Các bản cập nhật thường đi kèm với những cải tiến, nhưng đôi khi chúng cũng mang lại những vấn đề không mong muốn. Mới đây, một sự cố nghiêm trọng về xác thực đã phát sinh trong các cài đặt Windows Server sau khi áp dụng các bản cập nhật Patch Tuesday tháng 4/2024. Vấn đề này đang gây ra lỗi đăng nhập đáng kể cho các môi trường sử dụng Windows Hello for Business (WHfB) và Device Public Key Authentication, ảnh hưởng trực tiếp đến hoạt động của nhiều tổ chức và doanh nghiệp.
Windows Server Gặp Vấn Đề Xác Thực Nghiêm Trọng
Microsoft đã xác nhận và bắt đầu theo dõi một lỗi mới trong các phiên bản Windows Server. Theo báo cáo từ người dùng, sau khi cài đặt các bản cập nhật tháng 4, các bộ điều khiển miền (Domain Controllers – DC) gặp sự cố trong quá trình xử lý các sự kiện đăng nhập Kerberos hoặc ủy quyền xác thực. Cụ thể, vấn đề này liên quan đến trường msds-KeyCredentialLink trong Active Directory (AD), vốn được sử dụng cho sự tin cậy khóa (key trust).
Điều này dẫn đến tình trạng lỗi đăng nhập (logon failures) cho các thiết bị được triển khai trong môi trường Windows Hello for Business (WHfB) và Device Public Key Authentication. Các hệ thống khác phụ thuộc vào tính năng này cho cơ chế đăng nhập cũng có thể bị ảnh hưởng. Mặc dù các thiết bị cá nhân không bị ảnh hưởng, nhưng các giao thức sau đây trên các bộ điều khiển miền đang gặp vấn đề:
- Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT)
- Certificate-based Service-for-User Delegation (S4U) qua cả Kerberos Constrained Delegation (KCD hoặc A2D2 Delegation) và Kerberos Resource-Based Constrained Delegation (RBKCD hoặc A2DF Delegation).
Công nghệ nhận diện khuôn mặt Windows Hello trên thiết bị Surface Pro, bị ảnh hưởng bởi lỗi xác thực Windows Server.
Giải Pháp Tạm Thời Đã Có, Vá Lỗi Vĩnh Viễn Đang Được Phát Triển
Vấn đề xác thực lần này có liên quan đến một thay đổi thiết kế gần đây của Microsoft đối với giao thức xác thực Kerberos, nhằm mục đích tăng cường bảo mật và chống lại các mối đe dọa. Tuy nhiên, thay đổi này vẫn cho phép các quản trị viên CNTT điều chỉnh hành vi của việc triển khai thông qua các giá trị registry trong Group Policy (GP).
Để khắc phục tạm thời sự cố, Microsoft đã cung cấp một giải pháp. Quản trị viên cần thay đổi giá trị registry của AllowNtAuthPolicyBypass trong đường dẫn HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc từ 2 thành 1.
Microsoft hiện chưa đưa ra mốc thời gian cụ thể cho một bản vá lỗi vĩnh viễn, nhưng hãng đã khuyến nghị các tổ chức nên đánh giá kỹ lưỡng tác động của các biện pháp bảo mật mới và sự tuân thủ của chúng sau khi triển khai các bản cập nhật chất lượng tháng 4. Cần lưu ý rằng các phiên bản Windows Server 2025, 2022, 2019 và 2016 đều bị ảnh hưởng bởi vấn đề này, trong khi các hệ thống client không chịu tác động.
Giao diện Group Policy Editor trên Windows 11, công cụ quản lý chính sách hệ thống Windows Server.
Kết luận
Sự cố xác thực trong Windows Server sau cập nhật tháng 4 là một thách thức đối với các quản trị viên hệ thống. Việc hiểu rõ nguyên nhân và áp dụng giải pháp tạm thời do Microsoft cung cấp là rất quan trọng để duy trì hoạt động liên tục. Các quản trị viên CNTT cần chủ động theo dõi các thông báo mới nhất từ Microsoft để cập nhật bản vá lỗi vĩnh viễn và đảm bảo hệ thống Windows Server luôn hoạt động ổn định và an toàn.
