安全补丁还是自造DDoS?微软更新导致关键企业功能瘫痪
2025年10月微软Windows安全更新正在对企业造成严重破坏,影响了多个系统,错误范围从烦人到致命。
KB5066835更新本意是通过从旧的加密服务提供商(CSP)转向更安全的密钥存储提供商(KSP)来加强Windows加密技术,但用户现在可能遇到认证、网站、更新甚至鼠标和键盘使用问题。
这些已知问题影响了指定广泛部署的Windows版本,包括Windows 10(版本22H2)、Windows 11(版本23H2、24H2和25H2)和Windows Server(2012、2016、2022和2025版本)。
数字签名获取困难
智能卡认证和证书问题包括:32位应用程序中智能卡不被识别为加密服务提供商(CSP)、用户无法数字签署文档,以及依赖基于证书认证的应用程序失败。产生的错误消息包括“指定的提供程序类型无效”和“CryptAcquireCertificatePrivateKey错误”。
微软表示该问题是“安全改进”的结果,旨在增强加密技术。用户可以通过修改DisableCapiOverrideForRSA注册表键,然后关闭并重启Windows来解决。但微软强调错误编辑注册表可能导致系统问题,因此用户应在进行任何更改前始终备份。
设备故障、连接失败和安装错误
更新KB5066835还可能导致USB设备(包括键盘和鼠标)在Windows恢复环境(WinRE)中故障,阻止在恢复模式中的导航。不过,键盘和鼠标在Windows操作系统中继续正常工作。微软现已发布带外更新KB5070773来解决此问题。
此外,安全更新可能导致依赖HTTP.sys的服务器端应用程序的传入连接问题。IIS网站可能无法加载,用户收到包括“ERR_CONNECTION_RESET”的消息。这包括托管在http://localhost/上的网站和其他IIS连接。
微软建议通过搜索和安装更新,然后重启设备来解决此问题,无论是否找到更新。
此外,KB5066835正在导致WUSA失败,这是在企业环境中使用Windows更新代理API安装更新的机制。当共享网络文件夹中有多个.msu文件时,用户在与.msu更新文件交互时可能收到“ERROR_BAD_PATHNAME”错误。
用户可以通过将.msu文件本地保存并从本地文件安装更新来解决此问题。如果在重启Windows后,设置中的更新历史页面仍显示需要重启,请等待15分钟让其刷新。
企业应如何应对
从短期来看,受影响的组织应执行对“DisableCapiOverrideForRSA”注册表键的推荐更新,将其值改为“0”。他们也可以推迟部署该特定补丁用于智能卡认证。
从长期来看,组织可以通过以下方式保护自己免受这些和类似情况的影响:
- 建立通过变更控制流程测试补丁和管理变更的流程
- 拥有多个认证路径,特别是对于关键和特权账户
- 在认证系统故障时维护关键流程的应急计划
“随着更多操作系统升级,当前的用户挑战将随时间缓解,”Saviynt首席信任官Jim Routh指出。“最终,更新中的新技术/加密技术代表了操作系统安全性的改进。”
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
