KB5014754 – sertifikatbaserte godkjenningsendringer på Windows-domenekontrollere

Finner ingen sterke sertifikattilordninger, og sertifikatet hadde ikke den nye sikkerhetsidentifikatorutvidelsen (SID) som KDC kunne validere.

Hendelseslogg	System
Hendelsestype	Advarsel hvis KDC er i kompatibilitetsmodus Feil hvis KDC er i håndhevelsesmodus
Hendelseskilde	Kdcsvc
Hendelses-ID	39 41 (for Windows Server 2008 R2 SP1 og Windows Server 2008 SP2)
Hendelsestekst	KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som ikke kunne tilordnes til en bruker på en sterk måte (for eksempel via eksplisitt tilordning, tilordning av nøkkelklarering eller sid). Slike sertifikater bør enten erstattes eller tilordnes direkte til brukeren gjennom eksplisitt tilordning. Se https://go.microsoft.com/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: <utsteder fullstendig domenenavn (FQDN)-> Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat>

Sertifikatet ble utstedt til brukeren før brukeren fantes i Active Directory, og finner ingen sterk tilordning. Denne hendelsen logges bare når KDC er i kompatibilitetsmodus.

Hendelseslogg	System
Hendelsestype	Feil
Hendelseskilde	Kdcsvc
Hendelses-ID	40 48 (For Windows Server 2008 R2 SP1 og Windows Server 2008 SP2
Hendelsestekst	KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som ikke kunne tilordnes til en bruker på en sterk måte (for eksempel via eksplisitt tilordning, tilordning av nøkkelklarering eller sid). Sertifikatet forutså også brukeren det tilordnet til, slik at det ble avvist. Se https://go.microsoft.com/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: FQDN-> for <utsteder Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat> Sertifikat utstedelsestidspunkt: <FILETIME for sertifikat> Opprettelsestidspunkt for konto: <FILETIME for hovedobjekt i AD->

SID-en i den nye utvidelsen av brukersertifikatet samsvarer ikke med bruker-SID-en, noe som angir at sertifikatet ble utstedt til en annen bruker.

Hendelseslogg	System
Hendelsestype	Feil
Hendelseskilde	Kdcsvc
Hendelses-ID	41 49 (for Windows Server 2008 R2 SP1 og Windows Server 2008 SP2)
Hendelsestekst	KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som inneholdt en annen SID enn brukeren den tilordnet til. Derfor mislyktes forespørselen som involverte sertifikatet. Se https://go.microsoft.cm/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Bruker-SID: <SID for godkjenningskontohaveren> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: FQDN-> for <utsteder Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat> Sertifikat-SID: <SID funnet i den nye>

Merk Enkelte felt, for eksempel utsteder, emne og serienummer, rapporteres i et «fremover»-format. Du må reversere dette formatet når du legger til tilordningsstrengen i attributtet altSecurityIdentities . Hvis du for eksempel vil legge til X509IssuerSerialNumber-tilordningen til en bruker, søker du i feltene Utsteder og Serienummer i sertifikatet du vil tilordne til brukeren. Se eksempelutdataene nedenfor.

• Utsteder: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Deretter oppdaterer du brukerens altSecurityIdentities-attributt i Active Directory med følgende streng:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Hvis du vil oppdatere dette attributtet ved hjelp av Powershell, kan du bruke kommandoen nedenfor. Husk at som standard er det bare domeneadministratorer som har tillatelse til å oppdatere dette attributtet.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}

Vær oppmerksom på at når du reverserer SerialNumber, må du beholde byterekkefølgen. Dette betyr at tilbakeføring av SerialNumber "A1B2C3" skal resultere i strengen "C3B2A1" og ikke "3C2B1A". Hvis du vil ha mer informasjon, kan du se HowTo: Tilordne en bruker til et sertifikat via alle metodene som er tilgjengelige i attributtet altSecurityIdentities.

