Corrigindo problemas de autenticação Kerberos no Windows Server • The Register

A Microsoft está lançando correções para problemas com o protocolo de autenticação de rede Kerberos no Windows Server depois que ele foi interrompido pelas atualizações do Patch Tuesday de novembro.

Como nós relatado na semana passada, as atualizações lançadas em 8 de novembro ou posterior que foram instaladas no Windows Server com funções de controlador de domínio para lidar com solicitações de segurança de rede e identidade interromperam os recursos de autenticação Kerberos, variando de falhas de login de usuário de domínio e autenticação de conta de serviço gerenciado por grupo a logins de desktop remoto sem conexão.

Também havia outros problemas, incluindo usuários incapazes de acessar pastas compartilhadas em estações de trabalho e conexões de impressora que exigiam falha na autenticação do usuário do domínio.

“Esse problema pode afetar qualquer autenticação Kerberos em seu ambiente”, escreveu a Microsoft em seu painel de saúde do Windows na época, acrescentando que os engenheiros estavam trabalhando para resolver o problema.

No final da semana passada, a Microsoft Publicados atualizações de emergência fora de banda (OOB) que podem ser instaladas em todos os controladores de domínio, indicando que os usuários não precisam instalar mais atualizações ou fazer alterações em outros servidores ou dispositivos cliente para resolver o problema. Além disso, quaisquer soluções alternativas usadas para mitigar o problema não são mais necessárias e devem ser removidas, escreveu a empresa.

“Você não precisa aplicar uma atualização anterior antes de instalar essas atualizações cumulativas”, de acordo com a Microsoft. “Se você já instalou as atualizações lançadas em 8 de novembro de 2022, não precisa desinstalar as atualizações afetadas antes de instalar as atualizações subsequentes, incluindo o [OOB] atualizações.”

O Kerberos é usado para autenticar solicitações de serviço entre vários hosts confiáveis ​​em uma rede não confiável, como a Internet, usando criptografia de chave secreta e terceiros confiáveis ​​para autenticar aplicativos e identidades de usuários. Foi criado na década de 1980 por pesquisadores do MIT.

A Microsoft começou a usar o Kerberos no Windows 2000 e agora é a ferramenta de autorização padrão do sistema operacional. Outras versões do Kerberos, mantidas pelo Kerberos Consortium, estão disponíveis para outros sistemas operacionais, incluindo Apple OS, Linux e Unix.

O vendedor em 8 de novembro Publicados duas atualizações para fortalecer a segurança do Kerberos – assim como do Netlogon, outra ferramenta de autenticação – após duas vulnerabilidades rastreadas como CVE-2022-37967 e CVE-2022-37966. Essas atualizações causaram problemas de autenticação que foram resolvidos pelos patches mais recentes.

Os usuários de sistemas Windows com o bug às vezes receberam um aviso de evento de erro “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14” na seção Sistema do log de eventos em seu controlador de domínio com o texto que incluía: “Ao processar uma solicitação AS para o serviço de destino a conta não tinha uma chave apropriada para gerar um tíquete Kerberos (a chave ausente tem um ID de 1).”

Para o pacote autônomo de atualizações OOB, os usuários podem encontrar o número KB no Catálogo do Microsoft Update e importar manualmente os patches para o Windows Server Update Services (consulte as instruções aqui) e Endpoint Configuration Manager (instruções aqui).

A Microsoft lançou atualizações cumulativas para instalar em controladores de domínio: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655) e Windows Server 2016 (KB5021654). ®