Các vấn đề về hệ điều hành Windows không phải là hiếm, và đôi khi, những sự cố này có thể ảnh hưởng nghiêm trọng đến các tổ chức, nơi cơ sở hạ tầng vận hành đóng vai trò sống còn đối với hoạt động kinh doanh. Đáng tiếc, một vấn đề như vậy lại đang gây rắc rối cho các khách hàng doanh nghiệp, khi các thành phần của Windows Server bị lỗi sau những bản cập nhật gần đây. Đây là thông tin quan trọng mà các quản trị viên hệ thống cần nắm rõ để đảm bảo hoạt động liên tục.
Vấn đề xác thực trên Windows Server là gì?
Trong bảng điều khiển tình trạng phát hành Windows, Microsoft đã bắt đầu theo dõi một lỗi mới trong các bản cài đặt Windows Server. Khách hàng báo cáo rằng sau khi cài đặt các bản cập nhật Patch Tuesday tháng 4, họ đang phải đối mặt với các vấn đề trong quy trình xác thực. Microsoft giải thích chi tiết rằng các Domain Controllers (DCs) sẽ gặp sự cố khi xử lý các sự kiện đăng nhập Kerberos hoặc ủy quyền xác thực dựa trên trường msds-KeyCredentialLink của Active Directory (AD) để tin cậy khóa.
Điều này sẽ gây ra lỗi đăng nhập cho các thiết bị được triển khai trong môi trường Windows Hello for Business (WHfB) và xác thực khóa công khai thiết bị (Device Public Key Authentication). Các hệ thống khác phụ thuộc vào tính năng này cho cơ chế đăng nhập cũng có thể bị ảnh hưởng. Các thiết bị cá nhân tại nhà không bị ảnh hưởng bởi vấn đề này, nhưng các giao thức sau đây cho DCs đang chịu tác động:
- Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT)
- Certificate-based Service-for-User Delegation (S4U) thông qua cả Kerberos Constrained Delegation (KCD hoặc A2D2 Delegation) và Kerberos Resource-Based Constrained Delegation (RBKCD hoặc A2DF Delegation)
Máy tính xách tay chạy Windows 11 với Group Policy Editor hiển thị lỗi xác thực Kerberos
Giải pháp tạm thời đã có, bản vá vĩnh viễn đang được tiến hành
Điều đáng chú ý là vấn đề mới nhất này có liên quan đến một thay đổi thiết kế mà Microsoft gần đây đã thực hiện đối với xác thực Kerberos để chống lại các mối đe dọa bảo mật. Tuy nhiên, nó vẫn cho phép các quản trị viên IT sửa đổi hành vi của việc triển khai này thông qua các giá trị registry trong Group Policy (GP). Microsoft đã cung cấp thông tin chi tiết về việc triển khai này.
Hiện tại, Microsoft đã đưa ra một giải pháp tạm thời. Giải pháp này bao gồm việc đặt giá trị registry của AllowNtAuthPolicyBypass trong HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc thành 1 thay vì 2. Microsoft chưa cung cấp thời gian cụ thể cho một bản vá vĩnh viễn, nhưng hãng đã yêu cầu các tổ chức đánh giá kỹ lưỡng tác động của các biện pháp bảo mật mới và sự tuân thủ của họ sau khi triển khai các bản cập nhật chất lượng tháng 4. Cũng cần lưu ý rằng Windows Server 2025, 2022, 2019 và 2016 bị ảnh hưởng bởi vấn đề này, còn các hệ thống client thì không.
Công nghệ nhận diện khuôn mặt Windows Hello trên Surface Pro, bị ảnh hưởng bởi lỗi đăng nhập
Tóm lại, lỗi xác thực trên Windows Server sau các bản cập nhật tháng 4 đang gây ra nhiều phiền toái cho các doanh nghiệp, đặc biệt là với các hệ thống phụ thuộc vào Kerberos, Windows Hello for Business và Device Public Key Authentication. Mặc dù Microsoft đã cung cấp một giải pháp tạm thời thông qua việc thay đổi registry, các quản trị viên IT cần phải thận trọng và đánh giá kỹ lưỡng trước khi áp dụng. Hãy theo dõi kienthucthuthuat.com để cập nhật thông tin mới nhất về bản vá vĩnh viễn từ Microsoft, cũng như các thủ thuật công nghệ hữu ích khác!
