KB5014754 — تغييرات المصادقة المستندة إلى الشهادة على وحدات تحكم مجال Windows

تعذر العثور على تعيينات شهادات قوية، ولم يكن للشهادة ملحق معرف الأمان الجديد (SID) الذي يمكن أن يتحقق KDC من صحته.

سجل الأحداث	النظام
نوع الحدث	تحذير إذا كان KDC في وضع التوافق خطأ إذا كان KDC في وضع الإنفاذ
مصدر الحدث	Kdcsvc
معرف الحدث	39 41 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2)
نص الحدث	واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكن تعذر تعيينها إلى مستخدم بطريقة قوية (مثل التعيين الصريح أو تعيين الثقة الرئيسية أو معرف الأمان). يجب استبدال هذه الشهادات أو تعيينها مباشرة إلى المستخدم من خلال التعيين الصريح. راجع https://go.microsoft.com/fwlink/?linkid=2189925 لمعرفة المزيد. المستخدم:> الاسم الأساسي < موضوع الشهادة: اسم الموضوع <في> الشهادة مصدر الشهادة: <اسم المجال المؤهل بالكامل (FQDN) > الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة بصمة إبهام الشهادة: <بصمة إبهام الشهادة>

تم إصدار الشهادة للمستخدم قبل وجود المستخدم في Active Directory ولم يتم العثور على تعيين قوي. يتم تسجيل هذا الحدث فقط عندما يكون KDC في وضع التوافق.

سجل الأحداث	النظام
نوع الحدث	الخطأ
مصدر الحدث	Kdcsvc
معرف الحدث	40 48 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2
نص الحدث	واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكن تعذر تعيينها إلى مستخدم بطريقة قوية (مثل التعيين الصريح أو تعيين الثقة الرئيسية أو معرف الأمان). كما أن الشهادة تسبق المستخدم الذي تم تعيينه إليه، لذلك تم رفضها. راجع https://go.microsoft.com/fwlink/?linkid=2189925 لمعرفة المزيد. المستخدم:> الاسم الأساسي < موضوع الشهادة: اسم الموضوع <في> الشهادة مصدر الشهادة: <مصدر FQDN> الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة بصمة إبهام الشهادة: <بصمة إبهام الشهادة> وقت إصدار الشهادة: <FILETIME> الشهادة وقت إنشاء الحساب: <FILETIME للكائن الأساسي في AD>

لا يتطابق SID المضمن في الملحق الجديد لشهادة المستخدمين مع معرف الأمان للمستخدمين، مما يعني أنه تم إصدار الشهادة لمستخدم آخر.

سجل الأحداث	النظام
نوع الحدث	الخطأ
مصدر الحدث	Kdcsvc
معرف الحدث	41 49 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2)
نص الحدث	واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكنها تحتوي على SID مختلف عن المستخدم الذي تم تعيينه إليه. ونتيجة لذلك، فشل الطلب الذي يتضمن الشهادة. راجع https://go.microsoft.cm/fwlink/?linkid=2189925 لمعرفة المزيد. المستخدم:> الاسم الأساسي < معرف الأمان للمستخدم: <SID> الأساسي المصادق عليه موضوع الشهادة: اسم الموضوع <في> الشهادة مصدر الشهادة: <مصدر FQDN> الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة بصمة إبهام الشهادة: <بصمة إبهام الشهادة> الشهادة SID: <تم العثور على SID في ملحق الشهادة الجديد>

ملاحظه يتم الإبلاغ عن بعض الحقول، مثل المصدر والموضوع والرقم التسلسلي، بتنسيق "إعادة توجيه". يجب عكس هذا التنسيق عند إضافة سلسلة التعيين إلى السمة altSecurityIdentities . على سبيل المثال، لإضافة تعيين X509IssuerSerialNumber إلى مستخدم، ابحث في حقلي "المصدر" و"الرقم التسلسلي" للشهادة التي تريد تعيينها للمستخدم. راجع إخراج العينة أدناه.

• المصدر: CN=CONTOSO-DC-CA، DC=contoso، DC=com

• الرقم التسلسلي: 2B00000000011AC0000000012

بعد ذلك، قم بتحديث سمة altSecurityIdentities الخاصة بالمستخدم في Active Directory بالسلسلة التالية:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

لتحديث هذه السمة باستخدام Powershell، يمكنك استخدام الأمر أدناه. ضع في اعتبارك أن مسؤولي المجال فقط، بشكل افتراضي، لديهم الإذن لتحديث هذه السمة.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

لاحظ أنه عند عكس الرقم التسلسلي، يجب الاحتفاظ بترتيب البايت. وهذا يعني أن عكس الرقم التسلسلي "A1B2C3" يجب أن يؤدي إلى السلسلة "C3B2A1" وليس "3C2B1A". لمزيد من المعلومات، راجع HowTo: تعيين مستخدم إلى شهادة عبر جميع الأساليب المتوفرة في السمة altSecurityIdentities.

