پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

بر اساس اعلام شرکت مایکروسافت: ممکن است به‌روزرسانی‌های ویندوز منتشر شده در ماه می، موجب آسیب به احراز هویت در AD (اکتیودایرکتوری) شود.

تیتر مطالب

مایکروسافت در حال بررسی یک مشکل شناخته شده است که باعث خرابی احراز هویت برای برخی از سرویس‌های ویندوز پس از نصب به‌روزرسانی‌های منتشر شده در وصله سه‌شنبه می ۲۰۲۲ می‌شود.

این امر پس از آن صورت می‌گیرد که مدیران ویندوز پس از نصب به‌روزرسانی‌های امنیتی این ماه، گزارش‌هایی مبنی بر شکست برخی از خط‌مشی‌ها را با «تأیید هویت به دلیل عدم تطابق اعتبار کاربری انجام نشد. یا نام کاربری ارائه‌شده به یک حساب موجود نگاشت نمی‌شود یا رمز عبور نادرست بود» به اشتراک گذاشتند.

این مشکل بر پلتفرم‌ها و سیستم‌هایی که تمامی نسخه‌های ویندوز از جمله آخرین نسخه‌های موجود (ویندوز 11 و ویندوز سرور 2022) را اجرا می‌کنند، کلاینت و سرور را تحت تأثیر قرار می‌دهد.

مایکروسافت می‌گوید مشکل شناخته شده تنها پس از نصب به‌روزرسانی‌ها روی سرورهایی که به عنوان Domain Controller استفاده می‌شوند، ایجاد می‌شود. به‌روزرسانی‌ها هنگام استقرار روی دستگاه‌های ویندوز کلاینت و سرورهای ویندوز خارج از دامین کنترل تاثیر مخربی ندارد

پس از نصب به‌روزرسانی‌های منتشر شده در 10 مه 2022 بر روی کنترل‌کننده‌های دامنه خود، ممکن است در سرور یا کلاینت برای سرویس‌هایی مانند Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) و Protected Extensible Authentication Protocol (PEAP) مشکلات احراز هویت را مشاهده کنید.

مایکروسافت اعلام کرده:

“مشکلی در ارتباط با نحوه اختصاص گواهی ها به account های تعریف شده در دامین کنترل ایجاد شده است.”

راه حل های موجود برای این مشکل

مایکروسافت در یک سند پشتیبانی جداگانه توضیح می‌دهد که این مشکلات تأیید اعتبار سرویس توسط به‌روزرسانی‌های امنیتی با آدرس‌ CVE-2022-26931 و CVE-2022-26923، دو افزایش آسیب‌پذیری privilege در Windows Kerberos وActive Directory Domain Services ایجاد می‌شوند.

و در شرایط حادتر، CVE-2022-26923، می‌تواند به مهاجمانی که به یک حساب کاربری با امتیاز پایین دسترسی دارند، اجازه دهد تا به تنظیمات پیش‌فرض اکتیو دایرکتوری با دسترسی بالا دست یابند.

برای رسیدگی به مشکل شناخته شده تا زمانی که به‌روزرسانی رسمی در دسترس نباشد، مایکروسافت توصیه می‌کند گواهینامه‌ها را به صورت دستی در حساب دستگاه در Active Directory ثبت کنید.

و اگر این کار امکان پذیر نیست لطفا ‘KB5014754 را مطالعه کنید.

مایکروسافت می‌گوید به‌روزرسانی‌های مه 2022 به‌طور خودکار کلید رجیستری StrongCertificateBindingEnforcement را تنظیم می‌کند، که حالت اجرایی مرکز توزیع Kerberos (KDC) را به حالت سازگاری تغییر می‌دهد .

با این حال، یکی از مدیران ویندوز اعلام کرد که تنها راه برای وادار کردن برخی از کاربران خود برای ورود به سیستم با این به‌روزرسانی، غیرفعال کردن کلید StrongCertificateBindingEnforcement با تنظیم آن روی 0 است.

اگر کلید را در رجیستری پیدا نکردید، آن را از ابتدا با استفاده از نوع داده REG_DWORD ایجاد کنید و آن را روی 0 تنظیم کنید تا بررسی نگاشت گواهینامه قوی را غیرفعال کنید (اگرچه توسط مایکروسافت توصیه نمی شود، اما این تنها راهی است که به همه کاربران اجازه می دهد وارد سیستم شوند).