KB5014754 – sertifikatu pagrįsti autentifikavimo pakeitimai "Windows" domeno valdikliuose

Nepavyko rasti sudėtingų sertifikatų susiejimų, o sertifikate nebuvo naujo saugos identifikatoriaus (SID) plėtinio, kurį KDC galėtų patvirtinti.

Įvykių žurnalas	Sistema
Įvykio tipas	Įspėjimas, jei KDC veikia suderinamumo režimu Klaida, jei KDC veikia vykdymo režimu
Įvykio šaltinis	Kdcsvc
Įvykio ID	39 41 ("Windows Server 2008 R2" SP1 ir "Windows Server 2008" SP2)
Įvykio tekstas	Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet negali būti stipriai susietas su vartotoju (pvz., naudojant tiesioginį susiejimą, rakto patikimumo susiejimą arba SID). Tokius sertifikatus reikia pakeisti arba tiesiogiai susieti su vartotoju naudojant tiesioginį susiejimą. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2189925. Vartotojas: <sistemos pavadinimas> Sertifikato tema: sertifikato> <temos pavadinimas Sertifikato išdavėjas: <išdavėjas visiškai apibrėžtas domeno vardas (FQDN)> Sertifikato serijos numeris: <sertifikato serijos numeris> Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas>

Sertifikatas buvo išduotas vartotojui prieš vartotojui egzistuoti "Active Directory", todėl nepavyko rasti sudėtingo susiejimo. Šis įvykis užregistruojamas tik tada, kai KDC veikia suderinamumo režimu.

Įvykių žurnalas	Sistema
Įvykio tipas	Klaida
Įvykio šaltinis	Kdcsvc
Įvykio ID	40 48 (Windows Server 2008 R2 SP1 ir Windows Server 2008 SP2
Įvykio tekstas	Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet negali būti stipriai susietas su vartotoju (pvz., naudojant tiesioginį susiejimą, rakto patikimumo susiejimą arba SID). Sertifikatas taip pat buvo susietas su vartotoju, todėl jis buvo atmestas. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2189925. Vartotojas: <sistemos pavadinimas> Sertifikato tema: sertifikato> <temos pavadinimas Sertifikato išdavėjas: <išdavėjo FQDN> Sertifikato serijos numeris: <sertifikato serijos numeris> Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas> Sertifikato išdavimo laikas: sertifikato> <FILETIME" Paskyros kūrimo laikas: <PAGRINDINIO OBJEKTO AD> FILETIME

SID, esantis naujame vartotojų sertifikato plėtinyje, neatitinka vartotojų SID, o tai reiškia, kad sertifikatas buvo išduotas kitam vartotojui.

Įvykių žurnalas	Sistema
Įvykio tipas	Klaida
Įvykio šaltinis	Kdcsvc
Įvykio ID	41 49 ("Windows Server 2008 R2" SP1 ir "Windows Server 2008" SP2)
Įvykio tekstas	Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet turi kitą SID nei vartotojas, su kuriuo jis susietas. Todėl su sertifikatu susijusi užklausa nepavyko. Norėdami sužinoti daugiau, žr. https://go.microsoft.cm/fwlink/?linkid=2189925. Vartotojas: <sistemos pavadinimas> Vartotojo SID: autentifikavimo pagrindinio> <SID Sertifikato tema: sertifikato> <temos pavadinimas Sertifikato išdavėjas: <išdavėjo FQDN> Sertifikato serijos numeris: <sertifikato serijos numeris> Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas> Sertifikato SID: <SID rastas naujame sertifikato plėtinio>

Pastaba Tam tikri laukai, pvz., leidėjas, tema ir serijos numeris, pateikiami "pirmyn" formatu. Turite atšaukti šį formatą, kai į atributą altSecurityIdentities įtraukiate susiejimo eilutę. Pvz., norėdami įtraukti X509IssuerSerialNumber susiejimą su vartotoju, ieškokite sertifikato, kurį norite susieti su vartotoju, laukuose "Išdavėjas" ir "Serijos numeris". Žr. toliau pateiktą išvesties pavyzdį.

• Išdavėjas: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Serijos numeris: 2B0000000011AC000000012

Tada atnaujinkite vartotojo atributą altSecurityIdentities "Active Directory" naudodami šią eilutę:

• "X509:<aš>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Norėdami atnaujinti šį atributą naudodami "PowerShell", galite naudoti toliau pateiktą komandą. Atminkite, kad pagal numatytuosius nustatymus tik domeno administratoriai turi teisę atnaujinti šį atributą.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<aš>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Atkreipkite dėmesį, kad atšaukę SerialNumber turite palikti baitų tvarką. Tai reiškia, kad pakeitus SerialNumber "A1B2C3" turėtų būti rodoma eilutė "C3B2A1", o ne "3C2B1A". Daugiau informacijos žr. HowTo: susieti vartotoją su sertifikatu naudojant visus metodus, pasiekiamus atribute altSecurityIdentities.

