Microsoft กำลังตรวจสอบปัญหาที่ทราบแล้วซึ่งทำให้การรับรองความถูกต้องล้มเหลวสำหรับบริการ

Windows บางรายการหลังจากติดตั้งโปรแกรมปรับปรุงที่เผยแพร่ในช่วงเดือนพฤษภาคม 2022 Patch Tuesdayสิ่งนี้เกิดขึ้นหลังจากผู้ดูแลระบบ Windows เริ่มแชร์รายงานเกี่ยวกับนโยบายบางอย่างที่ล้มเหลวหลังจากติดตั้งการอัปเดตความปลอดภัยในเดือนนี้ด้วย “การตรวจสอบสิทธิ์ล้มเหลวเนื่องจากข้อมูลรับรองผู้ใช้ไม่ตรงกัน ชื่อผู้ใช้ที่ระบุไม่ได้จับคู่กับบัญชีที่มีอยู่หรือรหัสผ่านไม่ถูกต้อง” ข้อผิดพลาด

บทความแนะนำ : รัฐแอริโซนาใส่ใบขับขี่และบัตรประจำตัวของรัฐใน Wallet Apple

ปัญหานี้ส่งผลกระทบต่อไคลเอ็นต์และเซิร์ฟเวอร์แพลตฟอร์ม Windows และระบบที่ทำงานบน Windows ทุกเวอร์ชัน รวมถึงรุ่นล่าสุดที่พร้อมใช้งาน (Windows 11 และ Windows Server 2022)Windows 11 เพื่อแสดงการดำเนินการที่แนะนำเมื่อคัดลอกข้อมูลไปยังคลิปบอร์ดMicrosoft กล่าวว่าปัญหาที่ทราบจะเกิดขึ้นหลังจากติดตั้งการอัปเดตบนเซิร์ฟเวอร์ที่ใช้เป็นตัวควบคุมโดเมนเท่านั้น การอัปเดตจะไม่ส่งผลกระทบในทางลบเมื่อปรับใช้กับอุปกรณ์ Windows ไคลเอนต์และเซิร์ฟเวอร์ Windows ที่ไม่ใช่ตัวควบคุมโดเมน

“หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 10 พฤษภาคม 2022 บนตัวควบคุมโดเมนของคุณ คุณอาจเห็นความล้มเหลวในการรับรองความถูกต้องบนเซิร์ฟเวอร์หรือไคลเอนต์สำหรับบริการต่างๆ เช่นNetwork Policy Server (NPS) , Routing and Remote access Service (RRAS) , Radius , Extensible Authentication Protocol ( EAP)และProtected Extensible Authentication Protocol (PEAP) ” Microsoft อธิบาย

“พบปัญหาที่เกี่ยวข้องกับวิธีจัดการการแมปใบรับรองไปยังบัญชีเครื่องโดยตัวควบคุมโดเมน”เรดมอนด์กำลังตรวจสอบปัญหาที่เพิ่งรับทราบและจะให้การอัปเดตเพื่อแก้ไขปัญหาในรุ่นถัดไปเกิดจากการอัพเดทความปลอดภัย วิธีแก้ปัญหาที่มีอยู่Microsoft อธิบายในเอกสารสนับสนุนแยกต่างหากว่าปัญหาการรับรองความถูกต้องของบริการที่กำลังดำเนินอยู่เหล่านี้เกิดจากการอัปเดตความปลอดภัยที่กล่าวถึง CVE-2022-26931 และ CVE-2022-26923 ซึ่งเป็นช่องโหว่ระดับสิทธิ์สองระดับใน Windows Kerberos และ Active Directory Domain Services

ที่รุนแรงกว่านั้น CVE-2022-26923 (ค้นพบโดยนักวิจัยด้านความปลอดภัย Oliver Lyak และขนานนามว่าCertifried ) สามารถให้ผู้โจมตีที่เข้าถึงบัญชีที่มีสิทธิพิเศษต่ำยกระดับสิทธิ์ผู้ดูแลระบบโดเมนในการกำหนดค่า Active Directory เริ่มต้นเพื่อแก้ไขปัญหาที่ทราบจนกว่าจะมีการอัปเดตอย่างเป็นทางการ Microsoft แนะนำให้ จับคู่ ใบรับรองกับบัญชีเครื่องใน Active Directory ด้วยตนเอง

“หากการบรรเทาปัญหาที่ต้องการใช้ไม่ได้ในสภาพแวดล้อมของคุณ โปรดดู ‘ KB5014754 — การเปลี่ยนแปลงการรับรองความถูกต้องตามใบรับรองบนตัวควบคุมโดเมน Windows’ สำหรับการบรรเทาที่เป็นไปได้อื่นๆ ใน ส่วน คีย์รีจิสทรีของ SChannel ” บริษัทกล่าวเสริม”การบรรเทาอื่น ๆ ยกเว้นการบรรเทาที่ต้องการอาจลดหรือปิดใช้งานการเสริมความปลอดภัยMicrosoft กล่าวว่าการอัปเดตในเดือนพฤษภาคม 2022 จะตั้งค่ารีจิสทรีคีย์ StrongCertificateBindingEnforcement โดยอัตโนมัติ ซึ่งจะเปลี่ยนโหมดการบังคับใช้ของ Kerberos Distribution Center (KDC) เป็นโหมดความเข้ากันได้ (และควรอนุญาตให้มีการตรวจสอบสิทธิ์ทั้งหมด เว้นแต่ใบรับรองจะเก่ากว่าผู้ใช้)

อย่างไรก็ตาม ผู้ดูแลระบบ Windows บอกกับ BleepingComputer ว่าวิธีเดียวที่จะให้ผู้ใช้บางคนเข้าสู่ระบบด้วยการอัปเดตนี้คือปิดใช้งานคีย์ StrongCertificateBindingEnforcement โดยตั้งค่าเป็น 0หากคุณไม่พบคีย์ในรีจิสทรี ให้สร้างขึ้นใหม่ทั้งหมดโดยใช้ประเภทข้อมูล REG_DWORD และตั้งค่าเป็น 0 เพื่อปิดใช้งานการตรวจสอบการแมปใบรับรองที่รัดกุม (แม้ว่า Microsoft จะไม่แนะนำ แต่ก็เป็นวิธีเดียวที่จะอนุญาตให้ผู้ใช้ทั้งหมดเข้าสู่ระบบได้ ใน).

บทความอื่น ๆ dondarrockphotography.com