Những lỗi hệ điều hành Windows không phải là điều hiếm gặp. Tuy nhiên, các sự cố này có thể trở nên nghiêm trọng hơn khi chúng ảnh hưởng trực tiếp đến hạ tầng vận hành của các tổ chức, nơi mà tính liên tục của hệ thống là yếu tố sống còn cho hoạt động kinh doanh. Đáng tiếc, một vấn đề như vậy đang gây phiền toái cho khách hàng doanh nghiệp, khi các thành phần của Windows Server đã gặp trục trặc sau những bản cập nhật gần đây.
Sự cố Xác thực Nghiêm trọng trong Windows Server
Microsoft đã bắt đầu theo dõi một lỗi mới trong các cài đặt Windows Server thông qua bảng điều khiển tình trạng phát hành Windows của họ. Khách hàng báo cáo rằng sau khi cài đặt các bản cập nhật Patch Tuesday tháng 4, họ gặp phải vấn đề với quy trình xác thực. Microsoft đã mô tả chi tiết vấn đề này, chỉ ra rằng các Bộ điều khiển Miền (Domain Controllers – DCs) sẽ gặp sự cố khi xử lý các sự kiện đăng nhập Kerberos hoặc ủy quyền xác thực dựa trên trường msds-KeyCredentialLink của Active Directory (AD) cho ủy thác khóa.
Điều này sẽ dẫn đến các lỗi đăng nhập đối với những thiết bị được triển khai trong môi trường Windows Hello for Business (WHfB) và xác thực khóa công khai thiết bị (Device Public Key Authentication). Các hệ thống khác phụ thuộc vào tính năng này để cơ chế đăng nhập cũng có thể bị ảnh hưởng. Các thiết bị cá nhân không bị ảnh hưởng bởi vấn đề này, nhưng các giao thức sau đây trên các DC đang bị tác động:
- Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT)
- Certificate-based Service-for-User Delegation (S4U) thông qua cả Kerberos Constrained Delegation (KCD hoặc A2D2 Delegation) và Kerberos Resource-Based Constrained Delegation (RBKCD hoặc A2DF Delegation)
Giao diện Group Policy Editor trên Windows, công cụ quản lý chính sách hệ thống Windows Server
Giải pháp Tạm thời và Cam kết Khắc phục từ Microsoft
Điều đáng chú ý là vấn đề mới nhất này liên quan đến một thay đổi trong thiết kế mà Microsoft gần đây đã thực hiện đối với xác thực Kerberos để chống lại các mối đe dọa bảo mật. Tuy nhiên, thay đổi này vẫn cho phép các quản trị viên CNTT sửa đổi hành vi triển khai thông qua các giá trị registry trong Group Policy (GP). Hiện tại, Microsoft đã cung cấp một giải pháp tạm thời.
Tính năng nhận diện khuôn mặt Windows Hello trên Surface Pro, bị ảnh hưởng bởi lỗi xác thực Windows Server
Giải pháp tạm thời này yêu cầu đặt giá trị registry của AllowNtAuthPolicyBypass trong HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc thành 1 thay vì 2. Microsoft chưa cung cấp thời gian cụ thể cho một bản vá vĩnh viễn, nhưng đã yêu cầu các tổ chức đánh giá kỹ lưỡng tác động của các biện pháp bảo mật mới và sự tuân thủ của họ sau khi triển khai các bản cập nhật chất lượng tháng 4. Các phiên bản Windows Server 2025, 2022, 2019 và 2016 đều bị ảnh hưởng bởi vấn đề này, trong khi các hệ thống client (máy khách) không bị tác động.
Tổng kết, lỗi xác thực Windows Server sau bản cập nhật tháng 4 là một thách thức đáng kể đối với các doanh nghiệp, ảnh hưởng trực tiếp đến khả năng đăng nhập và ủy quyền. Việc áp dụng giải pháp tạm thời được Microsoft khuyến nghị là cần thiết để duy trì hoạt động trong khi chờ đợi bản vá chính thức. Các quản trị viên hệ thống cần chủ động kiểm tra và thực hiện các điều chỉnh cần thiết.
- Bạn đang gặp phải sự cố này? Hãy chia sẻ kinh nghiệm và cách bạn xử lý trong phần bình luận bên dưới!