Når du har installert Windows-oppdateringene for 10. mai 2022, vil enhetene være i kompatibilitetsmodus. Hvis et sertifikat kan tilordnes på det sterkeste til en bruker, skjer godkjenningen som forventet. Hvis et sertifikat bare kan tilordnes svakt til en bruker, skjer godkjenningen som forventet. En advarsel blir imidlertid logget med mindre sertifikatet er eldre enn brukeren. Hvis sertifikatet er eldre enn brukeren og registernøkkelen for tilbakesendelse av sertifikat ikke finnes eller området er utenfor kompensasjonen, vil godkjenningen mislykkes, og en feilmelding blir logget.  Hvis registernøkkelen for tilbakedatering av sertifikat er konfigurert, loggfører den en advarsel i hendelsesloggen hvis datoene er innenfor tilbakedateringskompensasjonen.

Når du har installert Windows-oppdateringene for 10. mai 2022, kan du se etter eventuelle advarsler som kan vises etter en måned eller mer. Hvis det ikke finnes noen advarsler, anbefaler vi på det sterkeste at du aktiverer full håndhevelsesmodus på alle domenekontrollere ved hjelp av sertifikatbasert godkjenning. Du kan bruke KDC-registernøkkelen til å aktivere full håndhevelsesmodus.

Med mindre den oppdateres til denne modusen tidligere, oppdaterer vi alle enheter til full håndhevelsesmodus innen 11. februar 2025 eller nyere. Hvis et sertifikat ikke kan tilordnes på det sterkeste, vil godkjenning nektes.

Hvis sertifikatbasert godkjenning er avhengig av en svak tilordning som du ikke kan flytte fra miljøet, kan du plassere domenekontrollere i deaktivert modus ved hjelp av en registernøkkelinnstilling. Microsoft anbefaler ikke dette, og vi fjerner deaktivert modus 11. april 2023.

Når du har installert 13. februar 2024 eller nyere Windows-oppdateringer på Server 2019 og nyere og støttede klienter med den valgfrie funksjonen RSAT installert, vil sertifikattilordningen i Active Directory-brukere & Computers som standard velge sterk tilordning ved hjelp av X509IssuerSerialNumber i stedet for svak tilordning ved hjelp av X509IssuerSubject. Innstillingen kan fremdeles endres etter behov.

• Bruk Kerberos-operasjonsloggen på den aktuelle datamaskinen til å finne ut hvilken domenekontroller som ikke kan logge på. Gå til Hendelsesliste > Programmer og tjenestelogger\Microsoft \Windows\Security-Kerberos\Operational.

• Se etter relevante hendelser i systemhendelsesloggen på domenekontrolleren som kontoen prøver å godkjenne mot.

• Hvis sertifikatet er eldre enn kontoen, kan du tilordne sertifikatet på nytt eller legge til en sikker altSecurityIdentities-tilordning til kontoen (se sertifikattilordninger).

• Hvis sertifikatet inneholder en SID-utvidelse, må du kontrollere at SID-en samsvarer med kontoen.

• Hvis sertifikatet brukes til å godkjenne flere forskjellige kontoer, trenger hver konto en separat tilordning av altSecurityIdentities .

• Hvis sertifikatet ikke har en sikker tilordning til kontoen, kan du legge til et eller forlate domenet i kompatibilitetsmodus til du kan legge det til.

Et eksempel på TLS-sertifikattilordning bruker et webprogram for IIS-intranett.

• Når du har installert CVE-2022-26391 - og CVE-2022-26923-beskyttelser , bruker disse scenariene Kerberos Certificate Service For User (S4U)-protokollen for sertifikattilordning og godkjenning som standard.

• I Kerberos Certificate S4U-protokollen flyter godkjenningsforespørselen fra programserveren til domenekontrolleren, ikke fra klienten til domenekontrolleren. Derfor vil relevante hendelser være på programserveren.

Denne registernøkkelen endrer håndhevelsesmodusen for KDC til deaktivert modus, kompatibilitetsmodus eller full håndhevelsesmodus.

