微软紧急修补Windows Server臭虫

微软周日（11/14）紧急修补了涉及自Windows Server 2008至Windows Server 2019所有版本的臭虫，该臭虫可能导致网域控制站（Domain Controllers）的验证失败。

根据微软的解释，此一验证失败源自于透过S4u2self所取得的Kerberos票证（Kerberos Tickets），被用来作为转换协定的证据票证，并委派给签名验证失败的后端服务。因此，在仰赖前端服务替使用者取得Kerberos票证以存取后端服务的Kerberos委派场景中，Kerberos验证将会失败。

若是由客户端提供前端服务与证据票证的Kerberos委派场景并不会受到影响，纯粹的Azure Active Directory环境亦未受到波及。不过，若是在内部部署的Active Directory 或是混合的Azure Active Directory环境中，使用者可能无法透过单一登入（SSO）来登入各式服务。

此一臭虫是微软在11月9日部署Patch Tuesday安全更新之后才出现的，将影响执行Windows Server的网域控制站。

此次微软释出的KB5008602属于累积更新，因此在安装前不需先套用任何先前的更新，它并不会自动安装，使用者可手动将此一更新汇入Windows Server Update Services中。