KB5014754 - modificări de autentificare bazate pe certificate pe controlerele de domeniu Windows

Nu s-au găsit mapări puternice ale certificatelor și certificatul nu a avut extensia identificatorului de securitate nou (SID) pe care KDC o poate valida.

Jurnal de evenimente	Sistem
Tip eveniment	Avertisment dacă KDC este în modul Compatibilitate Eroare dacă KDC este în modul Impunere
Sursa de eveniment	Kdcsvc
ID eveniment	39 41 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2)
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Astfel de certificate ar trebui fie înlocuite, fie mapate direct la utilizator prin mapare explicită. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat: <emitent cu nume de domeniu complet calificat (FQDN)> Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului>

Certificatul a fost emis pentru utilizator înainte ca utilizatorul să existe în Active Directory și nu s-a găsit nicio mapare puternică. Acest eveniment este înregistrat în jurnal doar atunci când KDC este în modul Compatibilitate.

Jurnal de evenimente	Sistem
Tip eveniment	Eroare
Sursa de eveniment	Kdcsvc
ID eveniment	40 48 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Certificatul a precedat și utilizatorul la care a mapat, așa că a fost respins. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat:> FQDN al emitentului < Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului> Ora emiterii certificatului: <FILETIME al certificatului> Ora creării contului: <FILETIME al obiectului principal din> AD

SID-ul conținut în noua extensie a certificatului utilizatorilor nu corespunde SID-ului utilizatorilor, ceea ce implică faptul că certificatul a fost emis pentru un alt utilizator.

Jurnal de evenimente	Sistem
Tip eveniment	Eroare
Sursa de eveniment	Kdcsvc
ID eveniment	41 49 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2)
Text eveniment	Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator care era valid, dar conținea un SID diferit de utilizatorul la care a mapat. Prin urmare, solicitarea care implică certificatul nu a reușit. Consultați https://go.microsoft.cm/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> SID utilizator: <SID al> principal de autentificare Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat:> FQDN al emitentului < Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului> SID certificat: <SID găsit în noul> de extensie de certificat

Notă Anumite câmpuri, cum ar fi Emitent, Subiect și Număr serial, sunt raportate într-un format "redirecționare". Trebuie să inversați acest format atunci când adăugați șirul de mapare la atributul altSecurityIdentities . De exemplu, pentru a adăuga maparea X509IssuerSerialNumber la un utilizator, căutați în câmpurile "Emitent" și "Număr de serie" ale certificatului pe care doriți să-l mapați la utilizator. Vedeți rezultatul eșantionului de mai jos.

• Emitent: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Număr Serial: 2B0000000011AC0000000012

Apoi actualizați atributul altSecurityIdentities al utilizatorului în Active Directory cu următorul șir:

• "X509:<am>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Pentru a actualiza acest atribut utilizând Powershell, puteți utiliza comanda de mai jos. Rețineți că, în mod implicit, doar administratorii de domeniu au permisiunea de a actualiza acest atribut.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}

Rețineți că, atunci când inversați număr SerialNumber, trebuie să păstrați ordinea byților. Aceasta înseamnă că inversarea numărului serial "A1B2C3" ar trebui să aibă ca rezultat șirul "C3B2A1" și nu "3C2B1A". Pentru mai multe informații, consultați Cum să: Mapați un utilizator la un certificat prin toate metodele disponibile în atributul altSecurityIdentities.

După ce ați instalat actualizările Windows din 10 mai 2022, dispozitivele vor fi în modul Compatibilitate. Dacă un certificat poate fi mapat puternic la un utilizator, autentificarea va avea loc așa cum vă așteptați. Dacă un certificat poate fi mapat slab doar la un utilizator, autentificarea va avea loc așa cum vă așteptați. Totuși, un mesaj de avertizare va fi înregistrat în jurnal dacă certificatul nu este mai vechi decât utilizatorul. Dacă certificatul este mai vechi decât utilizatorul și cheia de registry De rezervă certificat nu este prezentă sau zona se află în afara compensării de backup, autentificarea nu va reuși și se va înregistra un mesaj de eroare.  Dacă cheia de registry Certificate Backdating este configurată, aceasta va înregistra un mesaj de avertisment în jurnalul de evenimente dacă datele se încadrează în compensarea de rezervă.

