Microsoft устраняет проблемы с авторизацией на Windows Server, вызванные апрельскими обновлениями

Компания Microsoft устранила известную проблему, вызывающую проблемы с аутентификацией на контроллерах домена Windows Server после установки апрельских обновлений безопасности 2025 года.

В число платформ, затронутых этой проблемой, входят Windows Server 2016, Windows Server 2019, Windows Server 2022 и последняя версия, Windows Server 2025.

Однако, как пояснила компания Microsoft в начале мая, домашние пользователи вряд ли пострадают, поскольку контроллеры домена обычно используются в корпоративных сценариях аутентификации.

«После установки апрельского ежемесячного обновления безопасности Windows, выпущенного 8 апреля 2025 года (KB5055523) или позже, контроллеры домена Active Directory (DC) могут испытывать проблемы при обработке входов Kerberos или делегирования с использованием учетных данных на основе сертификатов, которые полагаются на доверие к ключу через поле Active Directory msds-KeyCredentialLink»
- говорится в сообщении Microsoft

«Это может привести к проблемам аутентификации в средах Windows Hello for Business (WHfB) Key Trust или в средах, в которых развернута аутентификация с открытым ключом устройства (также известная как Machine PKINIT)».

Эти проблемы также могут повлиять на программное обеспечение, использующее эти две функции для аутентификации, включая, в частности, системы управления идентификацией, сторонние решения для единого входа (SSO) и продукты для аутентификации с помощью смарт-карт.

На этой неделе компания выпустила следующие накопительные обновления, которые устраняют проблемы с аутентификацией во всех затронутых выпусках Windows:

• KB5060842 (Windows Server 2025)
• KB5060526 (Windows Server 2022)
• KB5060531 (Windows Server 2019)
• KB5061010 (Windows Server 2016)

«Мы рекомендуем вам установить последнее обновление безопасности для вашего устройства, поскольку оно содержит важные улучшения и решения проблем, включая эту»
- поясняет Редмонд

«Если вы используете обновление, выпущенное до этой даты, и у вас возникла эта проблема, вам следует временно отложить установку значения 2 для ключа реестра AllowNtAuthPolicyBypass на обновленных DC, обслуживающих аутентификацию на основе самоподписанных сертификатов»

Как Microsoft объяснила в прошлом месяце, эти проблемы с аутентификацией связаны с мерами безопасности, направленными на устранение уязвимости высокой степени серьезности (CVE-2025-26647), которая может позволить аутентифицированным злоумышленникам удаленно повысить привилегии, используя недостаток неправильной проверки ввода в Windows Kerberos (который заменил NTLM в качестве нового протокола аутентификации по умолчанию для подключенных к домену устройств в версиях Windows, выпущенных после Windows 2000.

В апреле Microsoft исправила еще одну известную проблему, вызывающую проблемы с авторизацией в системах Windows 11 и Windows Server 2025, использующих протокол безопасности Kerberos PKINIT, когда включена функция Credential Guard.

В ноябре 2022 года компании также пришлось выпустить экстренные внеполосные обновления (OOB), чтобы устранить ошибку, вызывающую сбои при входе в систему Kerberos и другие проблемы с авторизацией на контроллерах домена Windows.

Подробнее