Problèmes d'authentification Kerberos sur Windows Server résolus • The Register

Microsoft déploie des correctifs pour résoudre les problèmes liés au protocole d'authentification réseau Kerberos sur Windows Server après sa rupture par les mises à jour du Patch Tuesday de novembre.

Comme nous l'avons signalé la semaine dernière, les mises à jour publiées le 8 novembre ou plus tard et installées sur Windows Server avec les fonctions du contrôleur de domaine de gestion des demandes de sécurité du réseau et des identités ont perturbé les capacités d'authentification Kerberos, allant des échecs de connexion des utilisateurs de domaine à l'authentification des comptes de service gérés de groupe. aux connexions de bureau à distance qui ne se connectent pas.

Il y avait également d'autres problèmes, notamment l'impossibilité pour les utilisateurs d'accéder aux dossiers partagés sur les postes de travail et aux connexions d'imprimante nécessitant l'échec de l'authentification des utilisateurs de domaine.

"Ce problème pourrait affecter toute authentification Kerberos dans votre environnement", écrivait alors Microsoft dans son Windows Health Dashboard, ajoutant que les ingénieurs essayaient de résoudre le problème.

À la fin de la semaine dernière, Microsoft a publié des mises à jour d'urgence hors bande (OOB) qui peuvent être installées sur tous les contrôleurs de domaine, indiquant que les utilisateurs n'ont pas besoin d'installer d'autres mises à jour ou d'apporter des modifications à d'autres serveurs ou appareils clients pour résoudre le problème. En outre, toutes les solutions de contournement utilisées pour atténuer le problème ne sont plus nécessaires et doivent être supprimées, a écrit la société.

"Vous n'avez pas besoin d'appliquer une mise à jour précédente avant d'installer ces mises à jour cumulatives", selon Microsoft. "Si vous avez déjà installé des mises à jour publiées le 8 novembre 2022, vous n'avez pas besoin de désinstaller les mises à jour concernées avant d'installer des mises à jour ultérieures, y compris les mises à jour [OOB]."

Kerberos est utilisé pour authentifier les demandes de service entre plusieurs hôtes de confiance sur un réseau non fiable tel qu'Internet, en utilisant une cryptographie à clé secrète et un tiers de confiance pour authentifier les applications et les identités des utilisateurs. Il a été créé dans les années 1980 par des chercheurs du MIT.

Microsoft a commencé à utiliser Kerberos dans Windows 2000 et c'est désormais l'outil d'autorisation par défaut dans le système d'exploitation. D'autres versions de Kerberos, gérées par le Consortium Kerberos, sont disponibles pour d'autres systèmes d'exploitation, notamment Apple OS, Linux et Unix.

Le fournisseur a publié le 8 novembre deux mises à jour pour renforcer la sécurité de Kerberos – ainsi que de Netlogon, un autre outil d'authentification – à la suite de deux vulnérabilités identifiées comme CVE-2022-37967 et CVE-2022-37966. Ces mises à jour ont entraîné des problèmes d'authentification résolus par les derniers correctifs.

Les utilisateurs de systèmes Windows présentant le bogue ont parfois reçu une notification « Événement d'erreur Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 » dans la section Système du journal des événements sur leur contrôleur de domaine avec un texte comprenant : " Lors du traitement d'une demande AS pour le service cible , le compte ne disposait pas d'une clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID de 1)."

Pour le package autonome des mises à jour OOB, les utilisateurs peuvent rechercher le numéro de base de connaissances dans le catalogue Microsoft Update et importer manuellement les correctifs dans Windows Server Update Services (voir les instructions ici) et Endpoint Configuration Manager (instructions ici).

Microsoft a publié des mises à jour cumulatives à installer sur les contrôleurs de domaine : Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655) et Windows Server 2016 (KB5021654). ®

Envoyez-nous des nouvelles