Įdiegus 2022 m. gegužės 10 d. "Windows" naujinimus, įrenginiai veiks suderinamumo režimu. Jei sertifikatą galima labai susieti su vartotoju, autentifikavimas įvyks taip, kaip tikėtasi. Jei sertifikatą galima susieti tik su vartotoju, autentifikavimas bus toks, kaip tikėtasi. Tačiau bus užregistruotas įspėjimo pranešimas, nebent sertifikatas yra senesnis nei vartotojas. Jei sertifikatas yra senesnis nei vartotojas ir sertifikato atsarginės kopijos registro rakto nėra arba diapazonas yra už atsarginės kopijos kompensacijos ribų, autentifikavimas nepavyks ir bus užregistruotas klaidos pranešimas.  Jei sertifikato atsarginės kopijos registro raktas yra sukonfigūruotas, jis užregistruos įspėjimo pranešimą įvykių žurnale, jei datos patenka į atsarginę kompensaciją.

Įdiegę 2022 m. gegužės 10 d. "Windows" naujinimus, laukite įspėjimo pranešimų, kurie gali pasirodyti po mėnesio ar daugiau. Jei nėra įspėjimo pranešimų, primygtinai rekomenduojame įjungti visiško vykdymo režimą visuose domeno valdikliuose naudojant sertifikatu pagrįstą autentifikavimą. Norėdami įjungti visiško vykdymo režimą, galite naudoti KDC registro raktą .

Jei neatnaujinsime šiuo režimu anksčiau, atnaujinsime visus įrenginius į visiško vykdymo režimą iki 2025 m. vasario 11 d. arba vėliau. Jei sertifikato negalima labai susieti, autentifikavimas bus atmestas.

Jei sertifikatu pagrįstas autentifikavimas priklauso nuo silpno susiejimo, kurio negalite perkelti iš aplinkos, galite įdėti domeno valdiklius į išjungimo režimą naudodami registro rakto parametrą. "Microsoft" to nerekomenduoja , o išjungimo režimą pašalinsime 2023 m. balandžio 11 d.

Įdiegus 2024 m. vasario 13 d. arba naujesnius "Windows" naujinimus "Server 2019" ir naujesnėse versijose ir palaikomus klientus, kuriuose įdiegta pasirinktinė RSAT funkcija, "Active Directory" vartotojų & kompiuteriuose sertifikatų susiejimas pagal numatytuosius parametrus bus parenkamas kaip stiprus susiejimas naudojant X509IssuerSerialNumber, o ne lengvas susiejimas naudojant X509IssuerSubject. Parametrą vis tiek galima keisti, kaip pageidaujate.

• Norėdami nustatyti, kuris domeno valdiklis nepavyksta prisijungti, atitinkamame kompiuteryje naudokite Kerberos operacijų žurnalą. Eikite į įvykių peržiūros programą > Programų ir paslaugų žurnalai\Microsoft \Windows\Security-Kerberos\Operational.

• Raskite atitinkamus įvykius sistemos įvykių žurnale domeno valdiklyje, su kuriuo paskyra bando autentifikuoti.

• Jei sertifikatas senesnis nei paskyra, iš naujo įveskite sertifikatą arba įtraukite saugų altSecurityIdentities susiejimą su paskyra (žr. Sertifikatų susiejimai).

• Jei sertifikate yra SID plėtinys, patikrinkite, ar SID atitinka paskyrą.

• Jei sertifikatas naudojamas autentifikuoti kelias skirtingas paskyras, kiekvienai paskyrai reikės atskiro altSecurityIdentities susiejimo.

• Jei sertifikatas neturi saugaus susiejimo su paskyra, įtraukite vieną arba palikite domeną suderinamumo režimu, kol bus galima jį įtraukti.

TLS sertifikato susiejimo pavyzdys naudoja IIS intraneto žiniatinklio programą.

• Įdiegus CVE-2022-26391 ir CVE-2022-26923 apsaugą, šie scenarijai naudoja Kerberos sertifikatų tarnybos vartotojo (S4U) protokolą sertifikatų susiejimui ir autentifikavimui pagal numatytuosius parametrus.

