微软发布带外更新修复Windows 10 v1809版Kerberos协议身份验证问题
Kerberos是麻省理工学院开发的计算机通信协议, 可在非安全的网络环境中对个人通信进行安全加密确保安全性。
该协议也有同名软件用于服务器和客户端进行加密通信,在此前发布的累积更新中微软就曾破坏过这种加密协议。
日前Windows 10 v1809版也出现类似问题,使用 Kerberos 进行域控的设备可能无法完成身份凭据的自动续订。
因此微软已经推出带外更新用来修复这个问题,如果企业使用该协议进行域控的话可以手动下载该更新进行安装。
Kerberos域控示意图
此次带外更新主要用于解决与CVE-2020-17049中的 PerformTicketSignature 注册表子项相关的身份验证问题。
当该注册表键值设置为1即默认值时 , 对非 Windows Kerberos 客户端可能出现服务凭证和授权凭证无法续订等。
当该注册表键值设置为0时则所有客户端的用户服务方案(S4U)例如计划任务 , 群集以及程序服务都可能出现失败。
如果域控中的设备更新情况不同并且将该键值都设置为默认值时,则跨域方案的凭证引用期间S4U代理也会失败。
因此使用该协议进行域控的企业应该将所有设备都进行更新,更新后再将注册表键值设置为默认则可以正常使用。
此更新属于本月例行更新的组成部分因此已经集成到最新更新里,用户可以在系统更新检查页面直接下载该更新。
亦可手动前往微软下载离线文件 :https://www.catalog.update.microsoft.com/Search.aspx?q=KB4594442
成功安装此更新系统版本升级至Windows 10 1809 Build 17763.1579版,此次更新不涉及其他安全问题或改进。