Các lỗi trong hệ điều hành Windows không phải là hiếm, và đôi khi chúng có thể gây ra những vấn đề nghiêm trọng, đặc biệt khi ảnh hưởng đến các tổ chức nơi hạ tầng hoạt động đóng vai trò cực kỳ quan trọng đối với sự sống còn của doanh nghiệp. Đáng tiếc, một vấn đề như vậy đang ảnh hưởng đến các khách hàng doanh nghiệp, khi các thành phần của Windows Server đã gặp trục trặc sau những bản cập nhật gần đây, gây ra các sự cố về xác thực.
Chi tiết về Vấn đề Xác thực trên Windows Server
Trong bảng điều khiển tình trạng phát hành Windows của mình, Microsoft đã bắt đầu theo dõi một lỗi mới trong các cài đặt Windows Server. Khách hàng báo cáo rằng sau khi cài đặt các bản cập nhật Patch Tuesday tháng 4, họ đang đối mặt với các vấn đề trong quá trình xác thực. Microsoft đã mô tả chi tiết hơn về vấn đề này, lưu ý rằng các Bộ điều khiển Miền (Domain Controllers – DC) sẽ gặp sự cố khi xử lý các sự kiện đăng nhập Kerberos hoặc ủy quyền xác thực (authentication delegations) dựa trên trường msds-KeyCredentialLink của Active Directory (AD) để tin cậy khóa.
Giao diện Group Policy Editor trên Windows 11, một công cụ quản lý thiết lập hệ thống quan trọng trong môi trường doanh nghiệp và Active Directory
Điều này sẽ gây ra lỗi đăng nhập cho các thiết bị được triển khai trong môi trường Windows Hello for Business (WHfB) và Xác thực Khóa Công khai Thiết bị (Device Public Key Authentication). Các hệ thống khác phụ thuộc vào tính năng này cho cơ chế đăng nhập cũng có thể bị ảnh hưởng. Các thiết bị cá nhân không được dự kiến sẽ bị ảnh hưởng bởi vấn đề này, nhưng các giao thức sau đây cho DC đang bị tác động:
- Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT)
- Certificate-based Service-for-User Delegation (S4U) thông qua cả Kerberos Constrained Delegation (KCD hoặc A2D2 Delegation) và Kerberos Resource-Based Constrained Delegation (RBKCD hoặc A2DF Delegation)
Giải pháp Tạm thời và Lộ trình Khắc phục
Điều đáng chú ý là vấn đề mới nhất này có liên quan đến một thay đổi thiết kế mà Microsoft gần đây đã thực hiện đối với xác thực Kerberos để chống lại các mối đe dọa bảo mật. Tuy nhiên, nó vẫn cho phép các quản trị viên IT sửa đổi hành vi của việc triển khai này thông qua các giá trị registry trong Group Policy (GP).
Tính năng nhận diện khuôn mặt Windows Hello trên thiết bị Surface Pro, bị ảnh hưởng bởi lỗi xác thực Kerberos trong môi trường Windows Hello for Business (WHfB)
Hiện tại, Microsoft đã cung cấp một giải pháp tạm thời. Giải pháp này bao gồm việc đặt giá trị registry của AllowNtAuthPolicyBypass trong HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc thành 1 thay vì 2. Microsoft chưa cung cấp thời gian cụ thể cho một bản vá vĩnh viễn, nhưng hãng đã yêu cầu các tổ chức đánh giá đúng mức độ tác động của các biện pháp bảo mật mới và tuân thủ của chúng sau khi triển khai các bản cập nhật chất lượng tháng 4. Cũng cần lưu ý rằng các phiên bản Windows Server 2025, 2022, 2019 và 2016 bị ảnh hưởng bởi vấn đề mới nhất này, và các hệ thống máy khách không bị ảnh hưởng.
Kết luận, lỗi xác thực Windows Server sau các bản cập nhật tháng 4 là một vấn đề nghiêm trọng đối với môi trường doanh nghiệp, ảnh hưởng đến các quy trình đăng nhập quan trọng dựa trên Kerberos và Active Directory. Dù giải pháp tạm thời đã được cung cấp, các quản trị viên IT cần đặc biệt chú ý và theo dõi sát sao thông báo từ Microsoft để cập nhật bản vá chính thức. Hãy chia sẻ kinh nghiệm của bạn nếu tổ chức bạn cũng đang gặp phải vấn đề này và cách bạn đã xử lý!