• "Kerberos" sertifikato S4U protokole autentifikavimo užklausa teka iš taikomosios programos serverio į domeno valdiklį, o ne iš kliento į domeno valdiklį. Todėl susiję įvykiai bus programų serveryje.

Šis registro raktas pakeičia KDC vykdymo režimą į išjungimo režimą, suderinamumo režimą arba visiško vykdymo režimą.

Registro dalinis raktas	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Reikšmė	StrongCertificateBindingEnforcement
Duomenų tipas	REG_DWORD
Duomenys	1 – tikrina, ar sertifikatų susiejimas yra sudėtingas. Jei taip, autentifikavimas leidžiamas. Kitu atveju KDC patikrins, ar sertifikatas turi naują SID plėtinį ir jį patikrins. Jei šio plėtinio nėra, autentifikavimas leidžiamas, jei vartotojo paskyra iš anksto įrašo sertifikatą. 2 – tikrina, ar yra griežtas sertifikatų susiejimas. Jei taip, autentifikavimas leidžiamas. Kitu atveju KDC patikrins, ar sertifikatas turi naują SID plėtinį ir jį patikrins. Jei šio plėtinio nėra, autentifikavimas atmetamas. 0 – išjungia sudėtingo sertifikato susiejimo patikrą. Nerekomenduojama, nes tai išjungs visus saugos patobulinimus. Jei nustatysite 0, taip pat turite nustatyti CertificateMappingMethods 0x1F kaip aprašyta toliau skyriuje "Schannel" registro raktas, kad kompiuterio sertifikatu pagrįstas autentifikavimas būtų sėkmingas..
Reikia paleisti iš naujo?	Ne

Kai serverio programai reikia kliento autentifikavimo, "Schannel" automatiškai bando susieti sertifikatą, kurį TLS klientas pateikia vartotojo abonementui. Galite autentifikuoti vartotojus, kurie prisijungia naudodami kliento sertifikatą, kurdami susiejimus, kurie sieja sertifikato informaciją su "Windows" vartotojo paskyra. Sukūrus ir įgalinus sertifikatų susiejimą, kiekvieną kartą, kai klientas pateikia kliento sertifikatą, jūsų serverio programa automatiškai susieja tą vartotoją su atitinkama "Windows" vartotojo paskyra.

"Schannel" bandys susieti kiekvieną įgalintą sertifikato susiejimo metodą, kol bus sėkmingas. "Schannel" pirmiausia bando susieti "Service-For-User-To-Self" (S4U2Self) susiejimus. Temos / išdavėjo, išdavėjo ir UPN sertifikatų susiejimai dabar laikomi silpnais ir buvo išjungti pagal numatytuosius parametrus. Pasirinktų parinkčių šablonas nurodo galimų sertifikato susiejimo metodų sąrašą.

Numatytasis "SChannel" registro raktas buvo 0x1F ir dabar yra 0x18. Jei susiduriate su autentifikavimo trintukais naudodami "Schannel" pagrįstas serverio programas, rekomenduojame atlikti testą. Pridėkite arba modifikuokite CertificateMappingMethods registro rakto reikšmę domeno valdiklyje ir nustatykite ją kaip 0x1F ir patikrinkite, ar problema išspręsta. Jei reikia daugiau informacijos, peržiūrėkite sistemos įvykių žurnalus domeno valdiklyje, ar nėra šiame straipsnyje išvardytų klaidų. Atminkite, kad pakeitus "SChannel" registro rakto reikšmę į ankstesnę numatytąją (0x1F), bus grąžinta naudoti silpnus sertifikatų susiejimo metodus.

Registro dalinis raktas	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Reikšmė	CertificateMappingMethods
Duomenų tipas	DWORD
Duomenys	0x0001 – temos / išdavėjo sertifikato susiejimas (silpnas – išjungta pagal numatytuosius parametrus) 0x0002 – išdavėjo sertifikato susiejimas (silpnas – išjungtas pagal numatytuosius parametrus) 0x0004 – UPN sertifikatų susiejimas (silpnas – išjungtas pagal numatytuosius parametrus) 0x0008 – S4U2Sefono susiejimas (stiprus) 0x0010 – S4U2Išsamus sertifikatų susiejimas (sudėtingas)
Reikia paleisti iš naujo?	Ne

Jei reikia papildomų išteklių ir palaikymo, žr. skyrių "Papildomi ištekliai".

