KB5014754- Modifiche all'autenticazione basata su certificato nei controller di dominio Windows

Non è stato possibile trovare mapping di certificati forti e il certificato non disponeva della nuova estensione SID (Security Identifier) convalidata da KDC.

Registro eventi	Sistema
Tipo di evento	Avviso se il KDC è in modalità compatibilità Errore se il KDC è in modalità di imposizione
Origine evento	Kdcsvc
ID evento	39 41 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Testo evento	Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma non mappato a un utente in modo sicuro, ad esempio tramite mapping esplicito, mapping dell'attendibilità chiave o SID. Tali certificati devono essere sostituiti o mappati direttamente all'utente tramite mapping esplicito. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2189925. Utente: <> del nome dell'entità principale Oggetto certificato: <nome del soggetto nella> Certificato Autorità di certificazione: nome di dominio completo (FQDN) <emittente > Numero di serie del certificato: <numero di serie del certificato> Identificazione personale certificato: <identificazione personale del> certificato

Il certificato è stato rilasciato all'utente prima dell'esistenza dell'utente in Active Directory e non è stato trovato alcun mapping sicuro. Questo evento viene registrato solo quando il KDC è in modalità compatibilità.

Registro eventi	Sistema
Tipo di evento	Errore
Origine evento	Kdcsvc
ID evento	40 48 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2
Testo evento	Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma non mappato a un utente in modo sicuro, ad esempio tramite mapping esplicito, mapping dell'attendibilità chiave o SID. Il certificato precedeva anche l'utente a cui è stato mappato, quindi è stato rifiutato. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2189925. Utente: <> del nome dell'entità principale Oggetto certificato: <nome del soggetto nella> Certificato Autorità di certificazione:> FQDN <Autorità di certificazione Numero di serie del certificato: <numero di serie del certificato> Identificazione personale certificato: <identificazione personale del> certificato Ora rilascio certificati: <FILETIME del> del certificato Ora creazione account: <FILETIME dell'oggetto entità in>

Il SID contenuto nella nuova estensione del certificato utente non corrisponde al SID degli utenti, il che implica che il certificato è stato rilasciato a un altro utente.

Registro eventi	Sistema
Tipo di evento	Errore
Origine evento	Kdcsvc
ID evento	41 49 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Testo evento	Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma contenente un SID diverso dall'utente a cui è stato mappato. Di conseguenza, la richiesta che coinvolge il certificato non è riuscita. Per altre informazioni, vedi https://go.microsoft.cm/fwlink/?linkid=2189925. Utente: <> del nome dell'entità principale SID utente: <SID dell'entità di autenticazione> Oggetto certificato: <nome del soggetto nella> Certificato Autorità di certificazione:> FQDN <Autorità di certificazione Numero di serie del certificato: <numero di serie del certificato> Identificazione personale certificato: <identificazione personale del> certificato SID certificato: <SID trovato nella nuova> di estensione del certificato

Nota Alcuni campi, ad esempio Emittente, Oggetto e Numero seriale, vengono riportati in formato "inoltrato". È necessario invertire questo formato quando si aggiunge la stringa di mapping all'attributo altSecurityIdentities . Ad esempio, per aggiungere il mapping X509IssuerSerialNumber a un utente, cercare i campi "Emittente" e "Numero seriale" del certificato da associare all'utente. Vedere l'output di esempio seguente.

• Emittente: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC0000000012

Quindi, aggiornare l'attributo altSecurityIdentities dell'utente in Active Directory con la stringa seguente:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Per aggiornare questo attributo con Powershell, è possibile usare il comando seguente. Tenere presente che, per impostazione predefinita, solo gli amministratori di dominio sono autorizzati ad aggiornare questo attributo.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Si noti che quando si inverte SerialNumber, è necessario mantenere l'ordine dei byte. Questo significa che l'inversione del numero seriale "A1B2C3" dovrebbe generare la stringa "C3B2A1" e non "3C2B1A". Per altre informazioni, vedere HowTo: Associare un utente a un certificato tramite tutti i metodi disponibili nell'attributo altSecurityIdentities.

