我想告诉你关于五月补丁引起的微软认证问题的最新情况.
- 这只会潜在地影响微软域控制器. 更具体地说,它只影响以任何方式使用证书进行某种形式的身份验证的域控制器. 有许多使用证书的身份验证方法.
- 不使用证书进行身份验证的非Microsoft域控制器窗户。设备不受May身份验证补丁的负面影响.
- 微软的解决方案是所谓的证书映射.
- CISA暂时取消了针对域控制器的CVE-2022-26925,因为这造成了混乱.
阅读证书映射文档, 显然,由于必须对证书和活动目录结构进行更改,因此必须考虑到这一点.
下面是三个链接. 首先是微软关于这个问题的官方文件. 第二个是关于实际补丁的文档,其中列出了使证书映射实际工作所必须做的事情. 三是中钢协在这个问题上的官方立场.
微软办公室 5月补丁文件
KB5014754证书映射说明
CISA暂时从已知利用漏洞目录中删除CVE-2022-26925
如果您已经在域控制器上安装了May补丁,并且具有某种形式的基于证书的身份验证,例如NPS或Radius, 等., 然后,您必须执行证书映射过程和/或卸载KB5014754,以结束痛苦,并给您时间来弄清楚证书映射和/或查看Microsoft是否提供了其他形式的解决此补丁/身份验证冲突的方法.
重要的是要认识到,微软之所以做出这些改变,是因为在当前的域控制器框架中存在真正的安全漏洞. 我的理解是,这些变化是为了阻止这些漏洞. 如果不能有效地修补域控制器,就会暴露那些已知的漏洞. 如果您受到严格的监管补丁要求(例如.e.(信用卡的PCI),你可能有你必须遵循的具体指导.
我们现在的想法是对所有的东西 Microsoft域控制器除外 在5月份的更新中继续进行“正常”的补丁过程是可以接受的. 不要打任何域控制器补丁,直到您解决了这个证书映射问题和/或从微软那里得到了改进的指导.
与任何一组微软补丁一样, 在将它们大规模部署到整个网络之前,在有限的服务器或端点测试集上进行测试.
我们都经历过从“补丁星期二”到“尸体星期三”的日子.
就像去年夏天的“打印机噩梦”(Printer Nightmare)一样, 我希望我们能在这个令人不安的话题上看到更多的指导.
如果您有任何问题,请告诉我们.
新闻官斯科特Quimby |
最近的评论