Microsoft 正在移除支援密鑰衍生函數第 1 版 (KDFv1) 演算法,該演算法用於 2021 年 7 月之前發行的 Windows 組建中,對已加入或混合聯結 Microsoft Entra 的裝置進行驗證。
KDFv1 演演算法過去用於舊版 Windows 中的裝置驗證。 發現允許未經授權驗證的重要安全性缺陷,如 CVE-2021-33781 中所述。 為了解決此弱點,Microsoft於 2021 年 7 月發行 Windows 安全性更新。 2021年7月之後發行的所有 Windows 組建不再使用 KDFv1 演算法。
作為我們持續致力於增強安全性的一部分,Microsoft會累加推出安全性更新,以封鎖使用 KDFv1 演算法向 Microsoft Entra 進行驗證。
安全性更新的效果
所有使用 Microsoft Entra 進行驗證的 Windows 裝置都必須套用安全性修補程式,或是在 2021 年 7 月之後發行的 Windows 組建。 取消修補的 Windows 裝置在推出此變更完成之後,將無法使用 Microsoft Entra 進行驗證。
錯誤訊息
嘗試登入時,未修補裝置上的使用者遇到下列錯誤訊息:
登入錯誤碼:5000611
失敗原因:對稱密鑰衍生函式版本 『1』 無效。 使用最新的更新來更新裝置。
此錯誤訊息也會出現在Microsoft Entra 登入記錄中,讓系統管理員能夠識別因已取代 KDFv1 演算法而造成的驗證失敗。
注意
由於安全性更新的累加推出,未修補 Windows 裝置上的驗證失敗一開始可能會出現暫時性或間歇性。 在推出初期重試驗證可能會成功。 請務必藉由套用 Windows 安全性更新來及時解決這些問題,以維持順暢的驗證體驗。
必要動作
Microsoft Entra 系統管理員應該主動識別並解決其租使用者中可能受到此安全性更新影響的裝置。 建議執行下列步驟:
- 監視驗證失敗:定期檢查Microsoft Entra 登入記錄,以取得錯誤碼5000611和對應的失敗原因。
- 更新裝置:如果使用者回報驗證失敗,並出現參考 KDFv1 演演算法的錯誤訊息,請使用 Windows 版本的最新安全性更新來更新其裝置。
- 搜尋受影響的組建:使用 CVE 記錄 CVE-2021-33781 中提供的指引,搜尋租使用者中可能正在執行受影響組建的 Windows 裝置。
- 與用戶通訊:通知使用者保持其裝置更新的重要性,並提供如何套用必要更新的指示。
主動式監視和更新
主動監視和更新裝置對於避免任何驗證中斷至關重要。 Microsoft Entra 系統管理員可以利用下列策略:
- 自動更新:實作自動更新的原則,以確保所有裝置都立即收到最新的安全性修補程式。
- 定期稽核:定期稽核裝置,以確保符合安全性更新需求。
- 用戶訓練:教育用戶及時更新的重要性,以及如何檢查並套用它們。
相關內容
如需移除 KDFv1 演算法和相關安全性更新的詳細資訊,請參閱下列資源: