Connexion Microsoft

Microsoft enquête sur un problème connu provoquant des échecs d’authentification pour certains services Windows après l’installation des mises à jour publiées lors du patch Tuesday de mai 2022.

Cela vient après le démarrage des administrateurs Windows partage de rapports de certaines stratégies échouant après l’installation des mises à jour de sécurité de ce mois-ci avec “L’authentification a échoué en raison d’une incompatibilité des informations d’identification de l’utilisateur. Soit le nom d’utilisateur fourni ne correspond pas à un compte existant, soit le mot de passe était incorrect.” les erreurs.

Le problème affecte les plates-formes et les systèmes Windows client et serveur exécutant toutes les versions de Windows, y compris les dernières versions disponibles (Windows 11 et Windows Server 2022).

Microsoft indique que le problème connu n’est déclenché qu’après l’installation des mises à jour sur les serveurs utilisés comme contrôleurs de domaine. Les mises à jour n’auront pas d’impact négatif lorsqu’elles seront déployées sur des appareils Windows clients et des serveurs Windows non contrôleurs de domaine.

“Après avoir installé les mises à jour publiées le 10 mai 2022 sur vos contrôleurs de domaine, vous pouvez constater des échecs d’authentification sur le serveur ou le client pour des services tels que Serveur de stratégie réseau (NPS), Service de routage et d’accès à distance (RRAS), Rayon, Protocole d’authentification extensible (EAP)et Protocole d’authentification extensible protégé (PEAP)”, explique Microsoft.

“Un problème lié à la manière dont le mappage des certificats aux comptes de machine est géré par le contrôleur de domaine a été détecté.”

Redmond enquête sur ce problème nouvellement reconnu et fournira une mise à jour pour le résoudre dans une prochaine version.

Causé par des mises à jour de sécurité, solution de contournement disponible

Microsoft explique dans un document de support séparé que ces problèmes d’authentification de service en cours sont causés par des mises à jour de sécurité traitant de CVE-2022-26931 et CVE-2022-26923, deux élévations de vulnérabilités de privilèges dans Windows Kerberos et Active Directory Domain Services.

Le plus grave, CVE-2022-26923 (découvert par le chercheur en sécurité Oliver Lyak et surnommé Certifié), peut laisser les attaquants ayant accès à un compte à faibles privilèges élever les privilèges à l’administrateur du domaine sur les configurations Active Directory par défaut.

Pour résoudre le problème connu jusqu’à ce qu’une mise à jour officielle soit disponible, Microsoft recommande mappage manuel des certificats à un compte d’ordinateur dans Active Directory.

“Si l’atténuation préférée ne fonctionne pas dans votre environnement, veuillez consulter ‘KB5014754—Modifications de l’authentification basée sur les certificats sur les contrôleurs de domaine Windows pour d’autres atténuations possibles dans le Clé de registre SChannel rubrique “la société ajoutée.

Toute autre atténuation, à l’exception de l’atténuation préférée, peut réduire ou désactiver le renforcement de la sécurité.”

Microsoft indique que les mises à jour de mai 2022 définissent automatiquement la clé de registre StrongCertificateBindingEnforcement, qui modifie le mode d’application du centre de distribution Kerberos (KDC) en mode de compatibilité (et cela devrait autoriser toutes les tentatives d’authentification, sauf si le certificat est plus ancien que l’utilisateur).

Cependant, un administrateur Windows a déclaré à BleepingComputer que la seule façon d’amener certains de leurs utilisateurs à se connecter avec cette mise à jour était de désactiver la clé StrongCertificateBindingEnforcement en la définissant sur 0.

Si vous ne trouvez pas la clé dans le registre, créez-la à partir de zéro en utilisant un type de données REG_DWORD et définissez-la sur 0 pour désactiver la vérification du mappage de certificat fort (bien que non recommandé par Microsoft, c’est le seul moyen d’autoriser tous les utilisateurs à se connecter ).

En novembre, Microsoft a également abordé Échecs d’authentification Windows Server liés aux scénarios de délégation Kerberos impactant les contrôleurs de domaine (DC) via des mises à jour hors bande.

Leave a Reply

Your email address will not be published.