KB5014754 – změny ověřování na základě certifikátů na řadičích domény s Windows

Nenašla se žádná mapování silných certifikátů a certifikát neměl nové rozšíření identifikátoru zabezpečení (SID), které by služba KDC mohla ověřit.

Protokol událostí	Systém
Typ události	Upozornění, pokud je služba KDC v režimu kompatibility Chyba, pokud je služba KDC v režimu vynucení
Zdroj události	Kdcsvc
ID události	39 41 (pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2)
Text události	Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale nešlo ho namapovat na uživatele silným způsobem (například prostřednictvím explicitního mapování, mapování důvěryhodnosti klíčů nebo identifikátoru SID). Tyto certifikáty by měly být nahrazeny nebo mapovány přímo na uživatele prostřednictvím explicitního mapování. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2189925. Uživatel: <hlavní název> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény (FQDN) <vystavitele > Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu

Certifikát byl uživateli vydán před tím, než uživatel existoval ve službě Active Directory, a nebylo nalezeno žádné silné mapování. Tato událost se protokoluje pouze v případě, že je služba KDC v režimu kompatibility.

Protokol událostí	Systém
Typ události	Chyba
Zdroj události	Kdcsvc
ID události	40 48 (Pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2
Text události	Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale nešlo ho namapovat na uživatele silným způsobem (například prostřednictvím explicitního mapování, mapování důvěryhodnosti klíčů nebo identifikátoru SID). Certifikát také přededatoval uživatele, na který namapoval, takže byl odmítnut. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2189925. Uživatel: <hlavní název> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény vystavitele <> Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu Čas vystavení certifikátu: <FILETIME> certifikátu Čas vytvoření účtu: <FILETIME hlavního objektu v AD>

Identifikátor SID obsažený v novém rozšíření certifikátu uživatelů neodpovídá identifikátoru SID uživatelů, což znamená, že certifikát byl vydán jinému uživateli.

Protokol událostí	Systém
Typ události	Chyba
Zdroj události	Kdcsvc
ID události	41 49 (pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2)
Text události	Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale obsahoval jiný identifikátor SID, než na kterého se namapoval. V důsledku toho požadavek týkající se certifikátu selhal. Další informace najdete v https://go.microsoft.cm/fwlink/?linkid=2189925. Uživatel: <hlavní název> IDENTIFIKÁTOR SID uživatele: <IDENTIFIKÁTOR SID ověřovacího objektu zabezpečení> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény vystavitele <> Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu IDENTIFIKÁTOR SID certifikátu: <IDENTIFIKÁTOR SID nalezený v novém> rozšíření certifikátu

Poznámka Některá pole, například Vystavitel, Předmět a Pořadové číslo, se oznamují ve formátu "forward". Při přidání řetězce mapování do atributu altSecurityIdentities je nutné tento formát obrátit. Pokud chcete například přidat mapování X509IssuerSerialNumber na uživatele, vyhledejte pole Vystavitel a Sériové číslo certifikátu, který chcete namapovat na uživatele. Podívejte se na ukázkový výstup níže.

• Vystavitel: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Sériové číslo: 2B0000000011AC000000012

Potom aktualizujte atribut altSecurityIdentities uživatele ve službě Active Directory následujícím řetězcem:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC110000000002B"

Pokud chcete tento atribut aktualizovat pomocí PowerShellu, můžete použít následující příkaz. Mějte na paměti, že ve výchozím nastavení mají oprávnění k aktualizaci tohoto atributu pouze správci domény.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Všimněte si, že při obrácení sériového čísla musíte zachovat pořadí bajtů. To znamená, že vrácení sériového čísla "A1B2C3" by mělo vést k řetězci "C3B2A1" a ne "3C2B1A". Další informace najdete v tématu Postupy: Mapování uživatele na certifikát pomocí všech metod dostupných v atributu altSecurityIdentities.

Po instalaci aktualizací Windows z 10. května 2022 budou zařízení v režimu kompatibility. Pokud je možné certifikát silně namapovat na uživatele, proběhne ověřování podle očekávání. Pokud je možné certifikát namapovat jenom slabě na uživatele, proběhne ověřování podle očekávání. Zpráva upozornění se ale zaprotokoluje, pokud certifikát není starší než uživatel. Pokud je certifikát starší než uživatel a není k dispozici klíč registru pro zálohování certifikátů nebo je rozsah mimo kompenzaci zálohování, ověřování se nezdaří a zaprotokoluje se chybová zpráva.  Pokud je klíč registru backdating certifikátu nakonfigurovaný, zapíše do protokolu událostí zprávu upozornění, pokud data spadají do backdating kompenzace.

Po instalaci aktualizací Systému Windows z 10. května 2022 watch pro všechny varovné zprávy, které se můžou zobrazit po měsíci nebo déle. Pokud se nezobrazují žádné varovné zprávy, důrazně doporučujeme povolit režim úplného vynucování na všech řadičích domény pomocí ověřování založeného na certifikátech. K povolení režimu úplného vynucování můžete použít klíč registru KDC .

