
Annuncio critico: identificati problemi di autenticazione Kerberos di Windows Hello
Microsoft ha riconosciuto un problema significativo che riguarda l’autenticazione Kerberos di Windows Hello sui controller di dominio Active Directory (AD DC).Il problema è emerso in seguito all’installazione dei recenti aggiornamenti Patch Tuesday di aprile 2025, con impatto specifico su Windows Server 2025 (KB5055523), Server 2022 (KB5055526), Server 2019 (KB5055519) e Server 2016 (KB5055521).
Dettagli dell’errore di autenticazione
Gli aggiornamenti hanno causato complicazioni nell’elaborazione degli accessi Kerberos o delle deleghe che utilizzano credenziali basate su certificati. Questo problema si manifesta principalmente nei sistemi che dipendono dall’attendibilità delle chiavi tramite il campo msds-KeyCredentialLink in Active Directory. Di conseguenza, le organizzazioni che utilizzano Windows Hello for Business (WHfB) in ambienti Key Trust, o quelle con autenticazione a chiave pubblica del dispositivo (Machine PKINIT), potrebbero riscontrare errori di autenticazione.
Microsoft ha spiegato:
Dopo l’installazione dell’aggiornamento di sicurezza mensile di Windows di aprile, rilasciato l’8 aprile 2025 (KB5055523 / KB5055526 / KB5055519 / KB5055521) o versioni successive, i controller di dominio (DC) di Active Directory potrebbero riscontrare problemi durante l’elaborazione di accessi o deleghe Kerberos utilizzando credenziali basate su certificati che si basano sull’attendibilità delle chiavi tramite il campo msds-KeyCredentialLink di Active Directory. Ciò può causare problemi di autenticazione negli ambienti Windows Hello for Business (WHfB) Key Trust o in ambienti in cui è stata implementata l’autenticazione a chiave pubblica del dispositivo (nota anche come Machine PKINIT).
…
I protocolli interessati includono Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) e Certificate-based Service-for-User Delegation (S4U), che opera tramite Kerberos Constrained Delegation (KCD) e Kerberos Resource-Based Constrained Delegation (RBKCD).
Comprendere la causa principale
L’interruzione è attribuita a un problema di compatibilità derivante dalle patch che risolvono una vulnerabilità di sicurezza di rete in Windows Kerberos, identificata come CVE-2025-26647. Ulteriori dettagli sono disponibili nelle note sulla patch KB5057784. Poiché l’implementazione di queste patch è ancora in fase di distribuzione iniziale o in modalità di audit, non sono ancora pienamente applicate.
Secondo Microsoft, il problema deriva dai nuovi protocolli di sicurezza introdotti nei recenti aggiornamenti. In particolare, è stato modificato il metodo con cui i controller di dominio convalidano i certificati per l’autenticazione Kerberos. Il processo aggiornato richiede ora che i certificati si connettano a una radice presente nell’archivio NTAuth, come descritto in dettaglio nell’articolo KB5057784.
Microsoft ha osservato:
Questo problema è correlato alle misure di sicurezza descritte nell’articolo KB5057784, Protezioni per CVE-2025-26647 (Autenticazione Kerberos).A partire dagli aggiornamenti di Windows rilasciati l’8 aprile 2025 e successivi, il metodo con cui i controller di dominio convalidano i certificati utilizzati per l’autenticazione Kerberos è cambiato. A seguito di questo aggiornamento, i controller di dominio controlleranno se i certificati sono concatenati a una radice nell’archivio NTAuth, come descritto nell’articolo KB5057784.
Questo comportamento può essere controllato dal valore del registro
AllowNtAuthPolicyBypass
inHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
. SeAllowNtAuthPolicyBypass
non esiste, il controller di dominio si comporterà per impostazione predefinita come se il valore fosse impostato su “1”.Sono stati identificati i due sintomi seguenti:
- Se il valore del registro
AllowNtAuthPolicyBypass
è configurato su “1” sul controller di dominio di autenticazione, l’ID evento 45 del centro di distribuzione delle chiavi Kerberos verrà registrato ripetutamente, indicando: “Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato client valido ma non concatenato a una radice nell’archivio NTAuth”.Sebbene questo evento possa essere registrato più volte, i processi di accesso interessati continuano a funzionare correttamente senza ulteriori problemi.- Al contrario, se
AllowNtAuthPolicyBypass
è impostato su “2”, gli accessi degli utenti falliranno e nei registri eventi verrà visualizzato l’ID evento 21 di Kerberos-Key-Distribution-Center, con il seguente messaggio: “Il certificato client per l’utente non è valido e ha causato un accesso con smartcard non riuscito”.
Soluzione alternativa attuale e ulteriori informazioni
Per le organizzazioni che attualmente riscontrano questi problemi di autenticazione, Microsoft consiglia di modificare le impostazioni del Registro di sistema modificando il valore da “2” a “1” per attenuare temporaneamente l’impatto. Per informazioni più dettagliate su questo problema, è possibile consultare la voce nella dashboard di Microsoft Windows Health.
Per ulteriori approfondimenti e aggiornamenti su questa situazione in evoluzione, visita l’ articolo di Neowin.
Lascia un commento