微软官方承认，Windows 更新可能导致 AD 身份验证失败！

微软正在调查一个已知的问题，该问题导致一些Windows服务在安装2022年5月补丁星期二期间发布的更新后出现认证失败。

这是在 Windows 管理员在安装本月的安全更新后开始设置一些策略失败的报告之后发生的，系统提示“由于用户凭据不匹配，身份验证失败。提供的用户名未映射到现有帐户或密码不正确。” 错误信息。

该问题影响客户端和服务器 Windows 平台以及运行所有 Windows 版本的系统，包括最新的可用版本（Windows 11 和 Windows Server 2022）。

微软表示，这个已知问题只有在作为域控制器的服务器上安装更新后才会被触发。当部署在客户端Windows设备和非域控制器Windows服务器上时，这些更新不会产生负面影响。

“在您的域控制器上安装 2022 年 5 月 10 日发布的更新后，您可能会在服务器或客户端上看到网络策略服务器 (NPS)、路由和远程访问服务 (RRAS)、Radius、可扩展身份验证协议 ( EAP)和受保护的可扩展身份验证协议 (PEAP)”，微软解释道。

“发现了一个与域控制器处理证书到机器帐户的映射有关的问题”。

Redmond 正在调查这个新确认的问题，并将在即将发布的版本中提供解决该问题的更新。

由安全更新引起，可用的解决方法

Microsoft 在单独的支持文档中解释说，这些持续的服务身份验证问题是由解决 CVE-2022-26931 和 CVE-2022-26923 的安全更新引起的，这是 Windows Kerberos 和 Active Directory 域服务中的两个特权提升漏洞。

更严重的 CVE-2022-26923（由安全研究员 Oliver Lyak 发现并命名为 Certifried）可以让有权访问低权限帐户的攻击者在默认 Active Directory 配置中将权限提升为域管理员。

为了在官方更新可用之前解决已知问题，Microsoft 建议手动将证书映射到 Active Directory 中的计算机帐户。

“如果首选缓解措施在您的环境中不起作用，请参阅 ' KB5014754 — Windows 域控制器上基于证书的身份验证更改'，了解SChannel 注册表项部分中的其他可能缓解措施，”该公司补充道。

“除了首选的缓解措施，任何其他缓解措施都可能降低或禁用安全加固”。

微软表示，2022 年 5 月的更新会自动设置 StrongCertificateBindingEnforcement 注册表项，这会将 Kerberos 分发中心 (KDC) 的强制模式更改为兼容模式（这应该允许所有身份验证尝试，除非证书比用户旧）。

然而，一位 Windows 管理员表示，让他们的一些用户使用此更新登录的唯一方法是通过将 StrongCertificateBindingEnforcement 密钥设置为 0 来禁用它。

如果您在注册表中找不到该键，请使用 REG_DWORD 数据类型从头开始创建它并将其设置为 0 以禁用强证书映射检查（尽管 Microsoft 不推荐，但这是允许所有用户登录的唯一方法）。