近日,微软企业级身份认证体系曝出一项影响广泛的运维故障:当组织采用 Windows Hello for Business (WHfB) Key Trust 模式结合 Active Directory Federation Services (ADFS) 部署时,用户设置的 PIN 码会在登录后数分钟内突然失效,导致无法解锁设备或访问企业资源。经微软工程师及社区深度排查,问题根源指向 Microsoft Entra Connect(原 Azure AD Connect)同步过程中的 msDS-KeyCredentialLink 属性冲突。这一状况已波及大量采用混合身份架构的跨国企业与政府机构,引发对远程办公安全性与用户体验的担忧。

症状:PIN 码“定时失效”

受影响用户反馈,在配置了 WHfB Key Trust + ADFS 的环境下,首次通过 ADFS 登录并成功注册 PIN 后,设备初时一切正常。但通常 5 到 15 分钟内,系统会弹出“你的 PIN 不再可用。请单击以重新设置”的提示。此时用户必须重新连接 ADFS 并再次注册 PIN,但短暂使用后同一问题再次出现。部分管理员在事件日志中观察到事件 ID 与之相关的错误,显示系统无法验证本地存储的密钥对与服务器端记录的一致性。

根因:Entra Connect 同步“踩踏”密钥链接

深入技术分析表明,问题核心在于 WHfB Key Trust 模式下,用户的公钥信息存储在 Active Directory 的 msDS-KeyCredentialLink 多值属性中。当用户通过 ADFS 注册 PIN 时,该属性被更新。然而,如果组织启用了 Entra Connect 的密码哈希同步或直通身份验证,同步引擎会在下一次同步周期(通常每 30 分钟一次)中,将本地 AD 的 msDS-KeyCredentialLink 属性与 Entra ID 中的对应对象进行同步。

问题在于 Entra Connect 的同步规则默认未正确处理该属性的写回方向。当同步发生时,从 Entra ID(通过 ADFS 注册的最新密钥信息)被回写到本地 AD,但该过程可能覆盖了刚刚由 ADFS 直接写入的密钥链接条目,或者由于时间戳冲突导致系统认为本地密钥已过期。更具体的,同步引擎可能会删除或替换 msDS-KeyCredentialLink 中的条目,使得设备持有的本地 PIN 凭证与服务器端最新记录失配,从而在下次认证检查时判定 PIN 无效。

影响范围:混合身份企业首当其冲

该问题主要影响满足以下条件的环境: - 使用 Windows Hello for Business Key Trust 模式(而非 Certificate Trust 或 Cloud Kerberos Trust); - 部署了 ADFS 作为联合身份提供者; - 使用 Microsoft Entra Connect(1.6.x 及以上版本,包括最新版)进行目录同步; - 用户设备已加入域或混合 Azure AD 加入。

受影响的操作系统包括 Windows 10 21H2/22H2 及 Windows 11 22H2/23H2。由于许多跨国企业为兼顾本地 AD 与云服务,普遍采用上述组合,此次漏洞导致大量用户无法稳定使用生物识别或 PIN 登录,不得不回退到传统密码,增加了凭据泄露风险。

临时对策与长期修复

截至发稿时,微软已通过 Microsoft 365 管理中心发布 已知问题公告 (KIR),并提供了以下临时缓解措施:

  1. 暂停 Entra Connect 同步:在 WHfB 注册期间暂时停止同步服务(Set-ADSyncScheduler -SyncCycleEnabled $false),待用户完成 PIN 注册并确认稳定后恢复。此方法不适合长期使用,会阻碍其他目录更改同步。
  2. 调整同步作用域:通过自定义同步规则,排除 msDS-KeyCredentialLink 属性的同步。管理员可在 Entra Connect 的同步规则编辑器中,为“In from AD – User”规则添加转换,将 msDS-KeyCredentialLink 的“目标属性”设为 (None)。但需注意此举会阻止密钥的云备份与跨设备迁移。
  3. 临时改用其他信任模式:在问题修复前,管理员可考虑将 WHfB 部署切换至 Certificate TrustCloud Kerberos Trust 模式。其中 Cloud Kerberos Trust 模式无需依赖 ADFS,且不涉及 msDS-KeyCredentialLink 同步问题,但要求环境支持 Kerberos 云信任。

微软开发团队表示,正在针对 Entra Connect 同步引擎的写回逻辑进行补丁更新,预计将在未来 2-3 周内发布正式修复版本。届时将通过 Windows Update 或 Entra Connect 升级通道推送。

安全建议

鉴于 WHfB 旨在提升无密码身份认证的安全性,该漏洞暴露了混合身份架构中不同组件间的协作短板。安全专家建议: - 企业应审查当前 WHfB 部署模式,若尚未迁移至 Cloud Kerberos Trust,可考虑将其列为长期计划。 - 在修复补丁发布前,管理员应启用详细审计日志,监控 msDS-KeyCredentialLink 的异常变更,并利用组策略限制 PIN 重置频率以避免用户困扰。 - 终端用户如遇 PIN 频繁失效,应暂通过其他认证方式(如智能卡或 FIDO2 安全密钥)登录,并联系 IT 部门获取最新同步配置指导。

此次事件再次提醒我们,在向零信任和无密码演进的过程中,目录同步机制与本地认证策略的协同一致性至关重要。我们将在微软发布正式修复后及时跟进报道。