{首页主词},&

[點(diǎn)晴永久免費(fèi)OA]Windows RDP 被曝使用舊密碼仍可登錄：微軟稱“這是設(shè)計(jì)如此”

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問(wèn)題答疑』

admin

2025年5月5日 11:56 本文熱度 73

獨(dú)立安全研究員 Daniel Wade 向 Microsoft 安全響應(yīng)中心報(bào)告稱，在某些情況下，Windows 遠(yuǎn)程桌面協(xié)議（RDP）仍然接受舊密碼進(jìn)行遠(yuǎn)程訪問(wèn)，即使用戶因密碼泄露或常規(guī)安全維護(hù)而更改了密碼。Wade 的調(diào)查結(jié)果被 Ars Technica 詳細(xì)報(bào)道，警告這種行為破壞了用戶對(duì)密碼更改的信任，削弱了通過(guò)更改密碼阻止未經(jīng)授權(quán)訪問(wèn)的安全防線。

微軟已確認(rèn)，RDP 允許用戶使用已更改或撤銷的密碼登錄 Windows 計(jì)算機(jī)。微軟方面表示，這并非安全漏洞，而是“有意的設(shè)計(jì)決策”，且沒有計(jì)劃改變這一行為。只要密碼與任何先前有效的緩存憑證匹配，即使該憑證已被更改或撤銷，系統(tǒng)仍會(huì)授予訪問(wèn)權(quán)限。微軟發(fā)言人證實(shí)，公司至少?gòu)?023年8月起就已意識(shí)到該問(wèn)題，但堅(jiān)持認(rèn)為立即更改此行為可能會(huì)破壞與現(xiàn)有應(yīng)用程序的兼容性

早有用戶反饋，問(wèn)題由來(lái)已久

查閱相關(guān)資料發(fā)現(xiàn)，類似問(wèn)題早在2020年就有用戶在技術(shù)論壇反饋。該問(wèn)題主要涉及登錄微軟賬戶的設(shè)備。用戶“dyasta”表示，使用微軟賬戶登錄 Windows 系統(tǒng)時(shí)，更改密碼后舊密碼仍能在先前已認(rèn)證的設(shè)備上無(wú)限期使用。他舉例稱，自己一年前更改的密碼至今仍可用舊密碼登錄系統(tǒng)。

有用戶推測(cè)，這與系統(tǒng)的憑證緩存機(jī)制有關(guān)。Windows 為了支持無(wú)網(wǎng)絡(luò)訪問(wèn)時(shí)的登錄，會(huì)緩存用戶憑證，但無(wú)限期保留舊憑證在安全層面難以解釋，因?yàn)橛脩敉ǔＦ谕艽a更改后舊憑證立即失效。實(shí)測(cè)顯示，在 Windows 11 登錄微軟賬號(hào)時(shí)，修改密碼后舊密碼仍可登錄。

論壇上猜測(cè)微軟賬戶的運(yùn)作機(jī)制與活動(dòng)目錄域類似。為確保計(jì)算機(jī)在無(wú)網(wǎng)絡(luò)連接時(shí)用戶仍能登錄，系統(tǒng)會(huì)緩存微軟賬戶憑證。例如，在 Windows 8 系統(tǒng)中，若通過(guò)網(wǎng)頁(yè)更改微軟賬戶密碼，緩存的登錄憑證不會(huì)自動(dòng)更新，必須使用新密碼成功登錄 Windows 系統(tǒng)后才會(huì)刷新緩存。此設(shè)計(jì)旨在防止計(jì)算機(jī)完全失去網(wǎng)絡(luò)連接且無(wú)本地管理員賬戶時(shí)，用戶因密碼過(guò)期而無(wú)法訪問(wèn)系統(tǒng)，也無(wú)法修復(fù)網(wǎng)絡(luò)連接進(jìn)行新憑證驗(yàn)證。

因此，新密碼將在首次登錄時(shí)替換舊密碼，密碼更改最終會(huì)使舊憑證失效，只是失效時(shí)機(jī)并非用戶預(yù)期的密碼更改瞬間。

官方建議與解決方案

戴爾官方知識(shí)庫(kù)對(duì)此也有類似解釋，并提出解決方案：

在 Microsoft 賬戶網(wǎng)站更改密碼后，必須通過(guò)注銷或鎖定系統(tǒng)，并使用新密碼重新登錄，才能更新本地計(jì)算機(jī)上的密碼緩存。不建議使用 PIN 碼或圖片密碼登錄，因?yàn)檫@些方式不會(huì)觸發(fā)對(duì)微軟身份驗(yàn)證服務(wù)器的實(shí)際密碼驗(yàn)證，系統(tǒng)仍會(huì)接受緩存的舊密碼。

因此，當(dāng)您在線更改密碼時(shí)，建議始終注銷或鎖定系統(tǒng)，并至少使用 Microsoft 賬戶密碼在本地登錄一次，以確保憑證及時(shí)更新，防止舊密碼繼續(xù)被接受。

參考鏈接：

https://cybersecurityboard.com/windows-rdp-bug-allows-login-with-expired-passwords

https://www.dell.com/support/kbdoc/zh-cn/000134994

https://security.stackexchange.com/questions/230860/after-changing-microsoft-password-one-can-still-login-to-previously-authenticat/230891#230891

閱讀原文：原文鏈接

該文章在 2025/5/6 12:14:50 編輯過(guò)

關(guān)鍵字查詢

相關(guān)文章

正在查詢...

點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。

點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點(diǎn)，圍繞調(diào)度、堆場(chǎng)作業(yè)而開發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。

點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi)，不限功能、不限時(shí)間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。