بمجرد تثبيت تحديثات Windows في 10 مايو 2022، ستكون الأجهزة في وضع التوافق. إذا كان من الممكن تعيين شهادة بقوة إلى مستخدم، فستحدث المصادقة كما هو متوقع. إذا كان من الممكن تعيين شهادة إلى مستخدم بشكل ضعيف فقط، فستحدث المصادقة كما هو متوقع. ومع ذلك، سيتم تسجيل رسالة تحذير ما لم تكن الشهادة أقدم من المستخدم. إذا كانت الشهادة أقدم من المستخدم ولم يكن مفتاح التسجيل Certificate Backdating موجودا أو كان النطاق خارج التعويض المدعوم، فستفشل المصادقة، وسيتم تسجيل رسالة خطأ.  إذا تم تكوين مفتاح التسجيل Certificate Backdating، فسيسجل رسالة تحذير في سجل الأحداث إذا كانت التواريخ تقع ضمن التعويض الاحتياطي.

بعد تثبيت تحديثات Windows في 10 مايو 2022، شاهد أي رسالة تحذير قد تظهر بعد شهر أو أكثر. إذا لم تكن هناك رسائل تحذير، نوصي بشدة بتمكين وضع الإنفاذ الكامل على جميع وحدات التحكم بالمجال باستخدام المصادقة المستندة إلى الشهادة. يمكنك استخدام مفتاح تسجيل KDC لتمكين وضع الإنفاذ الكامل.

ما لم يتم التحديث إلى هذا الوضع مسبقا، سنقوم بتحديث جميع الأجهزة إلى وضع الإنفاذ الكامل بحلول 11 فبراير 2025 أو أحدث. إذا تعذر تعيين شهادة بقوة، فسيتم رفض المصادقة.

إذا كانت المصادقة المستندة إلى الشهادة تعتمد على تعيين ضعيف لا يمكنك نقله من البيئة، يمكنك وضع وحدات التحكم بالمجال في الوضع معطل باستخدام إعداد مفتاح التسجيل. لا توصي Microsoft بذلك، وسنزيل الوضع معطل في 11 أبريل 2023.

بمجرد تثبيت تحديثات Windows في 13 فبراير 2024 أو أحدث على Server 2019 وما فوق والعملاء المدعومين مع تثبيت ميزة RSAT الاختيارية، سيتم تعيين الشهادة في Active Directory Users & Computers افتراضيا لتحديد تعيين قوي باستخدام X509IssuerSerialNumber بدلا من التعيين الضعيف باستخدام X509IssuerSubject. لا يزال من الممكن تغيير الإعداد حسب الرغبة.

• استخدم سجل Kerberos Operational على الكمبيوتر ذي الصلة لتحديد وحدة التحكم بالمجال التي تفشل في تسجيل الدخول. انتقل إلى عارض الأحداث > سجلات التطبيقات والخدمات\Microsoft \Windows\Security-Kerberos\Operational.

• ابحث عن الأحداث ذات الصلة في سجل أحداث النظام على وحدة تحكم المجال التي يحاول الحساب المصادقة عليها.

• إذا كانت الشهادة أقدم من الحساب، فقم بإعادة إصدار الشهادة أو إضافة تعيين altSecurityIdentities آمن إلى الحساب (راجع تعيينات الشهادة).

• إذا كانت الشهادة تحتوي على ملحق SID، فتحقق من تطابق SID مع الحساب.

• إذا تم استخدام الشهادة لمصادقة عدة حسابات مختلفة، فسيحتاج كل حساب إلى تعيين altSecurityIdentities منفصل.

• إذا لم يكن لدى الشهادة تعيين آمن للحساب، أضف واحدا أو اترك المجال في وضع التوافق حتى يمكن إضافة مجال.

مثال على تعيين شهادة TLS هو استخدام تطبيق ويب IIS إنترانت.

• بعد تثبيت الحماية CVE-2022-26391وCVE-2022-26923 ، تستخدم هذه السيناريوهات بروتوكول خدمة شهادات Kerberos للمستخدم (S4U) لتعيين الشهادات والمصادقة بشكل افتراضي.

• في بروتوكول Kerberos Certificate S4U، يتدفق طلب المصادقة من خادم التطبيق إلى وحدة تحكم المجال، وليس من العميل إلى وحدة تحكم المجال. لذلك، ستكون الأحداث ذات الصلة على خادم التطبيق.

