Windows 11 KB5055523 修复了无法更改密码的 Kerberos 漏洞

微软昨天早些时候发布了 2025 年 4 月份的 “补丁星期二” 更新。在 Windows 10 上，它们发布在 KB5055518、KB5055519 和 KB5055521 下。在 Windows 11 上，它们发布在 KB5055523 和 KB5055528 下。

在 Windows 10 方面，微软已确认最新支持的 Windows 版本没有已知问题，这一点非常罕见。与此同时，在最新的 Windows 11 方面，这家科技巨头表示已经修复了一个 Kerberos 身份验证错误。

该漏洞不允许密码正确更改，导致认证失败，因为密码被认为是 “过期、禁用或删除”。在正常情况下，这些密码被设置为每隔一段时间自动轮换一次（默认为 30 天）。

由于这个问题，Credential Guard 中的机器账户也被禁用，因为该功能依赖于 Kerberos 身份验证的最佳运行。对于那些想知道的人来说，在使用该功能时，为了安全起见，机器账户凭据会从注册表移到 Defender 凭证卫士中。

微软解释说：

安装 Windows 11 版本 24H2 后，使用标识更新管理器证书/预启动密钥初始化 (PKINIT) 协议的设备可能会遇到密码轮换不正常的问题，从而导致身份验证失败。 使用 Kerberos 身份验证 并启用 Credential Guard 功能时，尤其会出现此问题。 请注意，使用 PKINIT 路径进行计算机认证是一种利基用例，此问题会影响企业环境中的少量设备。

对于此问题，设备无法每隔 30 天更改其密码作为默认间隔。 由于此故障，设备被视为过时、已禁用或删除，从而导致用户身份验证问题。

微软在 Windows 11 中移除了重新映射 Copilot 键的功能

运行 Windows 家庭版的设备不太可能受到此问题的影响，因为 Kerberos 身份验证通常用于企业环境，在个人或家庭设置中并不常见。

注意： Credential Guard 中的“计算机帐户” 功能（依赖于通过 Kerberos 进行的密码轮换）已被禁用，直到永久修复可用。

该公司称问题现已解决：

此问题已在 2025 年 4 月 Windows 安全更新 (KB5055523) 及更高版本的更新中得到解决。 建议为设备安装最新更新，因为它包含重要的改进和问题解决方法，包括此更新。

您可以在微软的 Windows 健康仪表板官方网站上查看该问题：

https://learn.microsoft.com/zh-cn/windows/release-health/status-windows-11-24H2#3517msgdesc