Microsoft终结点Configuration Manager的 NTLM 连接回退更新
适用于:Configuration Manager (current branch,版本 2103、2107、2111、2203、2207)
KB15498768 摘要
在以下任一情况下,在客户端请求安装属性中禁用“允许连接到 NTLM”选项是不遵循的:
- 如果 Kerberos 身份验证失败,客户端推送帐户将改为尝试 NTLM 连接。
- 如果所有定义的客户端请求安装帐户的 Kerberos 身份验证失败,站点服务器计算机帐户将尝试使用 NTLM 进行连接。
在禁用 “允许连接到 NTLM”选项时,此更新可防止对客户端请求安装进行 NTLM 身份验证的任何尝试。
安装此更新可解决以下安全问题:
从 Configuration Manager 当前分支版本 2207 开始,新站点安装上默认禁用“允许连接到 NTLM”选项。
建议在现有环境中禁用此选项(如果可能),以提高安全性。
有关客户端和 NTLM 安全性的更多详细信息,请参阅以下文档:
- Configuration Manager客户端的安全和隐私
- KB5005413:缓解 Active Directory 证书服务上的 NTLM 中继攻击
- 网络安全:限制 NTLM:传出到远程服务器的 NTLM 流量
建议使用 2103 之前的 Configuration Manager Current Branch 版本的环境更新到更高版本的受支持版本。 管理员还可以禁用自动和手动客户端请求安装方法,以消除出现此问题的风险。 有关详细信息,请参阅支持当前分支版本Configuration Manager。
Microsoft终结点Configuration Manager版本 2103-2207 的更新信息
适用于安装了版本 2103-2207 的环境的 Configuration Manager 控制台的 汇报 和服务节点中提供了解决此问题的更新。
更新替换信息
此更新不会替换以前发布的任何更新。
重启信息
对于Configuration Manager版本 2107 及更高版本,此更新不需要在安装后重启计算机或重置站点。
Configuration Manager版本 2103 在安装更新后需要站点重置。
其他安装信息
在主站点上安装此更新后,必须手动更新预先存在的辅助站点。 若要更新Configuration Manager控制台中的辅助站点,请选择“管理>站点配置>站点>恢复辅助站点”,然后选择辅助站点。 然后,主站点使用更新的文件重新安装该辅助站点。 辅助站点的配置和设置不受此重新安装的影响。 该主站点下的新、升级和重新安装的辅助站点会自动接收此更新。
在站点数据库上运行以下 SQL Server 命令,检查辅助站点的更新版本是否与其父主站点的更新版本匹配:
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
如果返回值 1,则表示站点是最新的,其父主站点上应用了所有修补程序。
如果返回值 0,则表示站点尚未安装应用于主站点的所有修补程序,应使用 “恢复辅助站点 ”选项更新辅助站点。
版本信息
此版本不会更新任何主要组件。
文件信息
以下特定于版本的文件列表 (KB15498768_FileList.txt) 中提供了文件信息:
- Configuration Manager 2103
- Configuration Manager 2107
- 配置管理器 2111
- 配置管理器 2203
- Configuration Manager 2207
发布历史记录
- 2022 年 9 月 20 日:初始修补程序版本
- 2022 年 9 月 30 日:添加了 KB 15599094 的取代信息
参考
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