Dopo aver installato gli aggiornamenti di Windows del 10 maggio 2022, i dispositivi saranno in modalità compatibilità. Se è possibile eseguire il mapping di un certificato a un utente, l'autenticazione verrà eseguita come previsto. Se un certificato può essere mappato solo in modo debole a un utente, l'autenticazione verrà eseguita come previsto. Verrà tuttavia registrato un messaggio di avviso, a meno che il certificato non sia precedente all'utente. Se il certificato è precedente all'utente e la chiave del Registro di sistema di backdating del certificato non è presente o l'intervallo si trova al di fuori del compenso di backdating, l'autenticazione avrà esito negativo e verrà registrato un messaggio di errore.  Se la chiave del Registro di sistema Certificate Backdating è configurata, registrerà un messaggio di avviso nel registro eventi se le date rientrano nel compenso di backdating.

Dopo aver installato gli aggiornamenti di Windows del 10 maggio 2022, watch per qualsiasi messaggio di avviso che potrebbe essere visualizzato dopo un mese o più. Se non sono presenti messaggi di avviso, è consigliabile abilitare la modalità di applicazione completa in tutti i controller di dominio che usano l'autenticazione basata su certificato. È possibile usare la chiave del Registro di sistema KDC per abilitare la modalità di applicazione completa.

A meno che non sia stato aggiornato in precedenza a questa modalità, tutti i dispositivi verranno aggiornati alla modalità di applicazione completa entro l'11 febbraio 2025 o versione successiva. Se non è possibile eseguire il mapping di un certificato, l'autenticazione verrà negata.

Se l'autenticazione basata su certificato si basa su un mapping debole che non è possibile spostare dall'ambiente, è possibile impostare i controller di dominio in modalità disabilitata usando un'impostazione della chiave del Registro di sistema. Microsoft non lo consiglia e rimuoverà la modalità di disabilitazione l'11 aprile 2023.

Dopo aver installato gli aggiornamenti di Windows del 13 febbraio 2024 o versione successiva in Server 2019 e versioni successive e aver supportato i client con la funzionalità facoltativa RSAT installata, il mapping del certificato in Utenti di Active Directory & Computer selezionerà per impostazione predefinita il mapping sicuro usando X509IssuerSerialNumber invece di un mapping debole usando X509IssuerSubject. L'impostazione può comunque essere modificata come desiderato.

• Utilizzare il log operativo Kerberos nel computer pertinente per determinare quale controller di dominio non esegue l'accesso. Passare a Visualizzatore eventi log di applicazioni e servizi di>\Microsoft \Windows\Security-Kerberos\Operational.

• Cercare gli eventi rilevanti nel registro eventi di sistema nel controller di dominio in cui l'account sta tentando di eseguire l'autenticazione.

• Se il certificato è precedente all'account, ripubblicare il certificato o aggiungere un mapping di altSecurityIdentities sicuro all'account (vedere Mapping dei certificati).

• Se il certificato contiene un'estensione SID, verificare che il SID corrisponda all'account.

• Se il certificato viene usato per autenticare più account diversi, per ogni account sarà necessario un mapping altSecurityIdentities distinto.

• Se il certificato non ha un mapping sicuro all'account, aggiungerne uno o lasciarlo in modalità compatibilità finché non ne viene aggiunto uno.

Un esempio di mapping del certificato TLS è l'uso di un'applicazione Web Intranet iis.

• Dopo l'installazione delle protezioni CVE-2022-26391 e CVE-2022-26923 , in questi scenari viene utilizzato il protocollo S4U (Certificate Service for User) Kerberos per la mappatura e l'autenticazione dei certificati per impostazione predefinita.

• Nel protocollo S4U certificato Kerberos la richiesta di autenticazione passa dal server applicazioni al controller di dominio, non dal client al controller di dominio. Pertanto, gli eventi rilevanti saranno sul server applicazioni.

