Обновления вызвали сбои в некоторых службах Windows

Администраторы Windows начали делиться сообщениями о сбое некоторых служб после установки обновлений безопасности в мае с сообщением «Ошибка аутентификации из-за несоответствия учетных данных пользователя. Либо указанное имя пользователя не соответствует существующей учетной записи, либо пароль был введен неверно».

Проблема затронула клиентские и серверные Windows платформы и системы под управлением всех версий ОС, включая последние доступные версии Windows 11 и Windows Server 2022. По заявлению Microsoft, проблема возникает только после установки обновлений на контроллерах домена. Обновления не окажут негативного влияния при установке на клиентских устройствах и серверах Windows, не относящихся к контроллеру домена.

«После установки обновлений от 10 мая 2022 года на ваших контроллерах домена вы можете увидеть сбои аутентификации на сервере или клиенте для служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP)», - сказала компания Microsoft.

«Обнаруженная проблема связанна с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатывается контроллером домена», - добавила компания.

Исследовательская лаборатория Microsoft Redmond изучает обнаруженную проблему и в скором времени предоставит обновление с исправлениями. Согласно отчету корпорации, текущий недостаток с проверкой подлинности службы вызван обновлениями безопасности с исправлениями уязвимостей CVE-2022-26931 и CVE-2022-26923 и двух уровней уязвимостей привилегий в Windows Kerberos и Active Directory Domain Services.

Наиболее опасная уязвимость CVE-2022-26923 под названием Certified может позволить злоумышленнику повысить привилегии администратора домена по умолчанию в конфигурациях Active Directory.

Для устранения проблемы до выпуска официальных обновлений Microsoft рекомендует вручную сопоставить сертификаты с учетной записью компьютера в Active Directory.

«Если меры безопасности не будут работать в вашей среде, пожалуйста, ознакомьтесь с «KB5014754 —Изменение проверки подлинности на основе сертификатов на контроллерах домена Windows» для других возможных мер по смягчению последствий в разделе раздела реестра SChannel. Любые другие меры, кроме предпочтительных, могут снизить или отключить усиление безопасности», - добавила компания.

По заявлению компании, обновления от мая 2022 года автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, меняющий режим принудительного исполнения Kerberos Distribution Center (KDC) в режим совместимости, и могут разрешить все попытки аутентификации, если сертификат не старше пользователя.

Microsoft не рекомендует так делать, но единственным способом войти в систему с помощью нового обновления является отключение ключа StrongCertificateBindingEnforcement, установив для него значение 0. Если пользователь не нашел ключ в реестре, нужно создать его заново с помощью REG_DWORD и установить для него значение 0 для отключения проверки надежного сопоставления сертификатов.

Ранее сообщалось, что 10 мая Microsoft выпустила ежемесячные обновления безопасности для своих продуктов с исправлениями 74 уязвимостей, включая уязвимость нулевого дня в Windows LSA (Local Security Authority).