微软发布 KB5055523/KB5055526/KB5057784 补丁破坏 Kerberos 的解决办法

微软已确认，Active Directory (AD) 域控制器 (DC) 上的 Windows Hello Kerberos 身份验证已损坏。在 Windows Server 2025（KB5055523）、Server 2022（KB5055526）、Server 2019（KB5055519）和 Server 2016（KB5055521）上安装最新的 2025 年 4 月补丁星期二更新后，问题开始出现。

该公司解释说：

安装 2025 年 4 月 8 (日发布的 4 月 Windows 月度安全更新后，KB5055523 ) 或更高版本，Active Directory 域控制器 (DC) 处理 Kerberos 登录或委派时可能会遇到问题，而基于证书的凭据依赖于通过 Active Directory msds-KeyCredentialLink 字段的密钥信任。 这可能会导致Windows Hello 企业版 (WHfB) 密钥信任环境或已部署设备公钥身份验证 (也称为计算机 PKINIT) 的环境中出现身份验证问题。 依赖于此功能的其他产品也可能受到影响，包括智能卡身份验证产品、第三方单一登录 (SSO) 解决方案和标识管理系统。

受影响的协议包括用于初始身份验证 (Kerberos PKINIT) 的 Kerberos 公钥加密，以及基于证书的服务用户委派 (S4U) 通过 Kerberos 约束委派 (KCD 或 A2D2 委派) 和 Kerberos Resource-Based 约束委派 (RBKCD 或 A2DF 委派) 。

家庭用户不太可能遇到此问题，因为域控制器用于业务和企业环境中的身份验证。

微软补充说，其他依赖于此的产品也可能受到影响，包括智能卡身份验证产品、第三方单点登录（SSO）等。

微软还解释了引发该问题的原因。这家科技巨头表示，该问题是由于最近部署的 Windows Kerberos 权限提升（网络）安全漏洞补丁的兼容性漏洞造成的。该漏洞的跟踪编号为 CVE-2025-26647，补丁详情见 KB5057784。

随着四月补丁的推出，上述补丁进入初始部署阶段或审计模式，因此尚未强制执行。

微软在下文中解释了问题的根源和症状：

此问题与 KB5057784、CVE-2025-26647 保护 (Kerberos 身份验证) 中所述的 安全措施有关。 从 2025 年 4 月 8 日及更高版本发布的 Windows 更新开始，DC 验证用于 Kerberos 身份验证的证书的方法已更改。 此更新后，他们将检查证书是否链接到 NTAuth 存储中的根，如  KB5057784 中所述。 此行为可由 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 中的注册表值 AllowNtAuthPolicyBypass 控制。 如果 AllowNtAuthPolicyBypass 不存在，DC 将像将值配置为“1”一样运行。

此问题可观察到两种症状：

• 当注册表值 AllowNtAuthPolicyBypass 在进行身份验证的 DC 上设置为“1”时，Kerberos-Key-Distribution-Center 事件 ID 45 将重复记录在 DC 系统事件日志中，其文本类似于“密钥分发中心 (KDC) 遇到有效但未链接到 NTAuth 存储中的根的客户端证书”。 尽管此事件可能记录过多，但请注意，相关的登录作在其他方面是成功的，并且不会在这些事件日志记录之外观察到其他问题。

• 当身份验证 DC 上的注册表值 AllowNtAuthPolicyBypass 设置为“2”时，用户登录作将失败。 Kerberos-Key-Distribution-Center 事件 ID 21 记录在 DC 系统事件日志中，文本类似于“用户的 客户端证书无效 ，导致智能卡登录失败”。

目前，该公司表示可以通过将上述注册表值设置为 “1” 而不是 “2” 来解决这个问题。你可以在微软的 Windows Health Dashboard 网站上找到问题条目：

https://learn.microsoft.com/zh-cn/windows/release-health/status-windows-server-2025#1596msgdesc