Sonntag, Dezember 4, 2022

Die Versuche von Microsoft, die Kerberos-Authentifizierung zu härten, haben diese auf Windows-Servern verletzt

Microsoft rollt Fixes für Probleme mit dem Kerberos-Netzwerkauthentifizierungsprotokoll auf Windows Server aus, nachdem es durch die Patchday-Updates vom November beschädigt wurde.

Wie letzte Woche berichtet, haben am 8. November oder später veröffentlichte Updates, die auf Windows-Servern mit Domänencontroller-Pflichten zur Verarbeitung von Netzwerk- und Identitätssicherheitsanfragen installiert wurden, Kerberos-Authentifizierungsfunktionen beschädigt, die von Fehlern bei der Anmeldung von Domänenbenutzern und der Authentifizierung von gruppenverwalteten Dienstkonten bis hin zu Remote-Authentifizierungen reichen Desktop-Verbindungen verbinden sich nicht.

Es gab auch andere Probleme, darunter Benutzer, die nicht auf freigegebene Ordner auf Arbeitsstationen zugreifen konnten, und Druckerverbindungen, die eine Domänenbenutzerauthentifizierung erforderten, schlugen fehl.

„Dieses Problem könnte sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken“, schrieb Microsoft damals in seinem Windows Health Dashboard und fügte hinzu, dass Ingenieure versuchten, das Problem zu beheben.

Ende letzter Woche hat Microsoft Notfall-Out-of-Band-Updates (OOB) veröffentlicht, die auf allen Domänencontrollern installiert werden können, und besagt, dass Benutzer keine anderen Updates installieren oder Änderungen an anderen Servern oder Clientgeräten vornehmen müssen, um das Problem zu beheben. Darüber hinaus werden alle Problemumgehungen, die zur Minderung des Problems verwendet wurden, nicht mehr benötigt und sollten entfernt werden, schrieb das Unternehmen.

„Sie müssen keine vorherigen Updates anwenden, bevor Sie diese kumulativen Updates installieren“, so Microsoft. „Wenn Sie bereits Updates installiert haben, die am 8. November 2022 veröffentlicht wurden, müssen Sie die betroffenen Updates nicht deinstallieren, bevor Sie nachfolgende Updates installieren, einschließlich der [OOB] Aktualisierung“.

Kerberos wird verwendet, um Dienstanforderungen zwischen mehreren vertrauenswürdigen Hosts über ein nicht vertrauenswürdiges Netzwerk wie das Internet zu authentifizieren, wobei Kryptografie mit geheimen Schlüsseln und ein vertrauenswürdiger Dritter verwendet werden, um Anwendungen und Benutzeridentitäten zu authentifizieren. Es wurde in den 80er Jahren von Forschern des MIT entwickelt.

Microsoft hat mit der Verwendung von Kerberos in Windows 2000 begonnen und ist jetzt das Standardautorisierungstool im Betriebssystem. Andere Versionen von Kerberos, die vom Kerberos-Konsortium verwaltet werden, sind für andere Betriebssysteme verfügbar, einschließlich Apple OS, Linux und Unix.

Der Anbieter veröffentlichte am 8. November zwei Sicherheitsupdates für Kerberos – sowie Netlogon, ein weiteres Authentifizierungstool – im Zuge von zwei Schwachstellen, die als CVE-2022-37967 und CVE-2022-37966 verfolgt werden. Diese Updates haben zu Authentifizierungsproblemen geführt, die durch die neuesten Fixes behoben wurden.

Benutzer von fehlerhaften Windows-Systemen erhielten manchmal die Fehlermeldung „Microsoft-Windows-Kerberos-Key-Distribution-Center Ereignis-ID 14“ im Systemabschnitt des Ereignisprotokolls auf ihrem Domänencontroller mit folgendem Text: „Während der Verarbeitung einer AS-Anforderung für den Zieldienst das Konto hatte keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat die ID 1).“

Für das eigenständige OOB-Update-Paket können Benutzer im Microsoft Update-Katalog nach der KB-Nummer suchen und die Fixes manuell in Windows Server Update Services (siehe Anweisungen hier) und Endpoint Configuration Manager (Anweisungen hier) importieren.

Microsoft hat kumulative Updates für die Installation auf Domänencontrollern veröffentlicht: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655) und Windows Server 2016 (KB5021654). ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles