Προβλήματα στο authentication του Windows Kerberos προέκυψαν για τους εταιρικούς domain controllers, μετά από την ενημέρωση Patch Tuesday.
Η Microsoft διερευνά ένα νέο γνωστό ζήτημα που προκαλεί στους domain controllers εταιρικού τομέα να αντιμετωπίζουν αποτυχίες σύνδεσης στο Kerberos και άλλα προβλήματα ελέγχου ταυτότητας (authentication) μετά την εγκατάσταση αθροιστικών ενημερώσεων που κυκλοφόρησαν κατά τη διάρκεια της ενημέρωσης Patch Tuesday αυτού του μήνα.
Το Kerberos έχει αντικαταστήσει το πρωτόκολλο NTLM ως το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας (authentication) για συσκευές συνδεδεμένες σε domain σε όλες τις εκδόσεις των Windows μετά από τα Windows 2000.
Οι αναγνώστες του BleepingComputer ανέφεραν επίσης πριν από τρεις ημέρες ότι οι ενημερώσεις Νοεμβρίου διακόπτουν το Kerberos «σε περιπτώσεις όπου έχετε ορίσει το This account supports Kerberos AES 256 bit encryption ή This account supports Kerberos AES 128 bit encryption στα Account options (π.χ. msDS- msDS-SupportedEncryptionTypes attribute) σε λογαριασμούς χρηστών στο AD.»
Δείτε επίσης: Η Microsoft κυκλοφόρησε το Patch Tuesday Νοεμβρίου 2022
Το γνωστό ζήτημα, το οποίο διερευνάται ενεργά από το Redmond, μπορεί να επηρεάσει οποιοδήποτε σενάριο authentication Kerberos σε περιβάλλοντα επιχειρήσεων που επηρεάζονται.
«Μετά την εγκατάσταση ενημερώσεων που κυκλοφόρησαν στις 8 Νοεμβρίου 2022 ή νεότερες εκδόσεις σε Windows servers με ρόλο Domain controller, ενδέχεται να έχετε προβλήματα με το Kerberos authentication», εξήγησε η Microsoft.
«Όταν παρουσιαστεί αυτό το ζήτημα, ενδέχεται να λάβετε ένα συμβάν σφάλματος Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 στην ενότητα System του Event Log στο domain controller σας με το παρακάτω κείμενο.
Τα σφάλματα που έχουν καταγραφεί στα system event logs στα επηρεαζόμενα συστήματα θα επισημαίνονται με τη φράση «the missing key has an ID of 1».
«While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1)», ανέφεραν τα καταγεγραμμένα σφάλματα.
Η λίστα με τα σενάρια Kerberos authentication περιλαμβάνει, αλλά δεν περιορίζεται στα εξής:
- Η σύνδεση χρήστη domain ενδέχεται να αποτύχει. Αυτό μπορεί επίσης να επηρεάσει τον έλεγχο ταυτότητας των Active Directory Federation Services (AD FS).
- Group Managed Service Accounts (gMSA) που χρησιμοποιούνται για υπηρεσίες όπως οι Υπηρεσίες Πληροφοριών Διαδικτύου (Internet Information Services Web Server) ενδέχεται να αποτύχουν στον έλεγχο ταυτότητας.
- Οι απομακρυσμένες συνδέσεις (remote desktop) που χρησιμοποιούν χρήστες domain ενδέχεται να αποτύχουν να συνδεθούν.
- Μπορεί να μην μπορείτε να αποκτήσετε πρόσβαση σε κοινόχρηστους φακέλους σε workstations και file shares σε servers.
- Η εκτύπωση που απαιτεί έλεγχο ταυτότητας χρήστη domain ενδέχεται να αποτύχει.
Η πλήρης λίστα των πλατφορμών που επηρεάζονται περιλαμβάνει εκδόσεις τόσο για client όσο και για server:
- Client: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 ή νεότερες εκδόσεις και Windows 11 21H2 ή νεότερες εκδόσεις
- Server: Windows Server 2008 SP2 ή μεταγενέστερη έκδοση, συμπεριλαμβανομένης της τελευταίας έκδοσης, Windows Server 2022.
Δείτε επίσης: Η Microsoft διορθώνει προβλήματα συνδεσιμότητας Windows DirectAccess
Ενώ η Microsoft έχει αρχίσει να επιβάλλει security hardening για το Netlogon και το Kerberos ξεκινώντας από το Patch Tuesday του Νοεμβρίου 2022, η εταιρεία λέει ότι αυτό το γνωστό ζήτημα δεν ήταν ένα αναμενόμενο αποτέλεσμα.
Το ζήτημα δεν επηρεάζει τις συσκευές που χρησιμοποιούνται από οικιακούς πελάτες και αυτούς που δεν είναι εγγεγραμμένοι σε ένα domain εσωτερικής εγκατάστασης. Επίσης, δεν επηρεάζει τα υβριδικά περιβάλλοντα Azure Active Directory και εκείνα που δεν διαθέτουν servers Active Directory εσωτερικής εγκατάστασης.
Η Microsoft εργάζεται για μια επιδιόρθωση για αυτό το γνωστό πρόβλημα και εκτιμά ότι μια λύση θα είναι διαθέσιμη τις επόμενες εβδομάδες.
Το Redmond έχει επίσης αντιμετωπίσει παρόμοια προβλήματα ελέγχου ταυτότητας Kerberos που επηρεάζουν τα συστήματα Windows που προκαλούνται από ενημερώσεις ασφαλείας που κυκλοφόρησαν ως μέρος της ενημέρωσης Patch Tuesday Νοεμβρίου 2020.
Πηγή: bleepingcomputer.com