Pokud nebude tento režim aktualizován dříve, aktualizujeme všechna zařízení do režimu úplného vynucování do 11. února 2025 nebo později. Pokud certifikát nelze silně mapovat, bude ověřování zamítnuto.

Pokud ověřování na základě certifikátů závisí na slabém mapování, které nemůžete přesunout z prostředí, můžete řadiče domény umístit do zakázaného režimu pomocí nastavení klíče registru. Microsoft to nedoporučuje a 11. dubna 2023 režim zakázáno odebere.

Po instalaci aktualizací Windows z 13. února 2024 nebo novějších na Server 2019 a vyšších a podporovaných klientů s nainstalovanou volitelnou funkcí RSAT bude mapování certifikátů ve službě Active Directory Users & Computers standardně vybírat silné mapování pomocí X509IssuerSerialNumber místo slabého mapování pomocí X509IssuerSubject. Nastavení je stále možné podle potřeby změnit.

• Pomocí provozního protokolu Kerberos na příslušném počítači určete, který řadič domény selhává při přihlášení. Přejděte na Prohlížeč událostí > Protokoly aplikací a služeb\Microsoft \Windows\Security-Kerberos\Operational.

• Vyhledejte relevantní události v protokolu událostí systému na řadiči domény, u kterého se účet pokouší ověřit.

• Pokud je certifikát starší než účet, znovu ho vyučte nebo přidejte k účtu zabezpečené mapování altSecurityIdentity (viz Mapování certifikátů).

• Pokud certifikát obsahuje rozšíření SID, ověřte, že identifikátor SID odpovídá účtu.

• Pokud se certifikát používá k ověřování několika různých účtů, bude každý účet potřebovat samostatné mapování altSecurityIdentities .

• Pokud certifikát nemá zabezpečené mapování na účet, přidejte ho nebo nechte doménu v režimu kompatibility, dokud ji nebude možné přidat.

Příkladem mapování certifikátů TLS je použití intranetové webové aplikace služby IIS.

• Po instalaci ochrany CVE-2022-26391 a CVE-2022-26923 se ve výchozím nastavení používá protokol S4U (Kerberos Certificate Service for User) pro mapování a ověřování certifikátů.

• V protokolu Kerberos Certificate S4U teče žádost o ověření z aplikačního serveru na řadič domény, nikoli z klienta do řadiče domény. Proto budou relevantní události na aplikačním serveru.

Tento klíč registru změní režim vynucení služby KDC na režim zakázáno, režim kompatibility nebo režim úplného vynucování.

Podklíč registru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Hodnota	StrongCertificateBindingEnforcement
Datový typ	REG_DWORD
Data	1 – Zkontroluje, jestli existuje silné mapování certifikátů. Pokud ano, ověřování je povolené. V opačném případě služba KDC zkontroluje, jestli certifikát obsahuje nové rozšíření SID, a ověří ho. Pokud toto rozšíření neexistuje, ověřování je povolené, pokud uživatelský účet předefinuje certifikát. 2 – Zkontroluje, jestli existuje silné mapování certifikátů. Pokud ano, ověřování je povolené. V opačném případě služba KDC zkontroluje, jestli certifikát obsahuje nové rozšíření SID, a ověří ho. Pokud toto rozšíření neexistuje, ověřování se odmítne. 0 – Zakáže kontrolu mapování silného certifikátu. Nedoporučuje se, protože tím zakážete všechna vylepšení zabezpečení. Pokud nastavíte hodnotu 0, musíte také nastavit CertificateMappingMethods na 0x1F, jak je popsáno v části Klíč registru Schannel níže, aby ověřování na základě certifikátů počítače bylo úspěšné.
Chcete restartovat?	Ne

Když serverová aplikace vyžaduje ověření klienta, Schannel se automaticky pokusí namapovat certifikát, který klient TLS dodává, na uživatelský účet. Uživatele, kteří se přihlašují pomocí klientského certifikátu, můžete ověřit tak, že vytvoříte mapování, která prováže informace o certifikátu s uživatelským účtem systému Windows. Po vytvoření a povolení mapování certifikátů pokaždé, když klient předloží klientský certifikát, serverová aplikace automaticky přidruží daného uživatele k příslušnému uživatelskému účtu systému Windows.

Schannel se pokusí namapovat každou metodu mapování certifikátů, kterou jste povolili, dokud nebude úspěšná. Schannel se nejprve pokusí namapovat mapování Service-For-User-To-Self (S4U2Self). Mapování certifikátů subjektu/vystavitele, vystavitele a hlavního názvu uživatele (UPN) je nyní považováno za slabé a ve výchozím nastavení je zakázané. Součet vybraných možností s maskou bitů určuje seznam dostupných metod mapování certifikátů.

Výchozí klíč registru SChannel byl 0x1F a teď je 0x18. Pokud u serverových aplikací založených na zprostředkovateli Schannel dochází k selhání ověřování, doporučujeme provést test. Přidejte nebo upravte hodnotu klíče registru CertificateMappingMethods na řadiči domény a nastavte ji na 0x1F a zjistěte, jestli se tím problém nevyřeší. Další informace najdete v protokolech událostí systému na řadiči domény, kde najdete chyby uvedené v tomto článku. Mějte na paměti, že změna hodnoty klíče registru SChannel zpět na předchozí výchozí (0x1F) se vrátí k použití slabých metod mapování certifikátů.