يغير مفتاح التسجيل هذا وضع الإنفاذ الخاص ب KDC إلى الوضع معطل أو وضع التوافق أو وضع الإنفاذ الكامل.

مفتاح التسجيل الفرعي	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
‏‏القيمة	StrongCertificateBindingEnforcement
نوع البيانات	Reg_dword
بيانات	1 - التحقق من وجود تعيين شهادة قوي. إذا كانت الإجابة بنعم، يتم السماح بالمصادقة. وإلا، سيتحقق KDC مما إذا كانت الشهادة تحتوي على ملحق SID الجديد والتحقق من صحتها. إذا لم يكن هذا الملحق موجودا، يتم السماح بالمصادقة إذا كان حساب المستخدم يسبق الشهادة. 2 - التحقق من وجود تعيين قوي للشهادة. إذا كانت الإجابة بنعم، يتم السماح بالمصادقة. وإلا، سيتحقق KDC مما إذا كانت الشهادة تحتوي على ملحق SID الجديد والتحقق من صحتها. إذا لم يكن هذا الملحق موجودا، يتم رفض المصادقة. 0 - يعطل فحص تعيين الشهادة القوي. غير مستحسن لأن هذا سيؤدي إلى تعطيل جميع تحسينات الأمان. إذا قمت بتعيين هذا إلى 0، يجب عليك أيضا تعيين CertificateMappingMethods إلى 0x1F كما هو موضح في قسم مفتاح تسجيل Schannel أدناه حتى تنجح المصادقة المستندة إلى شهادة الكمبيوتر..
هل إعادة التشغيل مطلوبة؟	لا

عندما يتطلب تطبيق خادم مصادقة العميل، يحاول Schannel تلقائيا تعيين الشهادة التي يوفرها عميل TLS لحساب مستخدم. يمكنك مصادقة المستخدمين الذين يسجلون الدخول باستخدام شهادة عميل عن طريق إنشاء تعيينات تربط معلومات الشهادة بحساب مستخدم Windows. بعد إنشاء تعيين شهادة وتمكينه، في كل مرة يقدم فيها العميل شهادة عميل، يربط تطبيق الخادم هذا المستخدم تلقائيا بحساب مستخدم Windows المناسب.

سيحاول Schannel تعيين كل أسلوب تعيين شهادة قمت بتمكينه حتى ينجح واحد. يحاول Schannel تعيين تعيينات Service-For-User-to-Self (S4U2Self) أولا. تعتبر تعيينات شهادات الموضوع/المصدر والمصدر و UPN ضعيفة الآن وقد تم تعطيلها بشكل افتراضي. يحدد المجموع النقطي للخيارات المحددة قائمة أساليب تعيين الشهادات المتوفرة.

تم 0x1F مفتاح تسجيل SChannel الافتراضي وهو الآن 0x18. إذا واجهت فشلا في المصادقة مع تطبيقات الخادم المستندة إلى Schannel، فإننا نقترح عليك إجراء اختبار. إضافة قيمة مفتاح التسجيل CertificateMappingMethods أو تعديلها على وحدة تحكم المجال وتعيينها إلى 0x1F ومعرفة ما إذا كان ذلك يعالج المشكلة. ابحث في سجلات أحداث النظام على وحدة تحكم المجال عن أي أخطاء مدرجة في هذه المقالة لمزيد من المعلومات. ضع في اعتبارك أن تغيير قيمة مفتاح تسجيل SChannel مرة أخرى إلى الافتراضي السابق (0x1F) سيعود إلى استخدام أساليب تعيين الشهادات الضعيفة.

مفتاح التسجيل الفرعي	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
‏‏القيمة	CertificateMappingMethods
نوع البيانات	DWORD
بيانات	0x0001 - تعيين شهادة الموضوع/المصدر (ضعيف – معطل بشكل افتراضي) 0x0002 - تعيين شهادة المصدر (ضعيف – معطل بشكل افتراضي) 0x0004 - تعيين شهادة UPN (ضعيف – معطل بشكل افتراضي) 0x0008 - تعيين شهادة S4U2Self (قوي) 0x0010 - تعيين شهادة صريحة S4U2Self (قوي)
هل إعادة التشغيل مطلوبة؟	لا

للحصول على موارد ودعم إضافيين، راجع قسم "موارد إضافية".

