Microsoft正在修复上周针对Kerberos密钥分发中心（KDC）安全功能中的绕过漏洞的修补程序中的一个错误。

Microsoft已标记了影响已安装该修补程序的系统的问题https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-17049“target=”Βblank“rel=“noopener noreferrer”data component=“externalLink”>漏洞CVE-2020-17049，是2020年11月补丁星期二更新

Kerberos是一种客户端-服务器身份验证协议用于多个操作系统，包括Windows。Microsoft试图修复Kerberos KDC中的一个绕过，Kerberos KDC是一种处理服务器和客户端之间的消息加密票证的功能。

请参阅：Windows 10开始菜单破解（TechRepublic Premium）

“安装后https://support.microsoft.com/help/4586786“target=”noopener noreferrer“data component=”externalLink“>KB4586786打开域控制器（DC）和只读域控制器（RODC）在您的环境中，您可能会遇到Kerberos身份验证问题，“Microsoft所有支持的Windows 10版本的“已知问题”页面中的注释。

“这是由CVE-2020-17049已在这些更新中解决。“

错误修补程序仅影响Windows服务器，企业环境中的Windows 10设备和应用程序，根据Microsoft的说法。

Microsoft通过更改KDC验证与Kerberos约束委派（KCD）一起使用的服务票证的方式来解决此漏洞，因为KDC在确定服务令牌是否可用于KCD委派时存在绕过问题。

Microsoft解释了有三个注册表设置值–0、1和2–对于PerformTicketSignature来控制它，但是管理员可能会在每个设置中遇到不同的问题。

“在使用S4U方案（如计划任务、群集和服务，例如业务线应用程序）时，将该值设置为0可能会导致身份验证问题，“微软声明。

另外，默认值设置1可能会导致使用Kerberos对Windows域进行身份验证的非Windows客户端遇到身份验证问题。

请参见：微软在安全漏洞上大做文章奖金：1370万美元是谷歌2019年奖金的两倍，管理员还可以看到Windows和非Windows设备上的“跨领域引用”失败，因为通过DC的Kerberos引用票证尚未获得修补程序星期二更新。

“我们正在研究解决方案，一旦有更多信息可用，我们将尽快提供更新，“Microsoft便笺。

Microsoft也有修订了部署更新的指南。它建议管理员定位KDC注册表子项，如果系统中存在该子项，请确保将其设置为1。然后管理员需要完成对所有DC的部署，并且是只读DC。

“请注意，按照我们最初的指导使用0设置可能会导致Kerberos的S4USelf功能出现已知问题。我们正在努力解决这个已知的问题，

PC出货量：谷歌Chromebook销量飞涨，但台式机却暴跌

apple m1速度测试：新Arm MacBook Air通过注册将基于Intel的MacBook Pro吹走，您同意
2023-03-22 10:04:23