微软正在调查在安装 2022 年 5 月补丁星期二发布的更新后导致某些 Windows 服务身份验证失败的已知问题。

这是在 Windows 管理员在安装本月的安全更新后开始分享一些策略失败的报告之后发生的，“由于用户凭据不匹配，身份验证失败。提供的用户名未映射到现有帐户或密码不正确。” 错误。

该问题影响客户端和服务器 Windows 平台以及运行所有 Windows 版本的系统，包括最新的可用版本（Windows 11 和 Windows Server 2022）。

微软表示，只有在用作域控制器的服务器上安装更新后才会触发已知问题。当部署在客户端 Windows 设备和非域控制器 Windows 服务器上时，更新不会产生负面影响。

“在您的域控制器上安装 2022 年 5 月 10 日发布的更新后，您可能会在服务器或客户端上看到网络策略服务器 (NPS)、路由和远程访问服务 (RRAS)、半径、可扩展身份验证协议 ( EAP)和受保护的可扩展身份验证协议 (PEAP)，”微软解释道。

“发现了一个与域控制器如何处理证书到机器帐户的映射有关的问题。”

Redmond 正在调查这个新确认的问题，并将在即将发布的版本中提供解决该问题的更新。

由安全更新引起，可用的解决方法
Microsoft 在单独的支持文档中解释说，这些持续的服务身份验证问题是由解决 CVE-2022-26931 和 CVE-2022-26923 的安全更新引起的，这是 Windows Kerberos 和 Active Directory 域服务中的两个特权提升漏洞。

更严重的 CVE-2022-26923（由安全研究员 Oliver Lyak 发现并命名为 Certifried）可以让有权访问低权限帐户的攻击者在默认 Active Directory 配置中将权限提升为域管理员。

为了在官方更新可用之前解决已知问题，Microsoft 建议手动将证书映射到 Active Directory 中的计算机帐户。
“如果首选缓解措施在您的环境中不起作用，请参阅 ' KB5014754 — Windows 域控制器上基于证书的身份验证更改'，了解SChannel 注册表项部分中其他可能的缓解措施，”该公司补充道。

“除首选缓解之外的任何其他缓解都可能降低或禁用安全强化。”

微软表示，2022 年 5 月的更新会自动设置 StrongCertificateBindingEnforcement 注册表项，这会将 Kerberos 分发中心 (KDC) 的强制模式更改为兼容模式（这应该允许所有身份验证尝试，除非证书比用户旧）。

然而，一位 Windows 管理员告诉 BleepingComputer，让他们的一些用户使用此更新登录的唯一方法是通过将 StrongCertificateBindingEnforcement 密钥设置为 0 来禁用它。

如果您在注册表中找不到密钥，请使用 REG_DWORD 数据类型从头开始创建它并将其设置为 0 以禁用强证书映射检查（尽管 Microsoft 不推荐，但这是允许所有用户登录的唯一方法在）。

11 月，微软还通过带外更新解决了与影响域控制器 (DC) 的 Kerberos 委派方案相关的Windows Server 身份验证失败。