بعد تثبيت التحديثات التي تتناول CVE-2022-26931وCVE-2022-26923، قد تفشل المصادقة في الحالات التي تكون فيها شهادات المستخدم أقدم من وقت إنشاء المستخدمين. يسمح مفتاح التسجيل هذا بالمصادقة الناجحة عند استخدام تعيينات شهادات ضعيفة في بيئتك ويكون وقت الشهادة قبل وقت إنشاء المستخدم ضمن نطاق معين. لا يؤثر مفتاح التسجيل هذا على المستخدمين أو الأجهزة ذات تعيينات شهادات قوية، حيث لا يتم التحقق من وقت الشهادة ووقت إنشاء المستخدم باستخدام تعيينات شهادات قوية. لا يكون لمفتاح التسجيل هذا أي تأثير عند تعيين StrongCertificateBindingEnforcement إلى 2.

يعد استخدام مفتاح التسجيل هذا حلا مؤقتا للبيئات التي تتطلب ذلك ويجب إجراؤه بحذر. يعني استخدام مفتاح التسجيل هذا ما يلي لبيئتك:

• يعمل مفتاح التسجيل هذا فقط في وضع التوافق بدءا من التحديثات التي تم إصدارها في 10 مايو 2022. سيتم السماح بالمصادقة ضمن إزاحة التعويض المدعوم ولكن سيتم تسجيل تحذير سجل الأحداث للربط الضعيف.

• يسمح تمكين مفتاح التسجيل هذا بمصادقة المستخدم عندما يكون وقت الشهادة قبل وقت إنشاء المستخدم ضمن نطاق معين كرسم تخطيط ضعيف. لن يتم دعم التعيينات الضعيفة بعد تثبيت تحديثات Windows التي تم إصدارها في 11 فبراير 2025، والتي ستمكن وضع الإنفاذ الكامل.

مفتاح التسجيل الفرعي	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
‏‏القيمة	CertificateBackdatingCompensation
نوع البيانات	Reg_dword
بيانات	قيم الحل البديل في السنوات التقريبية: 50 عاما: 0x5E0C89C0 25 عاما: 0x2EFE0780 10 سنوات: 0x12CC0300 5 سنوات: 0x9660180 3 سنوات: 0x5A39A80 سنة واحدة: 0x1E13380 ‏ملاحظة إذا كنت تعرف عمر الشهادات في بيئتك، فقم بتعيين مفتاح التسجيل هذا إلى أطول قليلا من عمر الشهادة.  إذا كنت لا تعرف مدة بقاء الشهادة لبيئتك، فقم بتعيين مفتاح التسجيل هذا إلى 50 عاما. يتم تعيينه افتراضيا إلى 10 دقائق عندما لا يكون هذا المفتاح موجودا، والذي يطابق خدمات شهادات Active Directory (ADCS). الحد الأقصى للقيمة هو 50 عاما (0x5E0C89C0). يعين هذا المفتاح فرق الوقت، بالثوان، الذي سيتجاهله مركز توزيع المفاتيح (KDC) بين وقت إصدار شهادة المصادقة ووقت إنشاء الحساب لحسابات المستخدم/الجهاز. هام قم بتعيين مفتاح التسجيل هذا فقط إذا كانت بيئتك تتطلب ذلك. يؤدي استخدام مفتاح التسجيل هذا إلى تعطيل فحص الأمان.
هل إعادة التشغيل مطلوبة؟	لا

يمكنك تشغيل الأمر certutil التالي لاستبعاد شهادات قالب المستخدم من الحصول على الملحق الجديد.

1. سجل الدخول إلى خادم المرجع المصدق أو عميل Windows 10 مرتبط بالمجال مع مسؤول المؤسسة أو بيانات الاعتماد المكافئة.

2. افتح موجه الأوامر واختر تشغيل كمسؤول.

3. قم بتشغيل certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

سيؤدي تعطيل إضافة هذا الملحق إلى إزالة الحماية التي يوفرها الملحق الجديد. ضع في اعتبارك القيام بذلك فقط بعد أحد الإجراءات التالية:

1. تأكد من أن الشهادات المقابلة غير مقبولة لتشفير المفتاح العام للمصادقة الأولية (PKINIT) في مصادقات بروتوكول Kerberos في KDC

2. تحتوي الشهادات المقابلة على تعيينات شهادات قوية أخرى تم تكوينها

لن تتم حماية البيئات التي تحتوي على عمليات توزيع غير Microsoft CA باستخدام ملحق SID الجديد بعد تثبيت تحديث Windows 10 مايو 2022. يجب أن يعمل العملاء المتأثرون مع موردي CA المقابلين لمعالجة ذلك أو يجب أن يفكروا في استخدام تعيينات الشهادات القوية الأخرى الموضحة أعلاه.

للحصول على موارد ودعم إضافيين، راجع قسم "موارد إضافية".

لا، التجديد غير مطلوب. سيتم شحن المرجع المصدق في وضع التوافق. إذا كنت تريد تعيينا قويا باستخدام ملحق ObjectSID، فستحتاج إلى شهادة جديدة.