Майское обновление безопасности для Microsoft - CredSSP

999
Sun Cleverland

Я испытываю что-то очень странное после развертывания майского обновления безопасности на наших тестовых компьютерах. Вот эта вещь -

клиентские машины: Win 7 с установленной защитой в мае, исправлено CredSSP

серверные машины: Win 2008R2, без исправлений

У нас есть ДВУХ конкретных учетных записей пользователей AD, которые всегда терпят неудачу при ПЕРВОМ входе в систему при попытке RDP от пропатченного клиента к непатчированным серверам. Ошибка «Неизвестное имя пользователя или пароль». В средстве просмотра событий я могу найти событие 4625, которое указало ту же причину сбоя со статусом: 0xc0000006c под статус: 0xc0000006a

после некоторого тестирования и исследований я решил, что это как-то связано с патчем CredSSP, выпущенным в мае, для обновления безопасности. Однако сообщение об ошибке не соответствует сообщению, указанному в Microsoft KB https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

Как-то это тоже не соответствует матрице взаимодействия.

Самым странным является то, что это влияет только на эти две конкретные учетные записи AD (только учетные записи обычных пользователей, я не могу придумать ничего особенного в этих двух учетных записях). После того, как их первая попытка входа не удалась, они могли успешно войти во вторую попытку.

Другое решение заключается в применении политики безопасности, упомянутой в Microsoft KB (изменение ENcryption Oracle Remediation на Уязвимый)

Я полагаю, что это определенно вызвано майским исправлением безопасности, но я не мог понять, почему это затрагивает только две учетные записи AD. Я ожидал бы такого же поведения на всех пользователях AD ....

2
Вероятно, это связано с тем, что сервер отстает в исправлениях. Есть ли причина, по которой вы не пытались решить эту проблему путем установки доступных обновлений? Twisty Impersonator 5 лет назад 1
Из-за этой необъяснимой ситуации я немного колебался, чтобы развернуть патч на стороне сервера. Я предпочел бы, чтобы все выяснили, а не идти прямо к патчам. я волнуюсь, что могут быть другие потенциальные воздействия, которые я не мог полностью предвидеть. Sun Cleverland 5 лет назад 0
Установка обновлений для устранения нежелательного поведения - это одна из * первых * действий, которые выполняет системный администратор. Откладывание этого шага эквивалентно требованию объяснить, почему ваш автомобиль не заводится, прежде чем пытаться заполнить бензобак. Twisty Impersonator 5 лет назад 2

1 ответ на вопрос

1
Sun Cleverland

KB4103712 действительно решает проблему. Но это не может объяснить, почему определенные учетные записи AD должны войти в систему дважды перед применением исправления.

Похожие вопросы