微軟近期在其官方更新日志中，再度確認(rèn)了4月份發(fā)布的累積更新存在技術(shù)缺陷，這一消息引發(fā)了廣泛關(guān)注。具體而言，這次更新問題影響了多個Windows Server版本，導(dǎo)致用戶在使用Windows Hello Kerberos認(rèn)證時遭遇障礙。

早在4月10日，就有報告指出，安裝KB5055523更新后的Windows 11 24H2和Windows Server 2025系統(tǒng)，用戶無法通過Windows Hello進(jìn)行登錄。這一發(fā)現(xiàn)迅速引起了用戶和業(yè)內(nèi)人士的關(guān)注。

隨著調(diào)查的深入，微軟在最新的日志文件中詳細(xì)列出了受影響的Windows Server版本，包括Windows Server 2025（KB5055523）、Server 2022（KB5055526）、Server 2019（KB5055519）和Server 2016（KB5055521）。這些版本的服務(wù)器在安裝了4月份的累積更新后，都出現(xiàn)了類似的認(rèn)證問題。

微軟進(jìn)一步披露，問題的根源在于Active Directory域控制器（DC）在處理依賴證書的Kerberos登錄或委托時出現(xiàn)了故障。這一故障直接影響到了Windows Hello for Business（WHfB）Key Trust環(huán)境和設(shè)備公鑰認(rèn)證（Machine PKINIT）場景。Kerberos公鑰加密初始認(rèn)證（Kerberos PKINIT）和基于證書的用戶服務(wù)委托（S4U）等協(xié)議也因此受到了影響。智能卡認(rèn)證和第三方單點(diǎn)登錄（SSO）等依賴Kerberos認(rèn)證的服務(wù)也未能幸免。

據(jù)微軟解釋，這一問題的出現(xiàn)與針對Kerberos權(quán)限提升漏洞（CVE-2025-26647）的安全補(bǔ)?。↘B5057784）有關(guān)。自4月份更新后，域控制器驗(yàn)證Kerberos認(rèn)證證書的方式發(fā)生了改變，導(dǎo)致證書鏈驗(yàn)證失敗。這直接導(dǎo)致了用戶在使用Kerberos認(rèn)證時遇到困難。

針對這一問題，微軟為用戶提供了臨時解決方案。用戶可以通過將注冊表值A(chǔ)llowNtAuthPolicyBypass設(shè)為“1”，來避免登錄失敗的問題。盡管這樣做會導(dǎo)致系統(tǒng)日志中反復(fù)記錄事件ID 45，但用戶的登錄操作仍然可以成功。而如果將此值設(shè)為“2”，則登錄將直接失敗，并記錄事件ID 21。微軟建議用戶在沒有更好的解決方案之前，先采用這一臨時措施來保障系統(tǒng)的正常使用。