Questa chiave del Registro di sistema modifica la modalità di applicazione del KDC in modalità disabilitata, modalità compatibilità o modalità di applicazione completa.

Sottochiave del Registro di sistema	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valore	StrongCertificateBindingEnforcement
Tipo di dati	REG_DWORD
Dati	1 – Controlla se è presente un mapping del certificato sicuro. In caso affermativo, è consentita l'autenticazione. In caso contrario, il KDC verificherà se il certificato ha la nuova estensione SID e lo convaliderà. Se questa estensione non è presente, l'autenticazione è consentita se l'account utente precede il certificato. 2 – Controlla se è presente una mappatura del certificato forte. In caso affermativo, è consentita l'autenticazione. In caso contrario, il KDC verificherà se il certificato ha la nuova estensione SID e lo convaliderà. Se questa estensione non è presente, l'autenticazione viene negata. 0 – Disabilita il controllo della mappatura dei certificati forti. Non consigliato perché disabiliterà tutti i miglioramenti della sicurezza. Se si imposta questo valore su 0, è necessario impostare anche CertificateMappingMethods su 0x1F come descritto nella sezione chiave del Registro di sistema Schannel seguente per l'esito positivo dell'autenticazione basata su certificato del computer.
Riavvio Richiesto?	No

Quando un'applicazione server richiede l'autenticazione client, Schannel tenta automaticamente di eseguire il mapping del certificato fornito dal client TLS a un account utente. È possibile autenticare gli utenti che accedono con un certificato client creando mapping che correlano le informazioni sul certificato a un account utente di Windows. Dopo aver creato e abilitato il mapping di un certificato, ogni volta che un client presenta un certificato client, l'applicazione server associa automaticamente l'utente all'account utente di Windows appropriato.

Schannel tenterà di eseguire il mapping di ogni metodo di mapping del certificato abilitato fino al completamento. Schannel tenta prima di tutto di eseguire il mapping Service-For-User-To-Self (S4U2Self). I mapping di certificato Oggetto/Emittente, Emittente e UPN sono ora considerati deboli e sono stati disabilitati per impostazione predefinita. La somma mascherata di bit delle opzioni selezionate determina l'elenco dei metodi di mapping dei certificati disponibili.

La chiave del Registro di sistema SChannel era 0x1F ed è ora 0x18. Se si verificano errori di autenticazione con le applicazioni server basate su Schannel, è consigliabile eseguire un test. Aggiungere o modificare il valore della chiave del Registro di sistema CertificateMappingMethods nel controller di dominio e impostarlo su 0x1F e verificare se il problema viene risolto. Per altre informazioni, cercare eventuali errori elencati in questo articolo nei registri eventi di sistema nel controller di dominio. Tieni presente che se si ripristina il valore della chiave del Registro di sistema SChannel al valore predefinito precedente (0x1F) verrà ripristinato usando metodi di mapping dei certificati deboli.

Sottochiave del Registro di sistema	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Valore	CertificateMappingMethods
Tipo di dati	DWORD
Dati	0x0001 - Mapping del certificato soggetto/emittente (debole - Disabilitato per impostazione predefinita) 0x0002 - Mapping del certificato dell'autorità emittente (debole - Disabilitato per impostazione predefinita) 0x0004 - Mapping del certificato UPN (debole - Disabilitato per impostazione predefinita) 0x0008 - S4U2Self certificate mapping (strong) 0x0010 - S4U2Self mapping esplicito del certificato (strong)
Riavvio Richiesto?	No

Per altre risorse e supporto, vedere la sezione "Risorse aggiuntive".

Dopo aver installato gli aggiornamenti relativi a CVE-2022-26931 e CVE-2022-26923, l'autenticazione potrebbe non riuscire nei casi in cui i certificati utente sono più vecchi dei tempi di creazione degli utenti. Questa chiave del Registro di sistema consente di eseguire correttamente l'autenticazione quando si usano mapping di certificati deboli nell'ambiente e l'ora del certificato precede l'ora di creazione dell'utente all'interno di un intervallo impostato. Questa chiave del Registro di sistema non influisce su utenti o computer con mapping dei certificati forti, in quanto l'ora del certificato e l'ora di creazione degli utenti non vengono controllate con i mapping dei certificati forti. Questa chiave del Registro di sistema non ha alcun effetto quando StrongCertificateBindingEnforcement è impostato su 2.

