fbpx

Que peut-on faire pour vous aider aujourd'hui?

Partages vides avec connexion SSO causés par Windows Update

Tu es là:
< Retour

Remarque : Microsoft a publié un correctif avec la mise à jour cumulative de décembre

Selon le catalogue de mise à jour Micosoft, la mise à jour hors bande KB5008601 (2016) a été remplacée par la CU KB5008207 de décembre. La mise à jour hors bande KB5008602 (2019) a été remplacée par la CU KB5008218 de décembre. Vous pouvez donc ignorer la mise à jour hors bande et passer directement à la mise à jour cumulative de décembre.

Si vous avez installé la mise à jour de novembre et rencontrez des problèmes de connexion avec SSO, le CU de décembre résoudra le problème.

Si vous n'avez installé aucune mise à jour, le CU de décembre fournira la mise à jour sans causer de problème pour les connexions SSO.

 

Description du problème

Une mise à jour publiée par Microsoft le 9 novembre dans le cadre du Patch Tuesday contenait une faille qui brisait l'authentification Kerberos qui est utilisée par de nombreux produits SSO, y compris MyWorkDrive lorsque la mise à jour est installée sur les contrôleurs de domaine. C'était en réponse à CVE-2021-42287

Les clients concernés verront des connexions au client Web indiquant qu'aucun partage n'est disponible après la connexion, et les clients Map Drive ne parviennent pas à se connecter et signalent l'erreur « Aucun partage provisionné » ou « Utilisateur introuvable » (selon la version du client Map Drive).

 

Les détails sur le défaut et la résolution du défaut sont disponibles ici
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

Le problème n'est présent que lorsque la mise à jour est installée sur Contrôleurs de domaine. L'installation/la suppression des serveurs MyWorkDrive et des serveurs de fichiers n'a aucune incidence sur le problème.

 

Des correctifs mis à jour ont été publiés le 14 novembre pour résoudre le problème des mises à jour défectueuses précédentes et doivent être installés sur les contrôleurs de domaine. Ils doivent être téléchargés et installés manuellement, ils ne sont pas fournis par Microsoft Update.

KB5008602 pour Server 2019 :

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 pour Server 2016 :

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

Les mises à jour d'origine à l'origine du problème sont :

KB5007206 pour le serveur 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 pour le serveur 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Si l'un de ceux-ci est installé sur vos contrôleurs de domaine, vous devez soit les supprimer, soit installer le correctif lié ci-dessus pour corriger le problème.

 

Si vos contrôleurs de domaine ne sont pas 2016/2019, les liens pour la mise à jour et le correctif pour les autres versions de Windows peuvent être trouvés ici :

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Server 2008, 2008r2, 2012 et 2012r2 sont tous impactés.

 

Identification d'un DC avec le bogue

Les EventID qui indiquent qu'un contrôleur de domaine a la mise à jour, mais pas le correctif, incluent

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Origine de l'événement
KdcsvcName
ID d'événement
35
Texte de l'événement
Le centre de distribution de clés (KDC) a rencontré un ticket-granting-ticket (TGT) d'un autre KDC (" ”) qui ne contenait pas de champ d'attributs PAC.
36
Origine de l'événement
KdcsvcName
ID d'événement
36
Texte de l'événement
Le centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas de PAC lors du traitement d'une demande pour un autre ticket. Cela empêchait l'exécution des contrôles de sécurité et pouvait ouvrir des failles de sécurité.
Client: \
Billet pour :
37
Origine de l'événement
KdcsvcName
ID d'événement
37
Texte de l'événement
Le centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas d'informations sur le compte qui a demandé le ticket lors du traitement d'une demande pour un autre ticket. Cela empêchait l'exécution des contrôles de sécurité et pouvait ouvrir des failles de sécurité.
Ticket PAC construit par :
Client: \
Billet pour :
38
ID d'événement
38
Texte de l'événement
Le centre de distribution de clés (KDC) a rencontré un ticket contenant des informations incohérentes sur le compte qui a demandé le ticket. Cela peut signifier que le compte a été renommé depuis l'émission du ticket, ce qui peut faire partie d'une tentative d'exploitation.
Ticket PAC construit par :
Client: \
Billet pour :
Demander le SID du compte à partir d'Active Directory :
Demander le SID du compte à partir du ticket :

Contrairement à certaines failles dans les correctifs/mises à jour Microsoft, il ne s'agit pas d'un cas où vous pourriez être impacté. Vous serez impacté si vous utilisez SSO et installez les mises à jour Windows sans installer le correctif pour le réparer.

Si vous trouvez des partages vides lors de l'utilisation de SSO, alors que les connexions d'informations d'identification de domaine affichent des partages, vérifiez d'abord que vous avez délégation correctement activée. Si la délégation est correctement activée, vérifiez votre contrôleur de domaine pour voir si la base de connaissances associée à la mise à jour est installée. Si tel est le cas, installez les correctifs pour résoudre le problème.