
重要公告:發現 Windows Hello Kerberos 驗證問題
微軟已承認存在影響 Active Directory 網域控制站 (AD DC) 上的 Windows Hello Kerberos 驗證的重大問題。這個問題是在安裝最近的 2025 年 4 月補丁星期二更新後出現的,具體影響 Windows Server 2025(KB5055523)、Server 2022(KB5055526)、Server 2019(KB5055519)和 Server 2016(KB5055519)。
認證失敗詳情
這些更新導致處理使用基於憑證的憑證的 Kerberos 登入或委派時出現複雜情況。這個問題主要體現在依賴 Active Directory 中的 msds-KeyCredentialLink 欄位的金鑰信任的系統中。因此,在金鑰信任環境中使用 Windows Hello for Business (WHfB) 的組織或具有裝置公鑰驗證 (Machine PKINIT) 的組織可能會面臨身分驗證失敗。
微軟詳細說明:
安裝 2025 年 4 月 8 日發布的 Windows 四月月度安全更新 (KB5055523 / KB5055526 / KB5055519 / KB505521) 或更高版本後,Active Directory 網域控制站 (DC) 在處理基於憑證使用的憑證( Kerberos 登入或委派時可能會遇到問題。這可能會導致 Windows Hello 企業版 (WHfB) 金鑰信任環境或已部署裝置公鑰驗證(也稱為機器 PKINIT)的環境中出現驗證問題。
…
受影響的協定包括用於初始驗證的 Kerberos 公鑰加密 (Kerberos PKINIT) 和基於憑證的使用者服務委派 (S4U),它透過 Kerberos 約束委派 (KCD) 和 Kerberos 基於資源的約束委派 (RBKCD) 運作。
了解根本原因
此次中斷是由於針對 Windows Kerberos 網路安全漏洞(編號為 CVE-2025-26647)的修補程式所引起的相容性問題。更多詳細資訊請參閱 KB5057784 下的補丁說明。由於這些修補程式的推出仍處於初始部署階段或審核模式,因此尚未完全實施。
據微軟稱,該問題源自於最近更新中引入的新安全協議。具體來說,網域控制站驗證 Kerberos 驗證憑證的方法已被修改。更新後的流程現在要求憑證連接到 NTAuth 儲存中的根,如 KB5057784 中所述。
微軟指出:
此問題與 KB5057784 中所述的安全措施「CVE-2025-26647(Kerberos 身份驗證)的保護」有關。從 2025 年 4 月 8 日及之後發布的 Windows 更新開始,DC 驗證用於 Kerberos 驗證的憑證的方法已變更。在此更新之後,他們將檢查憑證是否連結到 NTAuth 儲存中的根,如 KB5057784 所述。
AllowNtAuthPolicyBypass
此行為可以透過中的註冊表值來控制HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
。如果AllowNtAuthPolicyBypass
不存在,則 DC 預設將值設為「1」。已發現以下兩種症狀:
AllowNtAuthPolicyBypass
如果在驗證網域控制站上將登錄值配置為“1”,則會重複記錄Kerberos-Key-Distribution-Center 事件 ID 45,指示:「金鑰分發中心 (KDC) 遇到有效但未連結到 NTAuth 儲存中的根的用戶端憑證。」雖然此事件可能會被記錄多次,但未連結到 NTAuth 儲存中的根的用戶端憑證。」雖然此事件可能會被記錄多次,但受影響的進一步登入。- 相反,如果
AllowNtAuthPolicyBypass
設定為“2”,使用者登入將失敗,並且事件日誌中將出現Kerberos-Key-Distribution-Center 事件 ID 21,指出:“使用者的客戶端憑證無效,導致智慧卡登入失敗。”
目前的解決方法和更多信息
對於目前面臨這些身份驗證問題的組織,Microsoft 建議透過將值從「2」更改為「1」來調整註冊表設置,以暫時減輕影響。有關此問題的更多詳細信息,您可以參考Microsoft Windows Health Dashboard上的條目。
如需進一步了解和了解此發展情況的最新情況,請造訪Neowin 文章。
發佈留言