Podklíč registru	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Hodnota	CertificateMappingMethods
Datový typ	DWORD
Data	0x0001 – mapování certifikátu subjektu/vystavitele (slabé – ve výchozím nastavení zakázáno) 0x0002 – mapování certifikátu vystavitele (slabé – ve výchozím nastavení zakázáno) 0x0004 – mapování certifikátu UPN (slabé – ve výchozím nastavení zakázáno) 0x0008 – Mapování certifikátů S4U2Self (silné) 0x0010 – Mapování explicitního certifikátu S4U2Self (silné)
Chcete restartovat?	Ne

Další zdroje informací a podporu najdete v části Další prostředky.

Po instalaci aktualizací, které řeší cve-2022-26931 a CVE-2022-26923, může ověření selhat v případech, kdy jsou certifikáty uživatele starší než doba vytvoření uživatele. Tento klíč registru umožňuje úspěšné ověřování, pokud ve vašem prostředí používáte slabé mapování certifikátů a doba certifikátu je před časem vytvoření uživatele v rámci nastaveného rozsahu. Tento klíč registru nemá vliv na uživatele ani počítače se silnými mapováními certifikátů, protože u mapování silných certifikátů se nekontroluje čas certifikátu a čas vytvoření uživatele. Tento klíč registru nemá žádný vliv, pokud strongCertificateBindingEnforcement je nastaven na 2.

Použití tohoto klíče registru je dočasným alternativním řešením pro prostředí, která ho vyžadují, a je třeba ho provádět s opatrností. Použití tohoto klíče registru znamená pro vaše prostředí následující:

• Tento klíč registru funguje pouze v režimu kompatibility od aktualizací vydaných 10. května 2022. Ověřování bude povoleno v rámci posunu kompenzace backdating, ale pro slabou vazbu se zaprotokoluje upozornění protokolu událostí.

• Povolení tohoto klíče registru umožňuje ověření uživatele, když je čas certifikátu před časem vytvoření uživatele v rámci nastaveného rozsahu, což je slabé mapování. Slabá mapování nebudou podporována po instalaci aktualizací pro Windows vydaných 11. února 2025, které povolí režim úplného vynucování.

Podklíč registru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Hodnota	CertificateBackdatingCompensation
Datový typ	REG_DWORD
Data	Hodnoty pro alternativní řešení v přibližných letech: 50 let: 0x5E0C89C0 25 let: 0x2EFE0780 10 let: 0x12CC0300 5 let: 0x9660180 3 roky: 0x5A39A80 1 rok: 0x1E13380 Poznámka Pokud znáte životnost certifikátů ve vašem prostředí, nastavte tento klíč registru na mírně delší než životnost certifikátu.  Pokud neznáte životnost certifikátů pro vaše prostředí, nastavte tento klíč registru na 50 let. Výchozí hodnota je 10 minut, pokud tento klíč není k dispozici, což odpovídá službě Active Directory Certificate Services (ADCS). Maximální hodnota je 50 let (0x5E0C89C0). Tento klíč nastaví časový rozdíl v sekundách, který bude Centrum distribuce klíčů (KDC) ignorovat mezi časem vystavení ověřovacího certifikátu a časem vytvoření účtu pro účty uživatelů nebo počítačů. Důležité Tento klíč registru nastavte jenom v případě, že to vaše prostředí vyžaduje. Použití tohoto klíče registru zakazuje kontrolu zabezpečení.
Chcete restartovat?	Ne

Spuštěním následujícího příkazu certutil vyloučíte certifikáty šablony uživatele ze získání nového rozšíření.

1. Přihlaste se k serveru certifikační autority nebo k Windows 10 klientovi připojenému k doméně pomocí podnikového správce nebo ekvivalentních přihlašovacích údajů.

2. Otevřete příkazový řádek a zvolte Spustit jako správce.

3. Spusťte příkaz certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Zakázáním přidání tohoto rozšíření odeberete ochranu poskytovanou novým rozšířením. Zvažte to až po jedné z následujících možností:

1. Potvrdíte, že odpovídající certifikáty nejsou přijatelné pro kryptografii veřejných klíčů pro počáteční ověřování (PKINIT) v ověřování protokolu Kerberos na KDC.

2. Odpovídající certifikáty mají nakonfigurovaná další mapování silných certifikátů.

Prostředí, která mají nasazení certifikační autority jiné společnosti než Microsoft, nebudou po instalaci aktualizace Systému Windows z 10. května 2022 chráněna pomocí nového rozšíření SID. Ovlivnění zákazníci by měli na řešení tohoto problému spolupracovat s odpovídajícími dodavateli certifikační autority, případně by měli zvážit použití jiných mapování silných certifikátů popsaných výše.

Další zdroje informací a podporu najdete v části Další prostředky.

Ne, prodloužení se nevyžaduje. Certifikační autorita se bude dodávat v režimu kompatibility. Pokud chcete silné mapování pomocí rozšíření ObjectSID, budete potřebovat nový certifikát.