Registerundernøkkel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Verdi	StrongCertificateBindingEnforcement
Datatype	REG_DWORD
Data	1 – Kontrollerer om det finnes en sterk sertifikattilordning. Hvis ja, er godkjenning tillatt. Hvis ikke, kontrollerer KDC om sertifikatet har den nye SID-utvidelsen og validerer den. Hvis denne utvidelsen ikke finnes, tillates godkjenning hvis brukerkontoen er forut for sertifikatet. 2 – Kontrollerer om det finnes en sterk sertifikattilordning. Hvis ja, er godkjenning tillatt. Hvis ikke, kontrollerer KDC om sertifikatet har den nye SID-utvidelsen og validerer den. Hvis denne utvidelsen ikke finnes, nektes godkjenning. 0 – Deaktiverer kontroll av sterk sertifikattilordning. Anbefales ikke fordi dette deaktiverer alle sikkerhetsforbedringer. Hvis du angir 0, må du også angi CertificateMappingMethods til 0x1F som beskrevet i Schannel-registernøkkeldelen nedenfor for at datamaskinsertifikatbasert godkjenning skal lykkes..
Må du starte på nytt?	Nei

Når et serverprogram krever klientgodkjenning, forsøker Schannel automatisk å tilordne sertifikatet som TLS-klienten leverer til en brukerkonto. Du kan godkjenne brukere som logger på med et klientsertifikat, ved å opprette tilordninger som relaterer sertifikatinformasjonen til en Windows-brukerkonto. Når du har opprettet og aktivert en sertifikattilordning hver gang en klient presenterer et klientsertifikat, knytter serverprogrammet automatisk denne brukeren til den aktuelle Windows-brukerkontoen.

Schannel vil prøve å tilordne hver metode for sertifikattilordning du har aktivert til en lykkes. Schannel prøver først å tilordne tilordningene Service-For-User-To-Self (S4U2Self). Sertifikattilordningene Emne/Utsteder, Utsteder og UPN anses nå som svake og har blitt deaktivert som standard. Den bitmaskede summen av de valgte alternativene bestemmer listen over tilgjengelige metoder for sertifikattilordning.

SChannel-registernøkkelstandarden ble 0x1F og er nå 0x18. Hvis du opplever godkjenningsfeil med Schannel-baserte serverprogrammer, foreslår vi at du utfører en test. Legg til eller endre registernøkkelverdien CertificateMappingMethods på domenekontrolleren, og angi den til 0x1F og se om dette løser problemet. Se i systemhendelsesloggene på domenekontrolleren etter eventuelle feil som er oppført i denne artikkelen, for mer informasjon. Husk at endring av SChannel-registernøkkelverdien tilbake til forrige standardverdi (0x1F) går tilbake til å bruke svake metoder for sertifikattilordning.

Registerundernøkkel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Verdi	CertificateMappingMethods
Datatype	DWORD
Data	0x0001 – tilordning av emne-/utstedersertifikat (svak – deaktivert som standard) 0x0002 – tilordning av utstedersertifikat (svak – deaktivert som standard) 0x0004 – UPN-sertifikattilordning (svak – deaktivert som standard) 0x0008 – S4U2Self-sertifikattilordning (sterk) 0x0010 – S4U2Self eksplisitt sertifikattilordning (sterk)
Må du starte på nytt?	Nei

Hvis du vil ha flere ressurser og støtte, kan du se delen Flere ressurser.

Når du har installert oppdateringer som adresserer CVE-2022-26931 og CVE-2022-26923, kan godkjenning mislykkes i tilfeller der brukersertifikatene er eldre enn brukernes opprettelsestid. Denne registernøkkelen tillater vellykket godkjenning når du bruker svake sertifikattilordninger i miljøet, og sertifikattiden er før brukerens opprettelsestid innenfor et angitt område. Denne registernøkkelen påvirker ikke brukere eller maskiner med sterke sertifikattilordninger, da sertifikattid og brukeropprettingstid ikke kontrolleres med sterke sertifikattilordninger. Denne registernøkkelen har ingen effekt når StrongCertificateBindingEnforcement er satt til 2.

