IT之家 5 月 7 日消息,微软昨日(5 月 6 日)更新 Windows 健康控制台,再次承认 4 月累积更新存在 BUG,导致在多个 Windows Server 服务器版本上,无法正常使用 Windows Hello Kerberos 认证。
IT之家曾于 4 月 10 日发布博文,报道称微软承认 Windows 11 24H2 和 Windows Server 2025 系统安装四月累积更新 KB5055523 后,无法使用 Windows Hello 登录。
在最新日志文件中,微软表示 4 月问题更新影响多个 Windows Server 版本,涉及 Windows Server 2025(KB5055523)、Server 2022(KB5055526)、Server 2019(KB5055519)和 Server 2016(KB5055521)等版本。
微软披露,安装 2025 年 4 月 8 日或之后发布的 Windows 月度安全更新后,Active Directory 域控制器(DC)在处理依赖证书的 Kerberos 登录或委托时遭遇问题。
这直接影响了 Windows Hello for Business(WHfB)Key Trust 环境,以及部署了设备公钥认证(Machine PKINIT)的场景。受影响的协议包括 Kerberos 公钥加密初始认证(Kerberos PKINIT)和基于证书的用户服务委托(S4U)。此外,智能卡认证、第三方单点登录(SSO)等依赖此功能的其他产品也可能受到波及。
微软解释,此问题与针对 Kerberos 权限提升漏洞(CVE-2025-26647)的安全补丁(KB5057784)有关。自 2025 年 4 月更新后,域控制器验证 Kerberos 认证证书的方式发生变化,导致证书链验证失败。
用户可能遇到两种症状:若注册表值 AllowNtAuthPolicyBypass 设为“1”,系统日志会反复记录事件 ID 45,但登录操作仍可成功;若设为“2”,登录将失败,并记录事件 ID 21。目前,微软建议将该值设为“1”以临时解决问题。
0 条