مایکروسافت در حال بررسی یک مشکل شناخته شده است که باعث خرابی احراز هویت برای برخی از سرویسهای ویندوز پس از نصب بهروزرسانیهای منتشر شده در وصله سهشنبه می ۲۰۲۲ میشود.
این امر پس از آن صورت میگیرد که مدیران ویندوز پس از نصب بهروزرسانیهای امنیتی این ماه، گزارشهایی مبنی بر شکست برخی از خطمشیها را با «تأیید هویت به دلیل عدم تطابق اعتبار کاربری انجام نشد. یا نام کاربری ارائهشده به یک حساب موجود نگاشت نمیشود یا رمز عبور نادرست بود» به اشتراک گذاشتند.
این مشکل بر پلتفرمها و سیستمهایی که تمامی نسخههای ویندوز از جمله آخرین نسخههای موجود (ویندوز 11 و ویندوز سرور 2022) را اجرا میکنند، کلاینت و سرور را تحت تأثیر قرار میدهد.
مایکروسافت میگوید مشکل شناخته شده تنها پس از نصب بهروزرسانیها روی سرورهایی که به عنوان Domain Controller استفاده میشوند، ایجاد میشود. بهروزرسانیها هنگام استقرار روی دستگاههای ویندوز کلاینت و سرورهای ویندوز خارج از دامین کنترل تاثیر مخربی ندارد
پس از نصب بهروزرسانیهای منتشر شده در 10 مه 2022 بر روی کنترلکنندههای دامنه خود، ممکن است در سرور یا کلاینت برای سرویسهایی مانند Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) و Protected Extensible Authentication Protocol (PEAP) مشکلات احراز هویت را مشاهده کنید.
مایکروسافت اعلام کرده:
“مشکلی در ارتباط با نحوه اختصاص گواهی ها به account های تعریف شده در دامین کنترل ایجاد شده است.”
راه حل های موجود برای این مشکل
مایکروسافت در یک سند پشتیبانی جداگانه توضیح میدهد که این مشکلات تأیید اعتبار سرویس توسط بهروزرسانیهای امنیتی با آدرس CVE-2022-26931 و CVE-2022-26923، دو افزایش آسیبپذیری privilege در Windows Kerberos وActive Directory Domain Services ایجاد میشوند.
و در شرایط حادتر، CVE-2022-26923، میتواند به مهاجمانی که به یک حساب کاربری با امتیاز پایین دسترسی دارند، اجازه دهد تا به تنظیمات پیشفرض اکتیو دایرکتوری با دسترسی بالا دست یابند.
برای رسیدگی به مشکل شناخته شده تا زمانی که بهروزرسانی رسمی در دسترس نباشد، مایکروسافت توصیه میکند گواهینامهها را به صورت دستی در حساب دستگاه در Active Directory ثبت کنید.
و اگر این کار امکان پذیر نیست لطفا ‘KB5014754 را مطالعه کنید.
مایکروسافت میگوید بهروزرسانیهای مه 2022 بهطور خودکار کلید رجیستری StrongCertificateBindingEnforcement را تنظیم میکند، که حالت اجرایی مرکز توزیع Kerberos (KDC) را به حالت سازگاری تغییر میدهد .
با این حال، یکی از مدیران ویندوز اعلام کرد که تنها راه برای وادار کردن برخی از کاربران خود برای ورود به سیستم با این بهروزرسانی، غیرفعال کردن کلید StrongCertificateBindingEnforcement با تنظیم آن روی 0 است.
اگر کلید را در رجیستری پیدا نکردید، آن را از ابتدا با استفاده از نوع داده REG_DWORD ایجاد کنید و آن را روی 0 تنظیم کنید تا بررسی نگاشت گواهینامه قوی را غیرفعال کنید (اگرچه توسط مایکروسافت توصیه نمی شود، اما این تنها راهی است که به همه کاربران اجازه می دهد وارد سیستم شوند).
