在最新的官方日志中,微软详细指出,四月的问题更新影响了多个Windows Server版本,包括但不限于Windows Server 2025、Server 2022、Server 2019和Server 2016等。安装于2025年4月8日或之后发布的Windows月度安全更新后,Active Directory域控制器在处理依赖的Kerberos登录或委托时出现问题。该问题严重影响了Windows Hello for Business(WHfB)Key Trust环境以及使用设备公钥认证(Machine PKINIT)的场景。与Kerberos公钥加密初始认证(Kerberos PKINIT)和基于的用户服务委托(S4U)相关的协议也受到了影响。可能还会影响到依赖此功能的其他产品,如智能卡认证和第三方单点登录(SSO)等。
经过微软的深入调查,这一问题与针对Kerberos权限提升漏洞(CVE-2025-26647)的安全补丁(KB5057784)有关。自去年四月更新以来,域控制器验证Kerberos认证的方式发生了变化,这种变化导致了链验证失败。受影响的用户可能会遇到两种症状:如果注册表值AllowNtAuthPolicyBypass设为“1”,虽然系统日志会记录事件ID 45,但登录操作仍可成功;如果将其设为“2”,则会导致登录失败,并记录事件ID 21。为解决此问题,微软目前的建议是暂时将该值设为“1”。
此次更新的进一步承认和说明显示微软对解决此问题的决心和关注。他们正在努力寻找长期的解决方案,并通知用户如何在当前情况下临时应对这个问题。希望受影响用户可以根据微软的建议调整设置,以保证系统的正常运行。
