Microsoft 终结点的 NTLM 连接回退更新Configuration Manager

适用于:Configuration Manager (Current Branch 版本 2103、2107、2111、2203、2207)

KB15498768 摘要

在以下任一情况下,不遵循以下任一条件禁用 客户端推送安装属性“允许连接回退到 NTLM”选项:

  • 如果存在 Kerberos 身份验证失败,则客户端推送帐户将尝试建立 NTLM 连接。
  • 如果所有定义的客户端推送安装帐户的 Kerberos 身份验证失败,站点服务器计算机帐户将尝试使用 NTLM 进行连接。

此更新可防止在禁用 “允许连接回退到 NTLM ”选项时对客户端推送安装进行 NTLM 身份验证的任何尝试。

安装此更新可解决以下安全问题:

从 Configuration Manager Current Branch 版本 2207 开始,在新站点安装上默认 禁用**“允许连接回退到 NTLM**”选项。

建议尽可能在现有环境中禁用此选项,以提高安全性。

有关客户端和 NTLM 安全性的更多详细信息,请参阅以下文档:

建议使用 2103 之前的Configuration Manager当前分支版本的环境更新为更高版本支持的版本。 管理员还可以禁用自动和手动客户端推送安装方法,以消除暴露于此问题的风险。 有关详细信息,请参阅对当前分支版本Configuration Manager支持

更新 Microsoft Endpoint Configuration Manager版本 2103-2207 的信息

对于已安装版本 2103-2207 的环境,Configuration Manager控制台的汇报 和服务 节点中提供了解决此问题的更新。

更新替换信息

此更新不会替换以前发布的任何更新。

重启信息

对于Configuration Manager版本 2107 及更高版本,此更新不需要在安装后重启计算机或重置站点

Configuration Manager版本 2103 需要在安装更新后重置站点。

其他安装信息

在主站点上安装此更新后,必须手动更新预先存在的辅助站点。 若要更新Configuration Manager控制台中的辅助站点,请选择 “管理 > 站点配置 > 站点 > 恢复辅助站点”,然后选择辅助站点。 然后,主站点使用更新的文件重新安装该辅助站点。 此重新安装不会影响辅助站点的配置和设置。 该主站点下的新站点、升级站点和重新安装的辅助站点会自动接收此更新。

在站点数据库上运行以下SQL Server命令,检查辅助站点的更新版本是否与其父主站点的更新版本匹配:

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')

如果返回值 1,则站点是最新的,其父主站点上应用了所有修补程序。

如果返回值 0,则站点尚未安装应用于主站点的所有修补程序,应使用 “恢复辅助站点 ”选项更新辅助站点。

版本信息

此版本不更新任何主要组件。

文件信息

文件信息在以下特定于版本的文件列表 (KB15498768_FileList.txt) 中可用:

发布历史记录

  • 2022 年 9 月 20 日:初始修补程序版本
  • 2022 年 9 月 30 日:添加了 KB 15599094的取代信息

参考

汇报和服务Configuration Manager