L'uso di questa chiave del Registro di sistema è una soluzione temporanea per gli ambienti che lo richiedono e deve essere eseguita con cautela. L'uso di questa chiave del Registro di sistema significa quanto segue per l'ambiente in uso:

• Questa chiave del Registro di sistema funziona solo in modalità compatibilità a partire da aggiornamenti rilasciati il 10 maggio 2022. L'autenticazione sarà consentita all'interno dell'offset di compensazione di backdating, ma verrà registrato un avviso del registro eventi per l'associazione debole.

• L'abilitazione di questa chiave del Registro di sistema consente l'autenticazione dell'utente quando l'ora del certificato è prima dell'ora di creazione dell'utente all'interno di un intervallo impostato come mapping debole. I mapping deboli non saranno supportati dopo l'installazione degli aggiornamenti per Windows rilasciati l'11 febbraio 2025, che abilitano la modalità di applicazione completa.

Sottochiave del Registro di sistema	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valore	CertificateBackdatingCompensation
Tipo di dati	REG_DWORD
Dati	Valori per la soluzione alternativa in anni approssimativi: 50 anni: 0x5E0C89C0 25 anni: 0x2EFE0780 10 anni: 0x12CC0300 5 anni: 0x9660180 3 anni: 0x5A39A80 1 anno: 0x1E13380 Nota Se si conosce la durata dei certificati nell'ambiente, impostare questa chiave del Registro di sistema su una durata leggermente superiore a quella del certificato.  Se non si conoscono le durate dei certificati per l'ambiente, impostare questa chiave del Registro di sistema su 50 anni. Il valore predefinito è 10 minuti quando questa chiave non è presente, che corrisponde a Servizi certificati Active Directory. Il valore massimo è 50 anni (0x5E0C89C0). Questa chiave imposta la differenza di ora, in secondi, che il Centro di distribuzione delle chiavi ignorerà tra l'ora di rilascio di un certificato di autenticazione e l'ora di creazione dell'account per gli account utente/computer. Importante Impostare questa chiave del Registro di sistema solo se l'ambiente lo richiede. L'uso di questa chiave del Registro di sistema disabilita un controllo di sicurezza.
Riavvio Richiesto?	No

Eseguire il comando certutil seguente per escludere i certificati del modello utente dal recupero della nuova estensione.

1. Accedere a un server autorità di certificazione o a un client Windows 10 aggiunto a un dominio con l'amministratore aziendale o con credenziali equivalenti.

2. Aprire un prompt dei comandi e scegliere Esegui come amministratore.

3. Esegui certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

La disabilitazione dell'aggiunta di questa estensione rimuoverà la protezione fornita dalla nuova estensione. È consigliabile eseguire questa operazione solo dopo una delle operazioni seguenti:

1. Si conferma che i certificati corrispondenti non sono accettabili per la crittografia a chiave pubblica per l'autenticazione iniziale (PKINIT) nelle autenticazioni del protocollo Kerberos in KDC

2. I certificati corrispondenti hanno altri mapping dei certificati forti configurati

Gli ambienti che hanno distribuzioni di CA non Microsoft non verranno protetti con la nuova estensione SID dopo l'installazione dell'aggiornamento di Windows del 10 maggio 2022. I clienti interessati devono collaborare con i fornitori di CA corrispondenti per risolvere questo problema o valutare l'utilizzo di altre mappe dei certificati forti descritte in precedenza.

Per altre risorse e supporto, vedere la sezione "Risorse aggiuntive".

No, non è richiesto il rinnovo. L'autorità di certificazione verrà spedita in modalità compatibilità. Se si vuole un mapping sicuro usando l'estensione ObjectSID, è necessario un nuovo certificato.