Įdiegus naujinimus, kurių adresas CVE-2022-26931 ir CVE-2022-26923, autentifikavimas gali nepavykti tais atvejais, kai vartotojo sertifikatai yra senesni nei vartotojų sukūrimo laikas. Šis registro raktas leidžia sėkmingai autentifikuoti, kai savo aplinkoje naudojate silpnus sertifikatų susiejimus , o sertifikato laikas yra prieš vartotojo kūrimo laiką nustatytame diapazone. Šis registro raktas neturi įtakos vartotojams ar kompiuteriams, turintiems sudėtingus sertifikatų susiejimus, nes sertifikato laikas ir vartotojo sukūrimo laikas nėra tikrinami naudojant sudėtingus sertifikatų susiejimus. Šis registro raktas neturi įtakos, kai StrongCertificateBindingEnforcement nustatyta į 2.

Šio registro rakto naudojimas yra laikinas aplinkose, kurioms jo reikia, sprendimas, todėl jį reikia atlikti atsargiai. Naudojant šį registro raktą jūsų aplinkai:

• Šis registro raktas veikia tik suderinamumo režimu , pradedant nuo naujinimų, išleistų 2022 m. gegužės 10 d. Autentifikavimas bus leidžiamas kaip atsarginės kompensacijos poslinkis, tačiau bus užregistruotas silpno susiejimo įvykių žurnalo įspėjimas.

• Įgalinus šį registro raktą, leidžiama autentifikuoti vartotoją, kai sertifikato laikas yra prieš vartotojo sukūrimo laiką nustatytame diapazone kaip silpnas susiejimas. Silpni susiejimai bus nepalaikomi įdiegus "Windows" naujinimus, išleistus 2025 m. vasario 11 d., kuris įgalins visiško vykdymo režimą.

Registro dalinis raktas	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Reikšmė	CertificateBackdatingCompensation
Duomenų tipas	REG_DWORD
Duomenys	Sprendimo reikšmės apytikslius metus: 50 metų: 0x5E0C89C0 25 metai: 0x2EFE0780 10 metų: 0x12CC0300 5 metai: 0x9660180 3 metai: 0x5A39A80 1 metai: 0x1E13380 Pastaba Jei žinote savo aplinkos sertifikatų galiojimo laiką, nustatykite šio registro rakto ilgį, nei sertifikato galiojimo laikas.  Jei nežinote savo aplinkos sertifikato gyvavimo laikotarpio, nustatykite šį registro raktą kaip 50 metų. Pagal numatytuosius parametrus šio rakto nėra , kuris atitinka "Active Directory" sertifikatų tarnybą (ADCS), numatytoji reikšmė yra 10 minučių. Didžiausia reikšmė yra 50 metų (0x5E0C89C0). Šis raktas nustato laiko skirtumą sekundėmis, kad rakto paskirstymo centras (KDC) nepaisytų autentifikavimo sertifikato problemos laiko ir vartotojo / kompiuterio paskyrų kūrimo laiko. Svarbu Nustatykite šį registro raktą tik jei to reikalauja jūsų aplinka. Naudojant šį registro raktą, išjungiama saugos patikra.
Reikia paleisti iš naujo?	Ne

Galite paleisti šią komandą certutil neįtraukti vartotojo šablono sertifikatų gauti naują plėtinį.

1. Prisijunkite prie sertifikavimo institucijos serverio arba prie domeno prijungtame Windows 10 kliente su įmonės administratoriumi arba lygiaverčiais kredencialais.

2. Atidarykite komandinę eilutę ir pasirinkite Paleisti administratoriaus teisėmis.

3. Paleiskite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Išjungus šio plėtinio įtraukimą, bus pašalinta naujo plėtinio teikiama apsauga. Apsvarstykite galimybę tai atlikti tik po vienos iš šių veiksmų:

1. Patvirtinate, kad atitinkami sertifikatai nėra priimtini viešojo rakto kriptografijos pradinis autentifikavimas (PKINIT) Kerberos protokolo autentifikavimo KDC

2. Atitinkami sertifikatai turi kitus griežtus sertifikatų susiejimus, sukonfigūruotus

Aplinkos, kuriose yra ne "Microsoft" CA diegimų, nebus apsaugotos naudojant naują SID plėtinį įdiegus 2022 m. gegužės 10 d. "Windows" naujinimą. Paveikti klientai turėtų dirbti su atitinkamais CA tiekėjais, kad išspręstų šią problemą, arba turėtų apsvarstyti galimybę naudoti kitus sudėtingus sertifikatų susiejimus, aprašytus anksčiau.

Jei reikia papildomų išteklių ir palaikymo, žr. skyrių "Papildomi ištekliai".

Ne, atnaujinti nereikia. CA bus rodoma suderinamumo režimu. Jei norite sudėtingo susiejimo naudodami ObjectSID plėtinį, jums reikės naujo sertifikato.