SCCM 修补程序 KB15498768 NTLM 连接回退更新

当禁用“允许连接回退到 NTLM”选项时，SCCM 修补程序 KB15498768 更新会阻止对客户端推送安装进行 NTLM 身份验证的任何尝试。此修补程序适用于 ConfigMgr 版本 2103 至 2207。

对于安装了版本 2103-2207 的环境，Configuration Manager 控制台的更新和服务节点中提供了 KB15498768（NTLM 连接回退更新）修补程序更新。

上周，微软发布了 SCCM 2207 早期更新环的 KB14959905 修补程序。 KB14959905 修补程序更新解决了 Configuration Manager 版本 2207 在全球发布后解决的重要的最新问题。

修补程序 KB15498768 适用于 Configuration Manager 版本 2103 到 2207。此更新不会取代任何以前发布的更新。请阅读 Microsoft Endpoint Configuration Manager 的 NTLM 连接回退更新中有关此修补程序的更多详细信息。

修补程序 KB15498768 摘要

在以下任一情况下，都不会启用客户端推送安装属性中的允许连接回退到 NTLM 选项：

• 如果 Kerberos 身份验证失败，客户端推送帐户将尝试 NTLM 连接。
• 如果所有定义的客户端推送安装帐户的 Kerberos 身份验证失败，站点服务器计算机帐户将尝试使用 NTLM 进行连接。

当禁用允许连接回退到 NTLM 选项时，ConfigMgr 修补程序 KB15498768 更新会阻止对客户端推送安装进行 NTLM 身份验证的任何尝试。

安装 KB15498768 更新可解决以下安全问题：

• CVE-2022-37972

从 Configuration Manager 2207 开始，在新站点安装中默认禁用允许连接回退到 NTLM 选项。建议尽可能在现有环境中禁用此选项，以提高安全性。

对于 Configuration Manager 版本 2107 及更高版本，KB15498768 更新不需要在安装后重新启动计算机或重置站点。 Configuration Manager 版本 2103 将需要在更新安装后重置站点。

安装 SCCM 修补程序 KB15498768 NTLM 连接回退更新

执行以下步骤安装 SCCM 修补程序 KB15498768 NTLM 连接回退更新：

• 启动 Microsoft 端点配置管理器控制台。
• 浏览至管理\概述\更新和服务。
• 右键单击Configuration Manager 2207 修补程序 KB15498768，然后选择安装更新包。

Configuration Manager 2207 修补程序 KB15498768 仅包含站点服务器更新。对于先决条件警告，您可以在运行 SCCM 2207 的生产服务器上启用“忽略任何先决条件检查警告并安装更新”选项。点击下一步。

接受安装 KB 15498768 修补程序的许可条款。点击下一步。

在摘要页面上，确认设置并点击下一步。

关闭配置管理器更新向导。这就完成了安装 SCCM 2207 KB15498768 修补程序的步骤。

监控 KB15498768 修补程序安装进度

您可以通过查看站点服务器上的 cmupdate.log 来监控 KB15498768 修补程序安装进度。或者，“监视”工作区提供有关修补程序安装进度的信息。查看所有 SCCM 日志文件的列表以获取修补程序更新。

修补程序 KB15498768 的安装总共只需要 10 分钟，并且在此过程中的任何时候都没有出现任何问题。安装修补程序更新 KB15498768 后，SCCM 站点将会重置，即使不需要重新启动计算机。

请注意，KB15498768 修补程序不需要控制台升级或客户端代理升级。 KB15498768 仅包含站点服务器更新。

验证 SCCM 服务器上的 KB15498768 安装

让我们检查一下 KB15498768 修补程序是否已安装。启动 Configuration Manager 控制台并转到管理\概述\更新和服务。我们看到 Configuration Manager 2207 修补程序 KB15498768 显示为已安装。这确认修补程序安装成功。

使用修补程序 KB15498768 更新辅助站点

在主站点上安装 SCCM 2207 修补程序 KB15498768 更新后，必须手动更新预先存在的辅助站点。详细了解 SCCM 中的辅助站点安装。

要在 Configuration Manager 控制台中更新辅助站点，请选择管理 >站点配置>站点>恢复辅助站点 ，然后选择辅助站点。

在站点数据库上运行以下 SQL Server 命令，检查辅助站点的更新版本是否与其父主站点的更新版本匹配：

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')

• 如果返回值 1，则该站点是最新的，所有修补程序都应用于其父主站点。
• 如果返回值 0，则该网站尚未安装应用于主网站的所有修复程序，您应该使用“恢复辅助网站”选项来更新辅助网站。