微软发布带外更新，紧急修复 Kerberos 认证问题

这些问题和CVE-2020-17049 中的 PerformTicketSignature 注册子钥值有关。该漏洞是存在于 Kereberos Key Distribution Center (KDC) 中的一个安全特征绕过漏洞，微软于2020年11月补丁星期二修复。

微软在安全公告中指出，CVE-2020-17049存在于 KDC 判断工单是否可通过 Kerberos Constrianed Delegation (KCD) 派发的方式中。微软在说明中指出，“要利用该漏洞，配置为使用 KCD 的受陷服务可遭无授权服务工单强迫 KDC 接受它。安全更新修改了 KDC 验证了使用 KDC 的服务工单的方式解决了这个漏洞。”

上周，微软披露称已发现可发生在可写及只读域名控制器 (DC) 上的一系列问题，即 PerformTicketSignature 设置为1（默认情况）时，非 Windows Kerberos 客户端未更新工单且 S4UProxy 授权失败，而当 PerformTicketSignature 设为0时服务失败。

微软解释称，“目前微软 Update Catalog 已发布带外可选更新，解决了影响 Kerberos 认证的一个已知问题。工单更新和其它任务如计划任务和集群等可能失败。该问题仅影响 Windows Servers 以及企业环境中的Windows 10 设备和应用程序。

微软建议称，受影响组织机构在域名控制器上安装带外更新即可。另外，微软警告称，企业在安装更新时应该意识到和微软 Input Method Editor (IME) （日语版和中文版）有关的某些问题。

除了在环境中为所有 DC 和 RODC （只读域名控制器）部署更新外，上周，微软（日本）提供了一系列建议，供管理员解决这类问题。