IT之家 5 月 7 日消息，微軟昨日（5 月 6 日）更新 Windows 健康控制臺，再次承認(rèn) 4 月累積更新存在 BUG，導(dǎo)致在多個(gè) Windows Server 服務(wù)器版本上，無法正常使用 Windows Hello Kerberos 認(rèn)證。

IT之家曾于 4 月 10 日發(fā)布博文，報(bào)道稱微軟承認(rèn) Windows 11 24H2 和 Windows Server 2025 系統(tǒng)安裝四月累積更新 KB5055523 后，無法使用 Windows Hello 登錄。

在最新日志文件中，微軟表示 4 月問題更新影響多個(gè) Windows Server 版本，涉及 Windows Server 2025（KB5055523）、Server 2022（KB5055526）、Server 2019（KB5055519）和 Server 2016（KB5055521）等版本。

微軟披露，安裝 2025 年 4 月 8 日或之后發(fā)布的 Windows 月度安全更新后，Active Directory 域控制器（DC）在處理依賴證書的 Kerberos 登錄或委托時(shí)遭遇問題。

這直接影響了 Windows Hello for Business（WHfB）Key Trust 環(huán)境，以及部署了設(shè)備公鑰認(rèn)證（Machine PKINIT）的場景。受影響的協(xié)議包括 Kerberos 公鑰加密初始認(rèn)證（Kerberos PKINIT）和基于證書的用戶服務(wù)委托（S4U）。此外，智能卡認(rèn)證、第三方單點(diǎn)登錄（SSO）等依賴此功能的其他產(chǎn)品也可能受到波及。

微軟解釋，此問題與針對 Kerberos 權(quán)限提升漏洞（CVE-2025-26647）的安全補(bǔ)丁（KB5057784）有關(guān)。自 2025 年 4 月更新后，域控制器驗(yàn)證 Kerberos 認(rèn)證證書的方式發(fā)生變化，導(dǎo)致證書鏈驗(yàn)證失敗。

用戶可能遇到兩種癥狀：若注冊表值 AllowNtAuthPolicyBypass 設(shè)為“1”，系統(tǒng)日志會(huì)反復(fù)記錄事件 ID 45，但登錄操作仍可成功；若設(shè)為“2”，登錄將失敗，并記錄事件 ID 21。目前，微軟建議將該值設(shè)為“1”以臨時(shí)解決問題。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。