微软4月补丁引发新的身份验证问题

微软2025年4月Windows安全更新（KB5055523）修复了Kerberos证书存储漏洞（CVE-2025-26647），但该补丁意外导致Windows Server 2016域控制器（DC）出现身份验证问题。受影响的场景包括使用Windows Hello for Business（WHfB）密钥信任或设备公钥认证（Machine PKINIT）的环境，可能导致Kerberos登录或证书委派失败。微软解释称，该补丁本应仅将可信证书存储在NTAuth安全存储库，但却允许部分特权认证在根存储中处理，造成兼容性问题。此漏洞仅影响企业级Active Directory环境，家庭用户不受波及。