
Krytyczne ogłoszenie: zidentyfikowano problemy z uwierzytelnianiem Kerberos w Windows Hello
Firma Microsoft potwierdziła poważny problem dotyczący uwierzytelniania Windows Hello Kerberos na kontrolerach domeny Active Directory (AD DC).Problem ten pojawił się po zainstalowaniu ostatnich aktualizacji Patch Tuesday z kwietnia 2025 r., w szczególności wpływających na systemy Windows Server 2025 (KB5055523), Server 2022 (KB5055526), Server 2019 (KB5055519) i Server 2016 (KB5055521).
Szczegóły niepowodzenia uwierzytelniania
Aktualizacje spowodowały komplikacje podczas przetwarzania logowań Kerberos lub delegacji wykorzystujących poświadczenia oparte na certyfikatach. Ten problem pojawia się głównie w systemach zależnych od zaufania klucza za pośrednictwem pola msds-KeyCredentialLink w usłudze Active Directory. W związku z tym organizacje wykorzystujące Windows Hello for Business (WHfB) w środowiskach Key Trust lub te z uwierzytelnianiem klucza publicznego urządzenia (Machine PKINIT) mogą napotkać błędy uwierzytelniania.
Microsoft wyjaśnił:
„Po zainstalowaniu miesięcznej aktualizacji zabezpieczeń systemu Windows z kwietnia 2025 r.(KB5055523 / KB5055526 / KB5055519 / KB5055521) lub nowszej kontrolery domeny usługi Active Directory (DC) mogą mieć problemy podczas przetwarzania logowań lub delegacji Kerberos przy użyciu poświadczeń opartych na certyfikatach, które polegają na zaufaniu kluczy za pośrednictwem pola msds-KeyCredentialLink usługi Active Directory. Może to powodować problemy z uwierzytelnianiem w środowiskach zaufania kluczy usługi Windows Hello for Business (WHfB) lub środowiskach, w których wdrożono uwierzytelnianie klucza publicznego urządzenia (znane również jako Machine PKINIT).”
…
Dotknięte tym problemem protokoły obejmują Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) i Certificate-based Service-for-User Delegation (S4U), który działa zarówno poprzez Kerberos Constrained Delegation (KCD), jak i Kerberos Resource-Based Constrained Delegation (RBKCD).
Zrozumienie przyczyny źródłowej
Zakłócenie jest spowodowane problemem ze zgodnością wynikającym z poprawek rozwiązujących lukę w zabezpieczeniach sieci w systemie Windows Kerberos, zidentyfikowaną jako CVE-2025-26647. Więcej szczegółów można znaleźć w notatkach dotyczących poprawki w sekcji KB5057784. Ponieważ wdrażanie tych poprawek jest nadal w początkowej fazie wdrażania lub w trybie audytu, nie są one jeszcze w pełni egzekwowane.
Według Microsoftu problem wynika z nowych protokołów bezpieczeństwa wprowadzonych w ostatnich aktualizacjach. Konkretnie, zmodyfikowano metodę, za pomocą której kontrolery domeny weryfikują certyfikaty dla uwierzytelniania Kerberos. Zaktualizowany proces wymaga teraz, aby certyfikaty łączyły się z rootem znajdującym się w magazynie NTAuth, jak opisano szczegółowo w KB5057784.
Microsoft zauważył:
Ten problem jest związany ze środkami bezpieczeństwa opisanymi w KB5057784, Ochrona przed CVE-2025-26647 (Uwierzytelnianie Kerberos).Począwszy od aktualizacji systemu Windows wydanych 8 kwietnia 2025 r.i późniejszych, metoda, w której kontrolery domeny weryfikują certyfikaty używane do uwierzytelniania Kerberos, uległa zmianie. Po tej aktualizacji sprawdzą, czy certyfikaty są powiązane łańcuchem z katalogiem głównym w magazynie NTAuth, zgodnie z opisem w KB5057784.
To zachowanie można kontrolować za pomocą wartości rejestru
AllowNtAuthPolicyBypass
wHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
. JeśliAllowNtAuthPolicyBypass
nie istnieje, kontroler domeny domyślnie zachowuje się tak, jakby wartość była ustawiona na „1”.Zidentyfikowano następujące dwa objawy:
- Jeśli wartość rejestru
AllowNtAuthPolicyBypass
jest skonfigurowana na „1” na uwierzytelniającym kontrolerze domeny, zdarzenie Kerberos-Key-Distribution-Center o identyfikatorze 45 będzie wielokrotnie rejestrowane, wskazując: „Centrum dystrybucji kluczy (KDC) napotkało certyfikat klienta, który był prawidłowy, ale nie był połączony z katalogiem głównym w magazynie NTAuth”.Mimo że zdarzenie to może być rejestrowane wielokrotnie, dotknięte nim procesy logowania pozostają pomyślne bez dalszych problemów.- Odwrotnie, jeśli
AllowNtAuthPolicyBypass
ustawiono na „2”, logowania użytkowników zakończą się niepowodzeniem, a w dziennikach zdarzeń pojawi się zdarzenie Kerberos-Key-Distribution-Center o identyfikatorze 21 ze wskazaniem: „Certyfikat klienta dla użytkownika jest nieprawidłowy i spowodowało nieudane logowanie za pomocą karty inteligentnej”.
Aktualne obejście problemu i dalsze informacje
W przypadku organizacji, które obecnie borykają się z tymi problemami uwierzytelniania, Microsoft zaleca dostosowanie ustawienia rejestru poprzez zmianę wartości z „2” na „1”, aby tymczasowo złagodzić wpływ. Aby uzyskać bardziej szczegółowe informacje na temat tego problemu, zapoznaj się z wpisem w Microsoft Windows Health Dashboard.
Więcej informacji i aktualności na temat tej rozwijającej się sytuacji można znaleźć w artykule Neowin.
Dodaj komentarz