KB5014754— Αλλαγές στον έλεγχο ταυτότητας βάσει πιστοποιητικού σε ελεγκτές τομέα των Windows

Δεν βρέθηκαν ισχυρές αντιστοιχίσεις πιστοποιητικών και το πιστοποιητικό δεν είχε τη νέα επέκταση αναγνωριστικού ασφαλείας (SID) που θα μπορούσε να επικυρώσει το KDC.

Το πιστοποιητικό εκδόθηκε στο χρήστη πριν από την ύπαρξη του χρήστη στην υπηρεσία καταλόγου Active Directory και δεν ήταν δυνατός ο εντοπισμός ισχυρής αντιστοίχισης. Αυτό το συμβάν καταγράφεται μόνο όταν το KDC βρίσκεται σε κατάσταση λειτουργίας συμβατότητας.

Το SID που περιέχεται στη νέα επέκταση του πιστοποιητικού χρηστών δεν συμφωνεί με το SID των χρηστών, υπονοώντας ότι το πιστοποιητικό εκδόθηκε σε άλλο χρήστη.

Σημείωση Ορισμένα πεδία, όπως ο Εκδότης, το Θέμα και ο Σειριακός αριθμός, αναφέρονται σε μορφή "προώθησης". Πρέπει να αντιστρέψετε αυτήν τη μορφή όταν προσθέτετε τη συμβολοσειρά αντιστοίχισης στο χαρακτηριστικό altSecurityIdentities . Για παράδειγμα, για να προσθέσετε την αντιστοίχιση X509IssuerSerialNumber σε ένα χρήστη, κάντε αναζήτηση στα πεδία "Εκδότης" και "Σειριακός αριθμός" του πιστοποιητικού που θέλετε να αντιστοιχίσετε στο χρήστη. Δείτε το αποτέλεσμα του δείγματος παρακάτω.

• Εκδότης: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Στη συνέχεια, ενημερώστε το χαρακτηριστικό altSecurityIdentities του χρήστη στην υπηρεσία καταλόγου Active Directory με την ακόλουθη συμβολοσειρά:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Για να ενημερώσετε αυτό το χαρακτηριστικό χρησιμοποιώντας το Powershell, μπορείτε να χρησιμοποιήσετε την παρακάτω εντολή. Λάβετε υπόψη ότι, από προεπιλογή, μόνο οι διαχειριστές τομέα έχουν το δικαίωμα ενημέρωσης αυτού του χαρακτηριστικού.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Σημειώστε ότι όταν αντιστρέφετε τον Σειριακό Αριθμό, πρέπει να διατηρήσετε τη σειρά των byte. Αυτό σημαίνει ότι η αντιστροφή του σειριακού αριθμού "A1B2C3" θα πρέπει να έχει ως αποτέλεσμα τη συμβολοσειρά "C3B2A1" και όχι τη συμβολοσειρά "3C2B1A". Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα HowTo: Αντιστοίχιση ενός χρήστη σε ένα πιστοποιητικό μέσω όλων των μεθόδων που είναι διαθέσιμες στο χαρακτηριστικό altSecurityIdentities.

Αφού εγκαταστήσετε τις ενημερώσεις των Windows της 10ης Μαΐου 2022, οι συσκευές θα βρίσκονται σε λειτουργία συμβατότητας. Εάν ένα πιστοποιητικό μπορεί να αντιστοιχιστεί σθεναρά σε ένα χρήστη, ο έλεγχος ταυτότητας θα πραγματοποιηθεί κατά το αναμενόμενο. Εάν ένα πιστοποιητικό μπορεί να αντιστοιχιστεί αδύναμα μόνο σε ένα χρήστη, ο έλεγχος ταυτότητας θα πραγματοποιηθεί κατά το αναμενόμενο. Ωστόσο, θα καταγραφεί ένα προειδοποιητικό μήνυμα, εκτός εάν το πιστοποιητικό είναι παλαιότερο από το χρήστη. Εάν το πιστοποιητικό είναι παλαιότερο από το χρήστη και το κλειδί μητρώου Με αναδρομική επικύρωση πιστοποιητικού δεν υπάρχει ή το εύρος βρίσκεται εκτός της αποζημίωσης, ο έλεγχος ταυτότητας θα αποτύχει και θα καταγραφεί ένα μήνυμα σφάλματος.  Εάν έχει ρυθμιστεί το κλειδί μητρώου "Backdating πιστοποιητικού", θα καταγράψει ένα προειδοποιητικό μήνυμα στο αρχείο καταγραφής συμβάντων, εάν οι ημερομηνίες εμπίπτουν στην αποζημίωση για την αναδρομική αποζημίωση.

