Microsoft сообщает, что обновления безопасности Windows за октябрь 2025 года вызывают проблемы с аутентификацией и сертификатами смарт-карт из-за изменений, связанных с усилением служб криптографии Windows.
Затронуты все выпуски Windows 10, Windows 11 и Windows Server, включая последние версии, предназначенные для широкого развёртывания.
Пользователи, столкнувшиеся с этой проблемой, могут наблюдать различные симптомы: от невозможности подписывать документы и сбоев в приложениях, использующих аутентификацию на основе сертификатов, до проблем с распознаванием смарт-карт как поставщиков CSP (поставщиков криптографических услуг) в 32-разрядных приложениях. Также могут наблюдаться сообщения об ошибках «Указан недопустимый тип поставщика» и «Ошибка CryptAcquireCertificatePrivateKey».
Определить затронута ли смарт-карта этой проблемой можно, если перед установкой октябрьского обновления безопасности Windows проверить наличие события с идентификатором 624 для службы смарт-карт в системных журналах событий Windows.
Как пояснила компания, эта известная проблема возникает из-за того, что обновления безопасности этого месяца автоматически по умолчанию включают исправление безопасности, предназначенное для устранения уязвимости обхода функций безопасности ( ) в службах криптографии Windows, которые обрабатывают операции, связанные с безопасностью и криптографией. Указанное исправление включается установкой значения «1» для ключа реестра DisableCapiOverrideForRSA, чтобы изолировать криптографические операции от реализации смарт-карты и не дать злоумышленникам создать коллизию хешей SHA1 для обхода цифровых подписей в уязвимых системах.
Если возникли проблемы с аутентификацией, можно вручную решить их, отключив ключ реестра DisableCapiOverrideForRSA, выполнив следующее:
Хотя указанный метод должен решить проблему, раздел реестра DisableCapiOverrideForRSA будет удалён из Windows в апреле 2026 года. Microsoft рекомендует затронутым пользователям обратиться к поставщикам своих приложений для решения этой проблемы.
На прошлой неделе Microsoft исправила ещё одну известную проблему, нарушавшую работу веб-сайтов IIS и подключения локального хоста HTTP/2 (127.0.0.1) после установки последних обновлений безопасности Windows. Кроме того, компания также сняла два запрета на совместимость, препятствовавших пользователям обновлять свои ПК до Windows 11 24H2 через Центр обновления Windows.
Затронуты все выпуски Windows 10, Windows 11 и Windows Server, включая последние версии, предназначенные для широкого развёртывания.
Пользователи, столкнувшиеся с этой проблемой, могут наблюдать различные симптомы: от невозможности подписывать документы и сбоев в приложениях, использующих аутентификацию на основе сертификатов, до проблем с распознаванием смарт-карт как поставщиков CSP (поставщиков криптографических услуг) в 32-разрядных приложениях. Также могут наблюдаться сообщения об ошибках «Указан недопустимый тип поставщика» и «Ошибка CryptAcquireCertificatePrivateKey».
Определить затронута ли смарт-карта этой проблемой можно, если перед установкой октябрьского обновления безопасности Windows проверить наличие события с идентификатором 624 для службы смарт-карт в системных журналах событий Windows.
Как пояснила компания, эта известная проблема возникает из-за того, что обновления безопасности этого месяца автоматически по умолчанию включают исправление безопасности, предназначенное для устранения уязвимости обхода функций безопасности ( ) в службах криптографии Windows, которые обрабатывают операции, связанные с безопасностью и криптографией. Указанное исправление включается установкой значения «1» для ключа реестра DisableCapiOverrideForRSA, чтобы изолировать криптографические операции от реализации смарт-карты и не дать злоумышленникам создать коллизию хешей SHA1 для обхода цифровых подписей в уязвимых системах.
Если возникли проблемы с аутентификацией, можно вручную решить их, отключив ключ реестра DisableCapiOverrideForRSA, выполнив следующее:
- открыть редактор реестра сочетанием клавиш Win + R, ввести regedit и нажать Enter. Если появится сообщение системы контроля учётных записей (UAC), нажать «Да»;
- в дереве реестра перейти к подразделу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais;
- проверить в Calais наличие записи DisableCapiOverrideForRSA. Дважды щелкнуть на DisableCapiOverrideForRSA. В поле «Значение» ввести 0, нажать «OK».
- закрыть редактор реестра и перезагрузить компьютер, чтобы изменения вступили в силу.
Хотя указанный метод должен решить проблему, раздел реестра DisableCapiOverrideForRSA будет удалён из Windows в апреле 2026 года. Microsoft рекомендует затронутым пользователям обратиться к поставщикам своих приложений для решения этой проблемы.
На прошлой неделе Microsoft исправила ещё одну известную проблему, нарушавшую работу веб-сайтов IIS и подключения локального хоста HTTP/2 (127.0.0.1) после установки последних обновлений безопасности Windows. Кроме того, компания также сняла два запрета на совместимость, препятствовавших пользователям обновлять свои ПК до Windows 11 24H2 через Центр обновления Windows.
