Компания Microsoft устранила известную проблему, вызывающую проблемы с аутентификацией на контроллерах домена Windows Server после установки апрельских обновлений безопасности 2025 года.
В число платформ, затронутых этой проблемой, входят Windows Server 2016, Windows Server 2019, Windows Server 2022 и последняя версия, Windows Server 2025.
Однако, как пояснила компания Microsoft в начале мая, домашние пользователи вряд ли пострадают, поскольку контроллеры домена обычно используются в корпоративных сценариях аутентификации.
«После установки апрельского ежемесячного обновления безопасности Windows, выпущенного 8 апреля 2025 года (KB5055523) или позже, контроллеры домена Active Directory (DC) могут испытывать проблемы при обработке входов Kerberos или делегирования с использованием учетных данных на основе сертификатов, которые полагаются на доверие к ключу через поле Active Directory msds-KeyCredentialLink»
- говорится в сообщении Microsoft
«Это может привести к проблемам аутентификации в средах Windows Hello for Business (WHfB) Key Trust или в средах, в которых развернута аутентификация с открытым ключом устройства (также известная как Machine PKINIT)».
Эти проблемы также могут повлиять на программное обеспечение, использующее эти две функции для аутентификации, включая, в частности, системы управления идентификацией, сторонние решения для единого входа (SSO) и продукты для аутентификации с помощью смарт-карт.
На этой неделе компания выпустила следующие накопительные обновления, которые устраняют проблемы с аутентификацией во всех затронутых выпусках Windows:
- KB5060842 (Windows Server 2025)
- KB5060526 (Windows Server 2022)
- KB5060531 (Windows Server 2019)
- KB5061010 (Windows Server 2016)
«Мы рекомендуем вам установить последнее обновление безопасности для вашего устройства, поскольку оно содержит важные улучшения и решения проблем, включая эту»
- поясняет Редмонд
«Если вы используете обновление, выпущенное до этой даты, и у вас возникла эта проблема, вам следует временно отложить установку значения 2 для ключа реестра
AllowNtAuthPolicyBypassна обновленных DC, обслуживающих аутентификацию на основе самоподписанных сертификатов»
Как Microsoft объяснила в прошлом месяце, эти проблемы с аутентификацией связаны с мерами безопасности, направленными на устранение уязвимости высокой степени серьезности (CVE-2025-26647), которая может позволить аутентифицированным злоумышленникам удаленно повысить привилегии, используя недостаток неправильной проверки ввода в Windows Kerberos (который заменил NTLM в качестве нового протокола аутентификации по умолчанию для подключенных к домену устройств в версиях Windows, выпущенных после Windows 2000.
В апреле Microsoft исправила еще одну известную проблему, вызывающую проблемы с авторизацией в системах Windows 11 и Windows Server 2025, использующих протокол безопасности Kerberos PKINIT, когда включена функция Credential Guard.
В ноябре 2022 года компании также пришлось выпустить экстренные внеполосные обновления (OOB), чтобы устранить ошибку, вызывающую сбои при входе в систему Kerberos и другие проблемы с авторизацией на контроллерах домена Windows.
Комментарии (0)