微軟日前發現,在扮演網域控制器的Windows Server上部署11月8日釋出的Patch Tuesday安全更新後,即可能遭遇Kerberos認證問題,微軟已於本周四(11/17)釋出緊急更新進行修補。
Kerberos為一電腦網路認證協定,可供客戶端與伺服器端認證彼此的身份,可用來避免竊聽與重放攻擊,被應用在Windows、macOS與Linux等作業系統上。
根據微軟的說明,此一問題可能影響使用者環境中的任何Kerberos認證,造成網域用戶登入失敗,群組受管理的服務帳戶(gMSA) 無法認證,
基於網域用戶的遠端桌面連結失效,無法存取工作站的共享文件夾或無法於伺服器上分享文件,需要網域用戶認證的列印亦無法執行。
微軟已於本周釋出緊急更新,可用來安裝在使用者環境中的所有網域控制器,不同的Windows Server版本有不同的修補程式。
在具有網域控制站角色的Windows Server上安裝2022年11月8日或更新版本發行的更新之後,您可能會遇到 Kerberos 驗證問題。 此問題可能會影響您環境中的任何 Kerberos 驗證。
1.網域使用者登入會失敗,這也可能會影響Active Directory身份驗證服務 (AD FS) 。
2.用於 Internet Information Services (IIS Web Server)服務的群組帳戶無法驗證。
3.網域使用者的遠端桌面連線無法連線。
4.無法存取伺服器上工作站和檔案共用上的共用資料夾。
5.需要網域使用者驗證的列印工作失敗。
Client:
Windows 11, version 22H2;
Windows 10, version 22H2;
Windows 11, version 21H2;
Windows 10, version 21H2;
Windows 10, version 21H1;
Windows 10, version 20H2;
Windows 10 Enterprise LTSC 2019;
Windows 10 Enterprise LTSC 2016;
Windows 10 Enterprise 2015 LTSB;
Windows 8.1;
Windows 7 SP1
Server:
Windows Server 2022;
Windows Server 2019;
Windows Server 2016;
Windows Server 2012 R2;
Windows Server 2012;
Windows Server 2008 R2 SP1;
Windows Server 2008 SP2
Windows Client更新至11/18後的更新版本。
Windows Server執行 11/17 發佈之對應更新:
Windows Server 2022:KB5021656
Windows Server 2019:KB5021655
Windows Server 2016:KB5021654
Windows Server 2012 R2:KB5021653
Windows Server 2012:KB5021652
Windows Server 2008 R2 SP1:KB5021651(2022 年 11 月 18 日發佈)
Windows Server 2008 SP2:KB5021657
1.https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc
2.https://learn.microsoft.com/zh-tw/windows/release-health/status-windows-11-22h2#2953msgdesc
3.https://www.ithome.com.tw/news/154293
