Përditësimet e Windows mund të shkaktojnë dështime të vërtetimit të AD
Microsoft po heton një problem të njohur që shkakton dështime të vërtetimit për disa shërbime të Windows pas instalimit të përditësimeve të lëshuara gjatë Patch të Martën e majit 2022.
Kjo vjen pasi administratorët e Windows filluan të ndajnë raportet e disa politikave që dështuan pas instalimit të përditësimeve të sigurisë të këtij muaji me “Vërtetimi dështoi për shkak të një mospërputhjeje të kredencialeve të përdoruesit. Ose emri i përdoruesit nuk lidhet me një llogari ekzistuese ose fjalëkalimi ishte i pasaktë”. gabimet.
Problemi prek platformat dhe sistemet e Windows të klientit dhe serverit që ekzekutojnë të gjitha versionet e Windows, duke përfshirë versionet më të fundit të disponueshme (Windows 11 dhe Windows Server 2022).
Microsoft thotë se problemi i njohur shkaktohet vetëm pas instalimit të përditësimeve në serverët e përdorur si kontrollues domeni. Përditësimet nuk do të ndikojnë negativisht kur vendosen në pajisjet e klientit Windows dhe serverët e Windows-it që nuk janë kontrollues të domenit.
“Pas instalimit të përditësimeve të lëshuara më 10 maj 2022 në kontrollorët e domenit tuaj, mund të shihni dështime të vërtetimit në server ose klient për shërbime të tilla si Serveri i Politikave të Rrjetit (NPS), Shërbimi i Rrugës dhe qasjes në distancë (RRAS), Radius, Protokolli i Zgjeruar i Autentifikimit ( EAP) dhe Protokolli i Mbrojtur i Autentifikimit të Zgjeruar (PEAP),” shpjegon Microsoft.
“Është gjetur një problem në lidhje me mënyrën se si po trajtohet hartëzimi i certifikatave në llogaritë e makinerive nga kontrolluesi i domenit.”
Redmond po heton këtë çështje të njohur rishtazi dhe do të ofrojë një përditësim për ta adresuar atë në një version të ardhshëm.
Microsoft shpjegon në një dokument të veçantë mbështetjeje se këto probleme të vazhdueshme të vërtetimit të shërbimit shkaktohen nga përditësimet e sigurisë që adresojnë CVE-2022-26931 dhe CVE-2022-26923, dy rritje të dobësive të privilegjeve në Windows Kerberos dhe Active Directory Domain Services.
Ai më i rëndë, CVE-2022-26923 (zbuluar nga studiuesi i sigurisë Oliver Lyak dhe i quajtur Certifried), mund t’i lejojë sulmuesit me akses në një llogari me privilegj të ulët të rrisin privilegjet te administratori i domenit në konfigurimet e parazgjedhura të Active Directory.
Për të adresuar problemin e njohur derisa të disponohet një përditësim zyrtar, Microsoft rekomandon hartëzimin manual të certifikatave në një llogari makine në Active Directory.
“Nëse zbutja e preferuar nuk do të funksionojë në mjedisin tuaj, ju lutemi shihni ‘KB5014754—Ndryshimet e vërtetimit të bazuara në certifikatë në kontrollorët e domenit të Windows’ për zbutje të tjera të mundshme në seksionin e çelësit të regjistrit SChannel,” shtoi kompania.
Microsoft thotë se përditësimet e majit 2022 vendosin automatikisht çelësin e regjistrit StrongCertificateBindingEnforcement, i cili ndryshon modalitetin e zbatimit të Qendrës së Shpërndarjes Kerberos (KDC) në modalitetin e përputhshmërisë (dhe kjo duhet të lejojë të gjitha përpjekjet e vërtetimit përveç nëse certifikata është më e vjetër se përdoruesi).
Megjithatë, një administrator i Windows i tha BleepingComputer se e vetmja mënyrë për t’i bërë disa nga përdoruesit e tyre të identifikoheshin me këtë përditësim ishte çaktivizimi i çelësit StrongCertificateBindingEnforcement duke e vendosur atë në 0.
Nëse nuk e gjeni çelësin në regjistër, krijoni atë nga e para duke përdorur një lloj të dhënash REG_DWORD dhe vendoseni në 0 për të çaktivizuar kontrollin e fortë të hartës së certifikatës (edhe pse nuk rekomandohet nga Microsoft, është mënyra e vetme për të lejuar të gjithë përdoruesit të regjistrohen në).