Trong thế giới công nghệ năng động, các lỗi hệ điều hành không phải là điều hiếm gặp. Tuy nhiên, khi những sự cố này ảnh hưởng đến cơ sở hạ tầng vận hành của các tổ chức, tác động của chúng có thể trở nên cực kỳ nghiêm trọng, đe dọa đến hoạt động kinh doanh. Gần đây, một vấn đề đáng lo ngại đã phát sinh, gây ảnh hưởng đến các khách hàng doanh nghiệp khi các thành phần của Windows Server gặp sự cố sau các bản cập nhật mới nhất, đặc biệt là liên quan đến lỗi xác thực Windows Server sau các bản vá tháng 4.
Chi Tiết Vấn Đề Xác Thực Trên Windows Server
Microsoft đã bắt đầu theo dõi một lỗi mới trong các bản cài đặt Windows Server thông qua bảng điều khiển tình trạng phát hành Windows của họ. Khách hàng đã báo cáo rằng sau khi cài đặt các bản cập nhật Patch Tuesday tháng 4, họ đang phải đối mặt với các vấn đề trong quá trình xác thực.
Microsoft đã cung cấp chi tiết hơn về sự cố này, lưu ý rằng các Bộ điều khiển miền (Domain Controllers – DCs) sẽ gặp vấn đề khi xử lý các sự kiện đăng nhập Kerberos hoặc ủy quyền xác thực dựa trên trường msds-KeyCredentialLink của Active Directory (AD) để tin cậy khóa.
Điều này sẽ dẫn đến lỗi đăng nhập cho các thiết bị được triển khai trong môi trường Windows Hello for Business (WHfB) và xác thực khóa công khai thiết bị (Device Public Key Authentication). Các hệ thống khác phụ thuộc vào tính năng này cho cơ chế đăng nhập cũng có thể bị ảnh hưởng. Các thiết bị cá nhân tại nhà không được dự kiến sẽ bị ảnh hưởng bởi vấn đề này, nhưng các giao thức sau đây cho DCs bị tác động:
- Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT)
- Certificate-based Service-for-User Delegation (S4U) thông qua cả Kerberos Constrained Delegation (KCD hoặc A2D2 Delegation) và Kerberos Resource-Based Constrained Delegation (RBKCD hoặc A2DF Delegation)
Màn hình máy tính Windows 11 hiển thị trình chỉnh sửa Group Policy, minh họa cấu hình hệ thống máy chủ và cài đặt bảo mật Kerberos.
Giải Pháp Tạm Thời và Lộ Trình Khắc Phục Vĩnh Viễn
Điều đáng chú ý là vấn đề mới nhất này có liên quan đến một thay đổi thiết kế mà Microsoft gần đây đã thực hiện đối với xác thực Kerberos nhằm chống lại các mối đe dọa bảo mật. Tuy nhiên, thay đổi này vẫn cho phép các quản trị viên IT điều chỉnh hành vi của việc triển khai thông qua các giá trị Registry trong Group Policy (GP).
Microsoft hiện đã cung cấp một giải pháp tạm thời để khắc phục tình trạng này. Giải pháp này bao gồm việc đặt giá trị Registry của AllowNtAuthPolicyBypass trong HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc thành 1 thay vì 2.
Microsoft chưa đưa ra thời gian cụ thể cho một bản vá vĩnh viễn, nhưng họ đã yêu cầu các tổ chức đánh giá đúng tác động của các biện pháp bảo mật mới và sự tuân thủ của họ sau khi triển khai các bản cập nhật chất lượng tháng 4. Cũng cần lưu ý rằng Windows Server 2025, 2022, 2019 và 2016 đều bị ảnh hưởng bởi vấn đề này, trong khi các hệ thống client không bị tác động.
Tính năng nhận diện khuôn mặt của Windows Hello trên thiết bị Surface Pro, liên quan đến vấn đề xác thực Windows Hello for Business và khóa công khai.
Kết Luận
Sự cố xác thực trên Windows Server sau các bản cập nhật tháng 4 một lần nữa nhấn mạnh tầm quan trọng của việc theo dõi chặt chẽ các thông báo và bản vá từ Microsoft, đặc biệt đối với các hệ thống máy chủ quan trọng trong doanh nghiệp. Việc áp dụng giải pháp tạm thời đúng cách có thể giúp giảm thiểu gián đoạn hoạt động, nhưng quản trị viên IT cần tiếp tục cập nhật thông tin từ Microsoft để triển khai bản vá vĩnh viễn ngay khi có sẵn.
Hãy chia sẻ kinh nghiệm của bạn nếu đã gặp phải vấn đề này hoặc có bất kỳ câu hỏi nào liên quan đến khắc phục sự cố xác thực Kerberos trên Windows Server.
