近期，微软发布的4月Windows Server更新引发了广泛关注，尤其是对Windows Hello认证的影响。这一技术缺陷在微软的官方更新日志中得到了确认，影响了多个Windows Server版本，导致用户在使用Windows Hello进行Kerberos认证时遭遇障碍。

　　微软进一步披露，问题的根源在于Active Directory域控制器（DC）在处理依赖证书的Kerberos登录或委托时出现故障。这一故障直接影响到了Windows Hello for Business（WHfB）Key Trust环境和设备公钥认证（Machine PKINIT）场景。尤其是Kerberos公钥加密初始认证（Kerberos PKINIT）和基于证书的用户服务委托（S4U）等协议也因此受到了影响，智能卡认证和第三方单点登录（SSO）等服务同样未能幸免。

　　微软解释，这一问题的出现与针对Kerberos权限提升漏洞（CVE-2025-26647）的安全补丁（KB5057784）有关。自4月份更新后，域控制器验证Kerberos认证证书的方式发生了变化，导致证书链验证失败，进而使得用户在使用Kerberos认证时遇到困难。

　　为了帮助用户应对这一问题，微软提供了临时解决方案。用户可以通过将注册表值AllowNtAuthPolicyBypass设为“1”，来避免登录失败的问题。尽管这样做会在系统日志中记录事件ID 45，但用户的登录操作仍然可以成功。如果将此值设为“2”shadowrocket连接中，则登录将直接失败，并记录事件ID 21。微软建议用户在没有更好的解决方案之前，采用这一临时措施以保障系统的正常使用。

　　这一事件提醒我们，技术更新虽能带来新功能和安全性，但也可能伴随意想不到的问题。面对技术的迅速发展，用户需要保持警觉，并积极寻求解决方案。同时，厂商在推出更新时，也应更谨慎，确保不会影响到用户的正常使用体验。返回搜狐，查看更多