Αφού εγκαταστήσετε τις ενημερώσεις των Windows της 10ης Μαΐου 2022, αναζητήστε τυχόν προειδοποιητικά μηνύματα που μπορεί να εμφανιστούν μετά από ένα μήνα ή περισσότερο. Εάν δεν υπάρχουν προειδοποιητικά μηνύματα, συνιστάται ιδιαίτερα να ενεργοποιήσετε τη λειτουργία πλήρους επιβολής σε όλους τους ελεγκτές τομέα χρησιμοποιώντας έλεγχο ταυτότητας βάσει πιστοποιητικού. Μπορείτε να χρησιμοποιήσετε το κλειδί μητρώου KDC για να ενεργοποιήσετε τη λειτουργία πλήρους επιβολής.

Εκτός αν έχει ενημερωθεί σε αυτήν τη λειτουργία νωρίτερα, θα ενημερώσουμε όλες τις συσκευές σε λειτουργία πλήρους επιβολής έως τις 11 Φεβρουαρίου 2025 ή αργότερα. Εάν δεν είναι δυνατή η αντιστοίχιση ενός πιστοποιητικού, ο έλεγχος ταυτότητας δεν θα είναι δυνατός.

Εάν ο έλεγχος ταυτότητας βάσει πιστοποιητικού βασίζεται σε μια αδύναμη αντιστοίχιση την οποία δεν μπορείτε να μετακινήσετε από το περιβάλλον, μπορείτε να τοποθετήσετε τους ελεγκτές τομέα σε κατάσταση απενεργοποίησης χρησιμοποιώντας μια ρύθμιση κλειδιού μητρώου. Η Microsoft δεν το συνιστά και θα καταργήσουμε τη λειτουργία απενεργοποίησης στις 11 Απριλίου 2023.

Αφού εγκαταστήσετε τις ενημερώσεις της 13ης Φεβρουαρίου 2024 ή μεταγενέστερων ενημερώσεων των Windows στον Server 2019 και νεότερες εκδόσεις και έχετε υποστηρίξει προγράμματα-πελάτες με εγκατεστημένη την προαιρετική δυνατότητα RSAT, η αντιστοίχιση πιστοποιητικών σε χρήστες της υπηρεσίας καταλόγου Active Directory & Υπολογιστές θα επιλέξει από προεπιλογή ισχυρή αντιστοίχιση με χρήση της X509IssuerSerialNumber αντί για αδύναμη αντιστοίχιση με χρήση του X509IssuerSubject. Η ρύθμιση εξακολουθεί να μπορεί να αλλάξει όπως θέλετε.

• Χρησιμοποιήστε το αρχείο καταγραφής Kerberos Operational στον σχετικό υπολογιστή για να προσδιορίσετε ποιος ελεγκτής τομέα αποτυγχάνει στην είσοδο. Μεταβείτε στο Πρόγραμμα προβολής συμβάντων > αρχεία καταγραφής εφαρμογών και υπηρεσιών\Microsoft \Windows\Security-Kerberos\Operational.

• Αναζητήστε σχετικά συμβάντα στο Αρχείο καταγραφής συμβάντων συστήματος στον ελεγκτή τομέα για τον οποίο επιχειρεί να πραγματοποιήσει έλεγχο ταυτότητας ο λογαριασμός.

• Εάν το πιστοποιητικό είναι παλαιότερο από το λογαριασμό, επανεκδώσετε το πιστοποιητικό ή προσθέστε μια ασφαλή αντιστοίχιση altSecurityIdentities στο λογαριασμό (ανατρέξτε στο θέμα Αντιστοιχίσεις πιστοποιητικών).

• Εάν το πιστοποιητικό περιέχει επέκταση SID, βεβαιωθείτε ότι το SID συμφωνεί με το λογαριασμό.

• Εάν το πιστοποιητικό χρησιμοποιείται για τον έλεγχο ταυτότητας πολλών διαφορετικών λογαριασμών, κάθε λογαριασμός θα χρειαστεί μια ξεχωριστή αντιστοίχιση altSecurityIdentities .

• Εάν το πιστοποιητικό δεν διαθέτει ασφαλή αντιστοίχιση στο λογαριασμό, προσθέστε έναν ή αφήστε τον τομέα σε κατάσταση λειτουργίας συμβατότητας μέχρι να μπορέσετε να προσθέσετε έναν.

Ένα παράδειγμα αντιστοίχισης πιστοποιητικών TLS είναι η χρήση μιας εφαρμογής web intranet IIS.

