هشدار: به‌روزرسانی جدید مایکروسافت باعث قطع دسترسی کاربران ویندوز سرور می‌شود

مایکروسافت تأیید کرده است که احراز هویت Windows Hello Kerberos روی کنترلرهای دامنه (DC) اکتیو دایرکتوری (AD) دچار مشکل شده است. این مشکل پس از نصب به‌روزرسانی‌های اخیر سه‌شنبه امنیتی آوریل ۲۰۲۵ روی ویندوز سرور ۲۰۲۵ (KB5055523)، سرور ۲۰۲۲ (KB5055526)، سرور ۲۰۱۹ (KB5055519) و سرور ۲۰۱۶ (KB5055521) آغاز شده است.

این شرکت توضیح می‌دهد:

“پس از نصب به‌روزرسانی امنیتی ماهانه ویندوز که در ۸ آوریل ۲۰۲۵ (KB5055523 / KB5055526 / KB5055519 / KB5055521) یا بعدتر منتشر شده، کنترلرهای دامنه اکتیو دایرکتوری (DC) ممکن است هنگام پردازش ورودهای Kerberos یا واگذاری‌هایی که از اعتبارنامه‌های مبتنی بر گواهینامه استفاده می‌کنند و به اعتماد کلید از طریق فیلد msds-KeyCredentialLink در اکتیو دایرکتوری متکی هستند، با مشکلاتی مواجه شوند. این می‌تواند منجر به مشکلات احراز هویت در محیط‌های اعتماد کلید Windows Hello for Business (WHfB) یا محیط‌هایی شود که احراز هویت کلید عمومی دستگاه (همچنین معروف به Machine PKINIT) را پیاده‌سازی کرده‌اند.”

“پروتکل‌های تحت تأثیر عبارتند از: رمزنگاری کلید عمومی Kerberos برای احراز هویت اولیه (Kerberos PKINIT)، و واگذاری سرویس مبتنی بر گواهینامه برای کاربر (S4U) از طریق واگذاری محدود Kerberos (KCD یا A2D2 Delegation) و واگذاری محدود مبتنی بر منابع Kerberos (RBKCD یا A2DF Delegation).”

مایکروسافت اضافه می‌کند که محصولات دیگری که به این سیستم متکی هستند نیز می‌توانند تحت تأثیر قرار گیرند، از جمله محصولات احراز هویت کارت هوشمند، سیستم‌های ورود یکپارچه (SSO) شخص ثالث و غیره.

مایکروسافت همچنین توضیح داده است که چه چیزی باعث این مشکل شده است. این غول فناوری می‌گوید که مشکل نتیجه یک باگ سازگاری با وصله‌های اخیر نصب شده برای آسیب‌پذیری امنیتی افزایش امتیاز (شبکه) Kerberos ویندوز است. این آسیب‌پذیری تحت شناسه CVE-2025-26647 ردیابی می‌شود و جزئیات وصله تحت KB5057784 در دسترس است.

انتشار وصله فوق وارد فاز اولیه استقرار یا حالت ممیزی با وصله آوریل شده است و بنابراین هنوز اجباری نشده است.

مایکروسافت ریشه مشکل را در زیر توضیح داده و همچنین علائم آن را بیان کرده است:

"این مشکل مربوط به اقدامات امنیتی توصیف شده در KB5057784، محافظت‌ها برای CVE-2025-26647 (احراز هویت Kerberos) است. با شروع به‌روزرسانی‌های ویندوز منتشر شده در ۸ آوریل ۲۰۲۵ و بعد از آن، روشی که در آن DC‌ها گواهینامه‌های مورد استفاده برای احراز هویت Kerberos را تأیید می‌کنند تغییر کرده است. پس از این به‌روزرسانی، آنها بررسی می‌کنند که آیا گواهینامه‌ها به یک ریشه در فروشگاه NTAuth متصل می‌شوند، همانطور که در KB5057784 توضیح داده شده است.

این رفتار می‌تواند توسط مقدار رجیستری AllowNtAuthPolicyBypass در HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc کنترل شود. اگر AllowNtAuthPolicyBypass وجود نداشته باشد، DC طوری رفتار می‌کند که گویی این مقدار به ‘1’ پیکربندی شده است.

دو علامت می‌تواند از این مشکل مشاهده شود:

1. وقتی مقدار رجیستری AllowNtAuthPolicyBypass روی DC احراز هویت کننده به ‘1’ تنظیم شده باشد، رویداد Kerberos-Key-Distribution-Center با شناسه ۴۵ به طور مکرر در گزارش رویداد سیستم DC ثبت می‌شود، با متنی مشابه ‘مرکز توزیع کلید (KDC) با یک گواهینامه کلاینت مواجه شد که معتبر بود اما به ریشه‌ای در فروشگاه NTAuth متصل نبود’. اگرچه این رویداد ممکن است بیش از حد ثبت شود، لطفاً توجه داشته باشید که عملیات‌های ورود به سیستم مربوطه در غیر این صورت موفق هستند و هیچ مشکل دیگری خارج از این گزارش‌های رویداد مشاهده نمی‌شود.

2. وقتی مقدار رجیستری AllowNtAuthPolicyBypass روی DC احراز هویت کننده به ‘2’ تنظیم شده باشد، عملیات‌های ورود کاربر ناموفق می‌شوند. رویداد Kerberos-Key-Distribution-Center با شناسه ۲۱ در گزارش رویداد سیستم DC ثبت می‌شود، با متنی مشابه ‘گواهینامه کلاینت برای کاربر معتبر نیست و منجر به ورود ناموفق کارت هوشمند شد.’"

فعلاً، این شرکت می‌گوید که مشکل را می‌توان با تنظیم مقدار رجیستری ذکر شده به “1” به جای “2” برطرف کرد. می‌توانید ورودی مربوط به این مشکل را در وب‌سایت داشبورد سلامت ویندوز مایکروسافت پیدا کنید.