Po wydaniu Windows Patch Tuesday LAPS firma Microsoft ostrzega przed poważnymi problemami ze starszymi wersjami
Kilka dni temu Microsoft ogłosił dostępność rozwiązania Windows LAPS (Local Administrator Password Solution) za pośrednictwem miesięcznego Patch Tuesday. Funkcja jest dostępna na Windows 10 , Windows 11 , a także na serwerach.
Jednak od czasu wydania Microsoft potwierdził problemy z interoperacyjnością ze starszymi problemami LAPS. Gdy starsze wersje LAPS (pakiet MSI) są instalowane na komputerach z najnowszymi aktualizacjami Patch Tuesday, zarówno starsze, jak i nowe LAP systemu Windows ulegają awarii. Zwykle dziennik zdarzeń o identyfikatorze 10031 lub 10032 jest tworzony z komunikatem „LAPS zablokował zewnętrzne żądanie, które próbowało zmodyfikować hasło do bieżącego zarządzanego konta”.
Firma Microsoft wydała również obejście tego błędu:
W powyższej aktualizacji z 11 kwietnia 2023 r. zweryfikowaliśmy zgłoszony wcześniej błąd interoperacyjności LAPS. Jeśli zainstalujesz starsze oprogramowanie LAPS GPO CSE na maszynie, na której zainstalowano poprawkę z aktualizacją zabezpieczeń z 11 kwietnia 2023 r., i zastosowano starsze zasady LAPS, zarówno Windows LAPS, jak i starsze LAPS ulegną awarii. Objawy obejmują dzienniki zdarzeń LAPS systemu Windows o identyfikatorach 10031 i 10032, a także starsze zdarzenia LAPS o identyfikatorze 6. Firma Microsoft pracuje nad rozwiązaniem tego problemu. Ten problem można obejść przez: a) odinstalowanie starszego oprogramowania LAPS lub b) usunięcie wszystkich wartości rejestru w kluczu rejestru HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State .
Na stronie przeglądu LAPS firma Microsoft przedstawiła również bardziej szczegółowy opis dwóch dokumentowanych problemów:
Problem nr 1 : Jeśli zainstalujesz starszą wersję LAPS CSE na urządzeniu, na którym zainstalowano łatę z aktualizacją zabezpieczeń z 11 kwietnia 2023 r., i zastosowano starszą zasadę LAPS, zarówno Windows LAPS, jak i starsza wersja LAPS przejdą w stan awarii, w którym żadna z funkcji nie zaktualizuje hasła do zarządzane konto. Objawy obejmują dzienniki zdarzeń LAPS systemu Windows o identyfikatorach 10031 i 10033, a także starsze zdarzenia LAPS o identyfikatorze 6. Firma Microsoft pracuje nad rozwiązaniem tego problemu.
Istnieją dwa podstawowe obejścia powyższego problemu:
A. Odinstaluj starsze CSE LAPS (rezultat: Windows LAPS przejmie zarządzanie zarządzanym kontem)
B. Wyłącz starszy tryb emulacji LAPS (rezultat: starszy LAPS przejmie zarządzanie zarządzanym kontem)
Problem nr 2 : jeśli zastosujesz starszą zasadę LAPS do urządzenia, na którym zastosowano poprawkę z aktualizacją z 11 kwietnia 2023 r., Windows LAPS natychmiast wyegzekwuje/uznaje starszą zasadę LAPS, co może być uciążliwe (na przykład, jeśli zostanie wykonane podczas procesu wdrażania systemu operacyjnego). Aby zapobiec tym problemom, można również użyć trybu emulacji starszego typu LAPS.
Więcej informacji na temat LAPS i omawianych problemów można znaleźć w witrynie firmy Microsoft .
Dodaj komentarz