• Μετά την εγκατάσταση των προστατευμάτων CVE-2022-26391 και CVE-2022-26923 , αυτά τα σενάρια χρησιμοποιούν το πρωτόκολλο Kerberos Certificate Service For User (S4U) για την αντιστοίχιση πιστοποιητικών και τον έλεγχο ταυτότητας από προεπιλογή.

• Στο πρωτόκολλο Kerberos Certificate S4U, η αίτηση ελέγχου ταυτότητας ρέει από το διακομιστή εφαρμογής στον ελεγκτή τομέα και όχι από τον υπολογιστή-πελάτη στον ελεγκτή τομέα. Επομένως, τα σχετικά συμβάντα θα βρίσκονται στο διακομιστή της εφαρμογής.

Αυτό το κλειδί μητρώου αλλάζει τη λειτουργία επιβολής του KDC σε κατάσταση απενεργοποίησης, κατάστασης λειτουργίας συμβατότητας ή λειτουργίας πλήρους επιβολής.

Όταν μια εφαρμογή διακομιστή απαιτεί έλεγχο ταυτότητας υπολογιστή-πελάτη, το Schannel επιχειρεί αυτόματα να αντιστοιχίζει το πιστοποιητικό που παρέχει το πρόγραμμα-πελάτης TLS σε ένα λογαριασμό χρήστη. Μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας στους χρήστες που εισέρχονται με ένα πιστοποιητικό προγράμματος-πελάτη, δημιουργώντας αντιστοιχίσεις που συσχετίζουν τις πληροφορίες πιστοποιητικού με ένα λογαριασμό χρήστη των Windows. Αφού δημιουργήσετε και ενεργοποιήσετε μια αντιστοίχιση πιστοποιητικών, κάθε φορά που ένας υπολογιστής-πελάτης παρουσιάζει ένα πιστοποιητικό προγράμματος-πελάτη, η εφαρμογή διακομιστή συσχετίζει αυτόματα αυτόν το χρήστη με τον κατάλληλο λογαριασμό χρήστη των Windows.

Το Schannel θα προσπαθήσει να αντιστοιχίσει κάθε μέθοδο αντιστοίχισης πιστοποιητικών που έχετε ενεργοποιήσει μέχρι να ολοκληρωθεί με επιτυχία. Το Schannel προσπαθεί πρώτα να αντιστοιχίσει τις αντιστοιχίσεις Service-for-User-To-Self (S4U2Self). Οι αντιστοιχίσεις πιστοποιητικών Subject/Issuer, Issuer και UPN θεωρούνται πλέον αδύναμες και έχουν απενεργοποιηθεί από προεπιλογή. Το άθροισμα των επιλεγμένων επιλογών στη μάσκα bit καθορίζει τη λίστα των μεθόδων αντιστοίχισης πιστοποιητικών που είναι διαθέσιμες.

Το προεπιλεγμένο κλειδί μητρώου SChannel ήταν 0x1F και τώρα 0x18. Εάν αντιμετωπίζετε αποτυχίες ελέγχου ταυτότητας με εφαρμογές διακομιστή που βασίζονται σε Schannel, σας προτείνουμε να εκτελέσετε έναν έλεγχο. Προσθέστε ή τροποποιήστε την τιμή κλειδιού μητρώου CertificateMappingMethods στον ελεγκτή τομέα και ρυθμίστε την σε 0x1F και δείτε εάν επιλύθηκε το πρόβλημα. Ανατρέξτε στα αρχεία καταγραφής συμβάντων συστήματος στον ελεγκτή τομέα για τυχόν σφάλματα που αναφέρονται σε αυτό το άρθρο για περισσότερες πληροφορίες. Λάβετε υπόψη ότι η επαναφορά της τιμής του κλειδιού μητρώου SChannel στην προηγούμενη προεπιλογή (0x1F) θα επανέλθει στη χρήση αδύναμων μεθόδων αντιστοίχισης πιστοποιητικών.

Για πρόσθετους πόρους και υποστήριξη, ανατρέξτε στην ενότητα "Πρόσθετοι πόροι".

Αφού εγκαταστήσετε ενημερώσεις που διευθύνσεων CVE-2022-26931 και CVE-2022-26923, ο έλεγχος ταυτότητας ενδέχεται να αποτύχει σε περιπτώσεις όπου τα πιστοποιητικά χρήστη είναι παλαιότερα από την ώρα δημιουργίας των χρηστών. Αυτό το κλειδί μητρώου επιτρέπει τον επιτυχημένο έλεγχο ταυτότητας όταν χρησιμοποιείτε αδύναμες αντιστοιχίσεις πιστοποιητικών στο περιβάλλον σας και ο χρόνος του πιστοποιητικού είναι πριν από το χρόνο δημιουργίας του χρήστη μέσα σε ένα καθορισμένο εύρος. Αυτό το κλειδί μητρώου δεν επηρεάζει τους χρήστες ή τους υπολογιστές με ισχυρές αντιστοιχίσεις πιστοποιητικών, καθώς ο χρόνος του πιστοποιητικού και ο χρόνος δημιουργίας του χρήστη δεν ελέγχονται με ισχυρές αντιστοιχίσεις πιστοποιητικών. Αυτό το κλειδί μητρώου δεν έχει καμία επίδραση όταν η τιμή StrongCertificateBindingEnforcement έχει οριστεί σε 2.

