首页 >> 网络安全 >>系统安全 >> Microsoft在OOB更新中修复了Windows Kerberos身份验证问题
详细内容

Microsoft在OOB更新中修复了Windows Kerberos身份验证问题

时间:2020-11-19     作者:SERGIU GATLAN   阅读

Microsoft已安装了本月初发布的安全更新,以解决CVE-2020-17049的问题,并发布了带外可选更新,以解决导致企业域控制器上的Kerberos身份验证问题的已知问题。


CVE-2020-17049是可远程利用的Kerberos约束委派(KCD)安全功能绕过安全性漏洞,存在于KDC确定服务票证是否可用于委派的方式中。


Kerberos取代NTLM协议,将其作为Windows 2000之上所有Windows版本上域连接设备的默认身份验证协议。


此OOB更新是在Microsoft 于11月14日周末开始调查Kerberos身份验证问题之后发布的。


有关受影响的Windows版本的问题

微软在Windows消息中心更新中说: “作为此问题的一部分,票证续订和其他任务(如计划任务和群集)可能会失败。”


“此问题仅影响企业环境中的Windows Server,Windows 10设备和应用程序。”


根据Microsoft的说法,管理员可能会遇到以下可写和只读域控制器(DC)问题:

  • 当PerformTicketSignature设置为1(默认值)时,对于非Windows Kerberos客户端,Kerberos服务票证和票证授予票证(TGT)可能不会续订。

  • 当PerformTicketSignature设置为0时,所有客户端的用户服务(S4U)方案(例如计划任务,群集和业务线应用程序服务)可能会失败。

  • 如果不一致地更新中间域中的DC并将PerformTicketSignature设置为1,则在跨域方案中的票证引用期间S4UProxy委派失败。

  • 在Windows运行状况仪表板上,可以找到有关在安装安全更新以缓解CVE-2020-17049之后可能发生的潜在问题的更多详细信息。


修复程序仅适用于某些Windows版本

此OOB更新可用于缓解Windows Server 2012、2012 R2、2019和1809版本上的已知问题。

建议IT管理员仅在受此已知问题影响的情况下在域控制器上安装可选更新。

下表提供了受此问题影响的受影响平台的完整列表,以及引起该问题的累积更新和缓解该问题的可选更新。

受影响的平台
服务器原始更新OOB可选更新
Windows Server版本20H2KB4586781不适用
Windows Server 2004版KB4586781不适用
Windows Server版本1909KB4586786不适用
Windows Server版本1903KB4586786不适用
Windows Server版本1809KB4586793KB4594442
Windows Server 2019KB4586793KB4594442
Windows Server 2016KB4586830不适用
Windows Server 2012 R2KB4586845KB4594439
Windows Server 2012KB4586834KB4594438

无法通过Windows Update或Microsoft Update渠道使用此更新。要安装它,您将必须从Microsoft更新目录下载更新程序包或使用Windows Server更新服务(WSUS)。


此带外可选更新旨在解决这些Kerberos身份验证和票证续订问题,还将在近期针对其他Windows 10版本发布。

本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-kerberos-authentication-issues-in-oob-update/

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录