Microsoft lanceert een spoedpatches om lokaal audit logon-beleid in Active Directory Group Policy weer correct te tonen. Deze zogeheten out-of-band updates zijn beschikbaar voor diverse Windows-versies, waaronder Windows 11 en verschillende Windows Server-edities.
Het probleem manifesteert zich voornamelijk als een rapportagefout. Volgens Microsoft kunnen logon- en logoff-events in bepaalde gevallen gewoon correct worden geregistreerd, ondanks dat het beleid niet als ingeschakeld verschijnt.
Verwarrende rapportage
“We hebben een probleem geïdentificeerd waarbij audit logon/logoff-events in het lokale beleid van Active Directory Group Policy mogelijk niet als ingeschakeld worden weergegeven, zelfs als ze zijn ingeschakeld en naar verwachting werken”, verklaart Microsoft in een update voor Microsoft 365-beheerders.
De inconsistentie is zichtbaar in de Local Group Policy Editor of Local Security Policy, waar lokale audit-beleidsregels de ‘Audit logon events’-instelling tonen met de beveiligingsinstelling ‘No auditing’, terwijl er wel degelijk auditing plaatsvindt.
De ‘Audit logon events’-beleidsinstelling is een belangrijke functie voor systeembeheerders. Wanneer deze is ingeschakeld, kunnen ze logon- en logoff-gebeurtenissen bijhouden en nieuwe vermeldingen in de auditlogs genereren. Deze logs registreren alle gebruikers- en serviceactiviteiten en zijn essentieel tijdens securityonderzoeken en voor compliance-doeleinden.
Beschikbare patches
Microsoft heeft afgelopen vrijdag de volgende updates uitgebracht om het Active Directory audit logon-beleidsprobleem aan te pakken:
- Windows 11, versies 23H2 en 22H2 (KB5058919)
- Windows Server 2022 (KB5058920)
- Windows 10 Enterprise LTSC 2019 en Windows Server 2019 (KB5058922)
- Windows 10 LTSB 2016 en Windows Server 2016 (KB5058921)
- Azure Stack HCI, versie 22H2 (KB5058920)
Deze spoedpatches zijn niet securitypatches, enze hoeven alleen door getroffen organisaties te worden geïnstalleerd. De out-of-band updates kunnen alleen worden gedownload en geïnstalleerd via de Microsoft Update Catalog voor de betreffende Windows-versies.
Context binnen Windows Server-problematiek
Dit is niet het eerste probleem met updates voor Windows-systemen. Eerder dit jaar veroorzaakten securityupdates voor Windows 11, 10 en diverse Windows Server-versies al problemen met VPN-verbindingen, waardoor sommige gebruikers gedwongen werden updates te de-installeren.
Windows Server-systemen hebben daarnaast vaker te kampen met update-gerelateerde uitdagingen. Zo meldde Microsoft onlangs dat beveiligingsupdates voor Windows Server 2025 leiden tot bevriezende Remote Desktop-sessies, waarbij muis- en toetsenbordinvoer niet meer reageren.
Eerder vandaag schreven we ten slotte over een ander probleem die enkel voor Windows Server 2025 gold. het verliezen van contact met domaincontrollers na een herstart. In dat geval laden servers het standaard firewallprofiel in plaats van het domeinprofiel, wat applicaties en services verstoort.
De huidige out-of-band updates zijn cumulatief, wat betekent dat gebruikers geen eerdere updates hoeven te installeren voordat ze deze toepassen. Microsoft benadrukt dat thuisgebruikers waarschijnlijk niet worden getroffen door dit bekende probleem, aangezien logon-auditing voornamelijk nodig is in bedrijfsomgevingen.