Microsoft spiega l’impatto di KB5055523/KB5055526 e KB5057784 sugli accessi Kerberos a Windows Hello DC

Microsoft spiega l’impatto di KB5055523/KB5055526 e KB5057784 sugli accessi Kerberos a Windows Hello DC

Annuncio critico: identificati problemi di autenticazione Kerberos di Windows Hello

Microsoft ha riconosciuto un problema significativo che riguarda l’autenticazione Kerberos di Windows Hello sui controller di dominio Active Directory (AD DC).Il problema è emerso in seguito all’installazione dei recenti aggiornamenti Patch Tuesday di aprile 2025, con impatto specifico su Windows Server 2025 (KB5055523), Server 2022 (KB5055526), ​​Server 2019 (KB5055519) e Server 2016 (KB5055521).

Dettagli dell’errore di autenticazione

Gli aggiornamenti hanno causato complicazioni nell’elaborazione degli accessi Kerberos o delle deleghe che utilizzano credenziali basate su certificati. Questo problema si manifesta principalmente nei sistemi che dipendono dall’attendibilità delle chiavi tramite il campo msds-KeyCredentialLink in Active Directory. Di conseguenza, le organizzazioni che utilizzano Windows Hello for Business (WHfB) in ambienti Key Trust, o quelle con autenticazione a chiave pubblica del dispositivo (Machine PKINIT), potrebbero riscontrare errori di autenticazione.

Microsoft ha spiegato:

Dopo l’installazione dell’aggiornamento di sicurezza mensile di Windows di aprile, rilasciato l’8 aprile 2025 (KB5055523 / KB5055526 / KB5055519 / KB5055521) o versioni successive, i controller di dominio (DC) di Active Directory potrebbero riscontrare problemi durante l’elaborazione di accessi o deleghe Kerberos utilizzando credenziali basate su certificati che si basano sull’attendibilità delle chiavi tramite il campo msds-KeyCredentialLink di Active Directory. Ciò può causare problemi di autenticazione negli ambienti Windows Hello for Business (WHfB) Key Trust o in ambienti in cui è stata implementata l’autenticazione a chiave pubblica del dispositivo (nota anche come Machine PKINIT).

I protocolli interessati includono Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) e Certificate-based Service-for-User Delegation (S4U), che opera tramite Kerberos Constrained Delegation (KCD) e Kerberos Resource-Based Constrained Delegation (RBKCD).

Comprendere la causa principale

L’interruzione è attribuita a un problema di compatibilità derivante dalle patch che risolvono una vulnerabilità di sicurezza di rete in Windows Kerberos, identificata come CVE-2025-26647. Ulteriori dettagli sono disponibili nelle note sulla patch KB5057784. Poiché l’implementazione di queste patch è ancora in fase di distribuzione iniziale o in modalità di audit, non sono ancora pienamente applicate.

Secondo Microsoft, il problema deriva dai nuovi protocolli di sicurezza introdotti nei recenti aggiornamenti. In particolare, è stato modificato il metodo con cui i controller di dominio convalidano i certificati per l’autenticazione Kerberos. Il processo aggiornato richiede ora che i certificati si connettano a una radice presente nell’archivio NTAuth, come descritto in dettaglio nell’articolo KB5057784.

Microsoft ha osservato:

Questo problema è correlato alle misure di sicurezza descritte nell’articolo KB5057784, Protezioni per CVE-2025-26647 (Autenticazione Kerberos).A partire dagli aggiornamenti di Windows rilasciati l’8 aprile 2025 e successivi, il metodo con cui i controller di dominio convalidano i certificati utilizzati per l’autenticazione Kerberos è cambiato. A seguito di questo aggiornamento, i controller di dominio controlleranno se i certificati sono concatenati a una radice nell’archivio NTAuth, come descritto nell’articolo KB5057784.

Questo comportamento può essere controllato dal valore del registro AllowNtAuthPolicyBypassin HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc. Se AllowNtAuthPolicyBypassnon esiste, il controller di dominio si comporterà per impostazione predefinita come se il valore fosse impostato su “1”.

Sono stati identificati i due sintomi seguenti:

  • Se il valore del registro AllowNtAuthPolicyBypassè configurato su “1” sul controller di dominio di autenticazione, l’ID evento 45 del centro di distribuzione delle chiavi Kerberos verrà registrato ripetutamente, indicando: “Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato client valido ma non concatenato a una radice nell’archivio NTAuth”.Sebbene questo evento possa essere registrato più volte, i processi di accesso interessati continuano a funzionare correttamente senza ulteriori problemi.
  • Al contrario, se AllowNtAuthPolicyBypassè impostato su “2”, gli accessi degli utenti falliranno e nei registri eventi verrà visualizzato l’ID evento 21 di Kerberos-Key-Distribution-Center, con il seguente messaggio: “Il certificato client per l’utente non è valido e ha causato un accesso con smartcard non riuscito”.

Soluzione alternativa attuale e ulteriori informazioni

Per le organizzazioni che attualmente riscontrano questi problemi di autenticazione, Microsoft consiglia di modificare le impostazioni del Registro di sistema modificando il valore da “2” a “1” per attenuare temporaneamente l’impatto. Per informazioni più dettagliate su questo problema, è possibile consultare la voce nella dashboard di Microsoft Windows Health.

Per ulteriori approfondimenti e aggiornamenti su questa situazione in evoluzione, visita l’ articolo di Neowin.

Articoli correlati:

Crea videoclip personalizzati utilizzando Google Vids e Veo 2
Microsoft introduce agenti di intelligenza artificiale per migliorare Windows con funzionalità di intelligenza artificiale pratiche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *