在本月补丁周二活动日发布的累计更新中,微软修复了追踪编号为CVE-2022-26925的Windows Local Security Authority(LSA)欺诈漏洞。此严重漏洞允许未经身份验证的攻击者匿名调用方法,域控制器(DC)现在通过NTLM进行身份验证。最糟糕的情况是,权限可能会提高,攻击者可能会控制整个域。这一漏洞很重要,因为美国网络安全基础设施安全(CISA)规定联邦私人行政机构(FCEB)在3周内安装这些更新,以保护自己免受这一攻击面和其他攻击。但是,最新的补丁程序星期二更新在DC安装时也会引起认证问题,所以这个要求被取消了。公告上的说明是,在客户端Windows设备和非域控制器Windows服务器上安装2022年5月10日发布的更新,不会引起这个问题,依然受到强烈鼓励。此问题仅影响安装在域控制器服务器上的2022年5月10日更新。组织必须继续将更新应用于客户端Windows设备和非域控制器Windows服务器。在关于这个问题的咨询中,微软表示“如果在域控制器上安装将于2022年5月10日发布的更新,则网络策略服务器(NPS)、路由和远程接入服务(RRAS)、Radius、可扩展认证协议(EAP)、保护可扩展认证协议(PEAP)等已弃用的函数的缺少的支持。我们发现域控制器如何处理证书和计算机帐户映射的问题。“。微软分享了受影响的平台列表客户端:●Windows11 Version21H2●Windows10 Version21H2●Windows10 Version21H1●Windows10 Version20H2●Windows10 Version1909●Windows10 Version1809●Windows10 Enterprise LTSC2019●Windows10 Enterprise LTSC2016●Windows10 Version1607●Windows10 Enterprise2015LTSB●Windows8.1●Windows7SP1服务器:●Windows Server 2022●Windows Server Version20H2●Windows Server Version1909●Windows Server 1809●Windows Server 2019●Windows Server 2016●Windows Server 2012R2●Windows Server 2012●Windows Server 2008R2SP1●Windows Server 2008SP2这些问题主要是Windows Kerberos和Active Directory域服务中描述的场景,使用下列步骤创建明细表,以便在概念设计中分析体量的周长。CISA不再鼓励IT管理员不在DC上安装5月的补丁星期二,因为他们无法从他们想要安装的补丁中进行选择。目前,微软提供解决方案,例如手动映射证书。微软还提供了一个临时解决方案,可以将证书手动映射到活动目录中的计算机帐户,作为解决此问题的首选解决方案。有关详细信息,请参见证书映射。注意:将证书映射到活动目录的用户或计算机帐户的说明相同。如果首选缓解措施在环境中不起作用,请参阅KB5014754-Windows域控制器中的基于证书的身份验证更改,以了解Schannel注册表密钥部分的其他可能的缓解措施。注:除优先的缓解措施外,其他缓解措施可降低或禁用安全增强。我们也强烈强调,应用其他宽松政策可能会对组织安全态势产生负面影响。考虑到CISA不鼓励FCEB在Windows服务器DC上完全安装5月补丁周二的更新,微软可能希望尽快提供更持久的修复程序。