die Updates wirken sich nicht negativ aus, wenn sie auf Client-Windows-Geräten und Nicht-Domänencontroller-Windows-Servern bereitgestellt werden.
„Nach der Installation von Updates, die am 10. Mai 2022 auf Ihren Domänencontrollern veröffentlicht wurden, sehen Sie möglicherweise Authentifizierungsfehler auf dem Server oder Client für Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP) und Protected Extensible Authentication Protocol (PEAP)“, erklärt Microsoft.
"Es wurde ein Problem im Zusammenhang mit der Handhabung der Zuordnung von Zertifikaten zu Computerkonten durch den Domänencontroller gefunden."
Redmond untersucht dieses neu erkannte Problem und wird in einer kommenden Version ein Update bereitstellen, das es angeht.
Verursacht durch Sicherheitsupdates, Problemumgehung verfügbar Microsoft erklärt in einem separaten Support-Dokument, dass diese laufenden Dienstauthentifizierungsprobleme durch Sicherheitsupdates verursacht werden, die CVE-2022-26931 und CVE-2022-26923 adressieren, zwei Sicherheitslücken bezüglich Rechteerweiterungen in Windows Kerberos und Active Directory-Domänendiensten.
Der schwerwiegendere, CVE-2022-26923 (entdeckt vom Sicherheitsforscher Oliver Lyak und genannt Certifried), kann es Angreifern mit Zugriff auf ein Konto mit geringen Privilegien ermöglichen, die Rechte des Domänenadministrators in standardmäßigen Active Directory-Konfigurationen zu erhöhen.
Um das bekannte Problem zu beheben, bis ein offizielles Update verfügbar ist, empfiehlt Microsoft, Zertifikate manuell einem Computerkonto in Active Directory zuzuordnen.
„Wenn die bevorzugte Risikominderung in Ihrer Umgebung nicht funktioniert, lesen Sie bitte ‚KB5014754 – Zertifikatbasierte Authentifizierungsänderungen auf Windows-Domänencontrollern‘ für andere mögliche Risikominderungen im Abschnitt SChannel-Registrierungsschlüssel“, fügte das Unternehmen hinzu.
„Jede andere Minderung außer den bevorzugten Minderungen kann die Sicherheitshärtung verringern oder deaktivieren.“
Laut Microsoft setzen die Updates vom Mai 2022 automatisch den Registrierungsschlüssel StrongCertificateBindingEnforcement, der den Erzwingungsmodus des Kerberos Distribution Center (KDC) in den Kompatibilitätsmodus ändert (und dies sollte alle Authentifizierungsversuche zulassen, es sei denn, das Zertifikat ist älter als der Benutzer).
Die einzige Möglichkeit, einige ihrer Benutzer dazu zu bringen, sich mit diesem Update anzumelden, bestand jedoch darin, den StrongCertificateBindingEnforcement-Schlüssel zu deaktivieren, indem er auf 0 gesetzt wurde.
Wenn Sie den Schlüssel nicht in der Registrierung finden, erstellen Sie ihn mit einem REG_DWORD-Datentyp von Grund auf und setzen Sie ihn auf 0, um die starke Zertifikatszuordnungsprüfung zu deaktivieren (obwohl dies von Microsoft nicht empfohlen wird, ist dies die einzige Möglichkeit, allen Benutzern die Anmeldung zu ermöglichen in).