Microsoft устранила известную проблему, вызывавшую сбои аутентификации при включенной функции Credential Guard в системах, использующих протокол безопасности предварительной аутентификации Kerberos PKINIT.
Данная проблема затрагивала как клиентские (Windows 11, версия 24H2), так и серверные (Windows Server 2025) платформы, но только в определенных специфических сценариях.
На затронутых системах пользователи сталкивались с трудностями из-за того, что пароли не обновлялись должным образом при использовании сертификатов Identity Update Manager/Pre-Bootstrapping Key Initialization (PKINIT).
Так как аутентификация Kerberos преимущественно применяется в корпоративной среде, домашние устройства вряд ли пострадали от данной проблемы.
На панели «Состояние выпуска Windows» Microsoft поясняет:
Из-за этой ошибки устройства не меняли пароль каждые 30 дней, как это предусмотрено по умолчанию. В результате устройства воспринимались как устаревшие, отключенные или удаленные, что вызывает проблемы с аутентификацией пользователей.
Устройства под управлением Windows редакции «Домашняя», скорее всего, не затронуты, так как Kerberos-аутентификация обычно применяется в корпоративной среде и не используется в домашних условиях.
Компания заявила, что проблема была исправлена в апреле 2025 года с выходом обновлений безопасности для Windows 11, версия 24H2 (KB5055523) и Windows Server 2025 (KB5055523) во «Вторник Патчей». Однако также было добавлено, что временно отключена поддержка Machine Accounts в Credential Guard — функции, зависящей от ротации паролей Kerberos. Она будет вновь активирована, когда появится постоянное решение.
Microsoft заявляет:
Мы рекомендуем установить последнее обновление для вашего устройства, так как оно содержит важные улучшения и исправления, включая это.
Напомним, в ноябре 2022 года Microsoft уже выпускала экстренные внеплановые обновления для устранения другой известной проблемы, вызывавшей сбои входа через Kerberos и другие ошибки аутентификации на корпоративных контроллерах домена Windows.
Также в ноябре 2021 года Microsoft решала проблемы с аутентификацией, связанные со сценарием делегирования Kerberos на Windows Server, а еще годом ранее — схожие проблемы на устройствах, подключенных к домену, начиная с Windows 2000.
Последние статьи #Windows
• Обновление KB5064093 (Build 26120.5761) для Windows 11, версия 24H2 (Beta)
• Обновление KB5064093 (Build 26200.5761) для Windows 11, версия 25H2 (Dev)
• Обновление KB5063878 для Windows 11 вызывает проблемы со стримингом через OBS NDI. Microsoft предлагает временное решение
• Microsoft просит пользователей Windows 11 предоставить обратную связь по сбоям SSD
• Xbox на Windows превратится в универсальный лаунчер для игр и приложений
• Обновление KB5063842 (Build 19045.6280) Preview для Windows 10, версия 22H2