Bruk av denne registernøkkelen er en midlertidig løsning for miljøer som krever det, og må gjøres med forsiktighet. Bruk av denne registernøkkelen betyr følgende for miljøet ditt:

• Denne registernøkkelen fungerer bare i kompatibilitetsmodus og starter med oppdateringer utgitt 10. mai 2022. Godkjenning tillates i kompensasjonsforskyvningen, men en hendelsesloggadvarsel logges for den svake bindingen.

• Aktivering av denne registernøkkelen tillater godkjenning av brukeren når sertifikattidspunktet er før brukerens opprettelsestid innenfor et angitt område som en svak tilordning. Svake tilordninger støttes ikke etter installasjon av oppdateringer for Windows utgitt 11. februar 2025, som aktiverer Full håndhevelse-modus.

Registerundernøkkel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Verdi	CertificateBackdatingCompensation
Datatype	REG_DWORD
Data	Verdier for midlertidig løsning i omtrentlige år: 50 år: 0x5E0C89C0 25 år: 0x2EFE0780 10 år: 0x12CC0300 5 år: 0x9660180 3 år: 0x5A39A80 1 år: 0x1E13380 Obs!   Hvis du vet levetiden til sertifikatene i miljøet ditt, angir du at denne registernøkkelen er litt lengre enn sertifikatets levetid.  Hvis du ikke vet levetiden til sertifikatet for miljøet ditt, angir du denne registernøkkelen til 50 år. Standard er 10 minutter når denne nøkkelen ikke finnes, som samsvarer med Active Directory Certificate Services (ADCS). Maksimumsverdien er 50 år (0x5E0C89C0). Denne nøkkelen angir tidsforskjellen, i sekunder, som KDC (Key Distribution Center) ignorerer mellom et utstedelsestid for godkjenningssertifikat og tidspunktet for oppretting av konto for bruker-/maskinkontoer. Viktig!   Angi bare denne registernøkkelen hvis miljøet krever det. Bruk av denne registernøkkelen deaktiverer en sikkerhetskontroll.
Må du starte på nytt?	Nei

Du kjører følgende certutil-kommando for å utelate sertifikater for brukermalen fra å hente den nye utvidelsen.

1. Logg deg på en sertifiseringsinstansserver eller en domenetilkoblet Windows 10-klient med bedriftsadministrator eller tilsvarende legitimasjon.

2. Åpne en ledetekst, og velg Kjør som administrator.

3. Kjør certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Hvis du deaktiverer tillegget av denne utvidelsen, fjernes beskyttelsen fra den nye utvidelsen. Vurder å gjøre dette bare etter ett av følgende:

1. Du bekrefter at de tilsvarende sertifikatene ikke er akseptable for kryptografi for fellesnøkkel for første godkjenning (PKINIT) i Kerberos Protocol-godkjenninger på KDC

2. De tilsvarende sertifikatene har andre sterke sertifikattilordninger konfigurert

Miljøer som har ikke-Microsoft CA-distribusjoner, beskyttes ikke ved hjelp av den nye SID-utvidelsen etter installasjon av Windows-oppdateringen 10. mai 2022. Berørte kunder bør samarbeide med tilsvarende sertifiseringsinstansleverandører for å løse dette, eller bør vurdere å bruke andre sterke sertifikattilordninger som er beskrevet ovenfor.

Hvis du vil ha flere ressurser og støtte, kan du se delen Flere ressurser.

Nei, fornyelse er ikke nødvendig. Sertifiseringsinstansen sendes i kompatibilitetsmodus. Hvis du vil ha en sterk tilordning ved hjelp av ObjectSID-utvidelsen, trenger du et nytt sertifikat.