Η χρήση αυτού του κλειδιού μητρώου είναι μια προσωρινή λύση για περιβάλλοντα που το απαιτούν και πρέπει να γίνεται με προσοχή. Η χρήση αυτού του κλειδιού μητρώου σημαίνει τα εξής για το περιβάλλον σας:

• Αυτό το κλειδί μητρώου λειτουργεί μόνο σε κατάσταση λειτουργίας συμβατότητας ξεκινώντας από τις ενημερώσεις που κυκλοφόρησαν στις 10 Μαΐου 2022. Ο έλεγχος ταυτότητας θα επιτρέπεται εντός της μετατόπισης αντιστάθμισης αντιστάθμισης, αλλά θα καταγράφεται μια προειδοποίηση αρχείου καταγραφής συμβάντων για την αδύναμη βιβλιοδεσία.

• Η ενεργοποίηση αυτού του κλειδιού μητρώου επιτρέπει τον έλεγχο ταυτότητας του χρήστη όταν ο χρόνος του πιστοποιητικού είναι πριν από το χρόνο δημιουργίας του χρήστη μέσα σε ένα καθορισμένο εύρος ως αδύναμη αντιστοίχιση. Οι αδύναμες αντιστοιχίσεις δεν θα υποστηρίζονται μετά την εγκατάσταση ενημερώσεων για τα Windows που κυκλοφόρησαν στις 11 Φεβρουαρίου 2025, οι οποίες θα ενεργοποιήσουν τη λειτουργία πλήρους επιβολής.

Εκτελέστε την ακόλουθη εντολή certutil για να αποκλείσετε τα πιστοποιητικά του προτύπου χρήστη από τη λήψη της νέας επέκτασης.

1. Πραγματοποιήστε είσοδο σε ένα διακομιστή αρχής πιστοποιητικών ή σε ένα πρόγραμμα-πελάτη Windows 10 που συνδέεται με τομέα με το διαχειριστή της εταιρείας ή τα αντίστοιχα διαπιστευτήρια.

2. Ανοίξτε μια γραμμή εντολών και επιλέξτε Εκτέλεση ως διαχειριστής.

3. Εκτελέστε το certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Η απενεργοποίηση της προσθήκης αυτής της επέκτασης θα καταργήσει την προστασία που παρέχεται από τη νέα επέκταση. Εξετάστε το ενδεχόμενο να το κάνετε αυτό μόνο μετά από ένα από τα εξής:

1. Επιβεβαιώνετε ότι τα αντίστοιχα πιστοποιητικά δεν είναι αποδεκτά για κρυπτογράφηση δημόσιου κλειδιού για αρχικό έλεγχο ταυτότητας (PKINIT) σε ελέγχους ταυτότητας πρωτοκόλλου Kerberos στο KDC

2. Στα αντίστοιχα πιστοποιητικά έχουν ρυθμιστεί άλλες ισχυρές αντιστοιχίσεις πιστοποιητικών

Τα περιβάλλοντα που έχουν αναπτύξεις εκτός της Microsoft CA δεν θα προστατεύονται με τη νέα επέκταση SID μετά την εγκατάσταση της ενημέρωσης των Windows της 10ης Μαΐου 2022. Οι πελάτες που επηρεάζονται θα πρέπει να συνεργαστούν με τους αντίστοιχους προμηθευτές ca για να αντιμετωπίσουν αυτό το θέμα ή θα πρέπει να εξετάσουν το ενδεχόμενο να χρησιμοποιήσουν άλλες ισχυρές αντιστοιχίσεις πιστοποιητικών που περιγράφονται παραπάνω.

Για πρόσθετους πόρους και υποστήριξη, ανατρέξτε στην ενότητα "Πρόσθετοι πόροι".

Όχι, δεν απαιτείται ανανέωση. Η CA θα αποσταλεί σε κατάσταση λειτουργίας συμβατότητας. Εάν θέλετε μια ισχυρή αντιστοίχιση χρησιμοποιώντας την επέκταση ObjectSID, θα χρειαστείτε ένα νέο πιστοποιητικό.