Бесплатно Экспресс-аудит сайта:

14.05.2022

Обновления вызвали сбои в некоторых службах Windows

Администраторы Windows начали делиться сообщениями о сбое некоторых служб после установки обновлений безопасности в мае с сообщением «Ошибка аутентификации из-за несоответствия учетных данных пользователя. Либо указанное имя пользователя не соответствует существующей учетной записи, либо пароль был введен неверно».

Проблема затронула клиентские и серверные Windows платформы и системы под управлением всех версий ОС, включая последние доступные версии Windows 11 и Windows Server 2022. По заявлению Microsoft, проблема возникает только после установки обновлений на контроллерах домена. Обновления не окажут негативного влияния при установке на клиентских устройствах и серверах Windows, не относящихся к контроллеру домена.

«После установки обновлений от 10 мая 2022 года на ваших контроллерах домена вы можете увидеть сбои аутентификации на сервере или клиенте для служб Network Policy Server (NPS) , Routing and Remote access Service (RRAS) , Radius , Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP) », - сказала компания Microsoft.

«Обнаруженная проблема связанна с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатывается контроллером домена», - добавила компания.

Исследовательская лаборатория Microsoft Redmond изучает обнаруженную проблему и в скором времени предоставит обновление с исправлениями. Согласно отчету корпорации, текущий недостаток с проверкой подлинности службы вызван обновлениями безопасности с исправлениями уязвимостей CVE-2022-26931 и CVE-2022-26923 и двух уровней уязвимостей привилегий в Windows Kerberos и Active Directory Domain Services.


Наиболее опасная уязвимость CVE-2022-26923 под названием Certified может позволить злоумышленнику повысить привилегии администратора домена по умолчанию в конфигурациях Active Directory.

Для устранения проблемы до выпуска официальных обновлений Microsoft рекомендует вручную сопоставить сертификаты с учетной записью компьютера в Active Directory.

«Если меры безопасности не будут работать в вашей среде, пожалуйста, ознакомьтесь с " KB5014754 —Изменение проверки подлинности на основе сертификатов на контроллерах домена Windows" для других возможных мер по смягчению последствий в разделе раздела реестра SChannel. Любые другие меры, кроме предпочтительных, могут снизить или отключить усиление безопасности », - добавила компания.

По заявлению компании, обновления от мая 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, меняющий режим принудительного исполнения Kerberos Distribution Center (KDC) в режим совместимости, и могут разрешить все попытки аутентификации, если сертификат не старше пользователя.

Microsoft не рекомендует так делать, но единственным способом войти в систему с помощью нового обновления является отключение ключа StrongCertificateBindingEnforcement, установив для него значение 0. Если пользователь не нашел ключ в реестре, нужно создать его заново с помощью REG_DWORD и установить для него значение 0 для отключения проверки надежного сопоставления сертификатов.

Ранее сообщалось, что 10 мая Microsoft выпустила ежемесячные обновления безопасности для своих продуктов с исправлениями 74 уязвимостей, включая уязвимость нулевого дня в Windows LSA (Local Security Authority).