fbpx

¿Cómo podemos ayudarle hoy?

Recursos compartidos en blanco con inicio de sesión SSO causado por Windows Update

Estás aquí:
< Atrás

Nota: Microsoft lanzó una solución con la actualización acumulativa de diciembre

Según el catálogo de actualizaciones de Micosoft, la actualización fuera de banda KB5008601 (2016) ha sido reemplazada por la CU KB5008207 de diciembre. La actualización fuera de banda KB5008602 (2019) fue reemplazada por CU KB5008218 de diciembre. Por lo tanto, puede omitir la actualización fuera de banda e ir directamente a la actualización acumulativa de diciembre.

Si instaló la actualización de noviembre y tiene problemas para iniciar sesión con SSO, la CU de diciembre resolverá el problema.

Si no ha instalado ninguna actualización, la CU de diciembre proporcionará la actualización sin causar un problema para los inicios de sesión de SSO.

 

Descripción del problema

Una actualización lanzada por Microsoft el 9 de noviembre como parte del martes de parches contenía una falla que rompía la autenticación Kerberos, que es utilizada por muchos productos SSO, incluido MyWorkDrive, cuando la actualización se instala en los controladores de dominio. fue en respuesta a CVE-2021-42287

Los clientes afectados experimentarán inicios de sesión del cliente web que muestran que no hay recursos compartidos disponibles después del inicio de sesión, y los clientes de Map Drive no pueden iniciar sesión e informar "No se han proporcionado recursos compartidos" o un error de "Usuario no encontrado" (dependiendo de la versión del cliente de Map Drive).

 

Los detalles sobre la falla y la resolución de la falla están disponibles aquí.
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

El problema solo está presente cuando la actualización está instalada en Controladores de dominio. La instalación/eliminación de servidores MyWorkDrive y servidores de archivos no tiene nada que ver con el problema.

 

Los parches actualizados se publicaron el 14 de noviembre para solucionar el problema de las actualizaciones defectuosas anteriores y deben instalarse en los controladores de dominio. Deben descargarse e instalarse manualmente, no los proporciona Microsoft Update.

KB5008602 para el servidor 2019:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 para el servidor 2016:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

Las actualizaciones originales que causan el problema son:

KB5007206 para servidor 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 para servidor 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Si alguno de ellos está instalado en sus controladores de dominio, debe eliminarlos o instalar el parche vinculado anteriormente para corregir el problema.

 

Si sus controladores de dominio no son 2016/2019, los enlaces para la actualización y el parche para otras versiones de Windows se pueden encontrar aquí:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Los servidores 2008, 2008r2, 2012 y 2012r2 están todos afectados.

 

Identificar un DC con el error

Los ID de evento que indican que un controlador de dominio tiene la actualización, pero no la solución, incluyen

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Origen del evento
kdcsvc
Identificador de evento
35
Texto del evento
El Centro de distribución de claves (KDC) encontró un ticket de otorgamiento de boletos (TGT) de otro KDC (" ”) que no contenía un campo de atributos PAC.
36
Origen del evento
kdcsvc
Identificador de evento
36
Texto del evento
El Centro de distribución de claves (KDC) encontró un ticket que no contenía un PAC mientras procesaba una solicitud de otro ticket. Esto evitó que se ejecutaran los controles de seguridad y podría abrir vulnerabilidades de seguridad.
Cliente: \
Entrada para:
37
Origen del evento
kdcsvc
Identificador de evento
37
Texto del evento
El Centro de distribución de claves (KDC) encontró un ticket que no contenía información sobre la cuenta que solicitó el ticket mientras procesaba una solicitud de otro ticket. Esto evitó que se ejecutaran los controles de seguridad y podría abrir vulnerabilidades de seguridad.
Ticket PAC construido por:
Cliente: \
Entrada para:
38
Identificador de evento
38
Texto del evento
El Centro de distribución de claves (KDC) encontró un ticket que contenía información inconsistente sobre la cuenta que solicitó el ticket. Esto podría significar que se cambió el nombre de la cuenta desde que se emitió el ticket, lo que puede haber sido parte de un intento de explotación.
Ticket PAC construido por:
Cliente: \
Entrada para:
Solicitud de cuenta SID de Active Directory:
Solicitud de SID de cuenta desde Ticket:

A diferencia de algunas fallas en los parches/actualizaciones de Microsoft, este no es un caso en el que pueda verse afectado. Se verá afectado si usa SSO e instala las actualizaciones de Windows sin instalar el parche para solucionarlo.

Si encuentra recursos compartidos en blanco al usar SSO, mientras que los inicios de sesión con credenciales de dominio muestran recursos compartidos, primero verifique que tenga delegación correctamente habilitada. Si la delegación está habilitada correctamente, verifique dos veces su controlador de dominio para ver si la KB asociada con la actualización está instalada. Si es así, instale los parches para resolver el problema.