Microsoft устранила известную проблему, вызывавшую сбои аутентификации при включенной функции Credential Guard в системах, использующих протокол безопасности предварительной аутентификации Kerberos PKINIT.
Данная проблема затрагивала как клиентские (Windows 11, версия 24H2), так и серверные (Windows Server 2025) платформы, но только в определенных специфических сценариях.
На затронутых системах пользователи сталкивались с трудностями из-за того, что пароли не обновлялись должным образом при использовании сертификатов Identity Update Manager/Pre-Bootstrapping Key Initialization (PKINIT).
Так как аутентификация Kerberos преимущественно применяется в корпоративной среде, домашние устройства вряд ли пострадали от данной проблемы.
На панели «Состояние выпуска Windows» Microsoft поясняет:
Из-за этой ошибки устройства не меняли пароль каждые 30 дней, как это предусмотрено по умолчанию. В результате устройства воспринимались как устаревшие, отключенные или удаленные, что вызывает проблемы с аутентификацией пользователей.
Устройства под управлением Windows редакции «Домашняя», скорее всего, не затронуты, так как Kerberos-аутентификация обычно применяется в корпоративной среде и не используется в домашних условиях.
Компания заявила, что проблема была исправлена в апреле 2025 года с выходом обновлений безопасности для Windows 11, версия 24H2 (KB5055523) и Windows Server 2025 (KB5055523) во «Вторник Патчей». Однако также было добавлено, что временно отключена поддержка Machine Accounts в Credential Guard — функции, зависящей от ротации паролей Kerberos. Она будет вновь активирована, когда появится постоянное решение.
Microsoft заявляет:
Мы рекомендуем установить последнее обновление для вашего устройства, так как оно содержит важные улучшения и исправления, включая это.
Напомним, в ноябре 2022 года Microsoft уже выпускала экстренные внеплановые обновления для устранения другой известной проблемы, вызывавшей сбои входа через Kerberos и другие ошибки аутентификации на корпоративных контроллерах домена Windows.
Также в ноябре 2021 года Microsoft решала проблемы с аутентификацией, связанные со сценарием делегирования Kerberos на Windows Server, а еще годом ранее — схожие проблемы на устройствах, подключенных к домену, начиная с Windows 2000.
Последние статьи #Windows
• Microsoft отказалась от интеграции Copilot в уведомления и «Параметры» Windows 11
• Приложение Samsung Galaxy Connect удалено из Microsoft Store из-за блокировки системного диска С в Windows 11
• Sophia Script – мощный инструмент для тонкой настройки и управления Windows 11 и Windows 10
• Windows 11 позволит выбирать имя папки пользователя при первоначальной настройке ОС
• Microsoft выпустила внеплановый хотпатч для Windows 11 с исправлением уязвимости удаленного выполнения кода в RRAS
• Microsoft выпустила обновления среды восстановления Windows (WinRE) для Windows 11 в составе пакетов Safe OS Dynamic Update – KB5079463 и KB5079471