După ce instalați actualizările Windows din 10 mai 2022, urmăriți dacă apar mesaje de avertizare după o lună sau mai mult. Dacă nu există mesaje de avertizare, vă recomandăm ferm să activați modul Impunere completă pe toate controlerele de domeniu care utilizează autentificarea bazată pe certificate. Puteți utiliza cheia de registry KDC pentru a activa modul Impunere completă.

Cu excepția cazului în care am fost actualizați mai devreme la acest mod, vom actualiza toate dispozitivele la modul Impunere completă până la 11 februarie 2025 sau o versiune mai recentă. Dacă un certificat nu poate fi mapat puternic, autentificarea va fi refuzată.

Dacă autentificarea bazată pe certificate se bazează pe o mapare slabă pe care nu o puteți muta din mediu, puteți plasa controlerele de domeniu în modul Dezactivat utilizând o setare de cheie de registry. Microsoft nu recomandă acest lucru și vom elimina modul Dezactivat pe 11 aprilie 2023.

După ce ați instalat actualizările Windows din 13 februarie 2024 sau mai recente pe Server 2019 și mai recent și ați acceptat clienții cu caracteristica opțională RSAT instalată, maparea certificatului în Utilizatori Active Directory & Computere va selecta implicit maparea puternică utilizând X509IssuerSerialNumber în loc de maparea slabă utilizând X509IssuerSubject. Setarea poate fi modificată în continuare după cum doriți.

• Utilizați jurnalul operațional Kerberos de pe computerul relevant pentru a determina ce controler de domeniu nu reușește conectarea. Accesați Vizualizator evenimente > Jurnale aplicații și servicii\Microsoft \Windows\Security-Kerberos\Operational.

• Căutați evenimente relevante în jurnalul de evenimente de sistem de pe controlerul de domeniu pentru care contul încearcă să se autentifice.

• Dacă certificatul este mai vechi decât contul, reeșuați certificatul sau adăugați o mapare securizată altSecurityIdentities la cont (consultați Mapări certificate).

• Dacă certificatul conține o extensie SID, verificați dacă SID se potrivește contului.

• Dacă certificatul este utilizat pentru a autentifica mai multe conturi diferite, fiecare cont va avea nevoie de o mapare separată a entităților altSecurityId .

• Dacă certificatul nu are o mapare securizată la cont, adăugați una sau lăsați domeniul în Modul compatibilitate până când se poate adăuga una.

Un exemplu de mapare a certificatelor TLS utilizează o aplicație web intranet IIS.

• După instalarea protecțiilor CVE-2022-26391 și CVE-2022-26923 , aceste scenarii utilizează protocolul Kerberos Certificate Service for User (S4U) pentru maparea și autentificarea certificatelor în mod implicit.

• În protocolul Kerberos Certificate S4U, solicitarea de autentificare continuă de la serverul de aplicație la controlerul de domeniu, nu de la client la controlerul de domeniu. Prin urmare, evenimentele relevante vor fi pe serverul aplicației.

Această cheie de registry modifică modul de impunere al KDC la modul Dezactivat, Mod compatibilitate sau Impunere completă.

Subcheie de registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valoare	StrongCertificateBindingEnforcement
Tip de date	REG_DWORD
Date	1 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este permisă dacă contul de utilizator precedă certificatul. 2 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este refuzată. 0 – Dezactivează verificarea puternică a mapării certificatelor. Nu se recomandă, deoarece acest lucru va dezactiva toate îmbunătățirile de securitate. Dacă setați această setare la 0, trebuie, de asemenea, să setați CertificateMappingMethods la 0x1F așa cum este descris în secțiunea cheie de registry Schannel de mai jos pentru ca autentificarea bazată pe certificat de computer să reușească.
Repornire necesară?	Nu

Atunci când o aplicație server necesită autentificarea clientului, Schannel încearcă automat să mapeze certificatul furnizat de clientul TLS unui cont de utilizator. Puteți autentifica utilizatorii care se conectează cu un certificat de client prin crearea de mapări care asociaează informațiile despre certificat cu un cont de utilizator Windows. După ce creați și activați maparea unui certificat, de fiecare dată când un client prezintă un certificat de client, aplicația server asociază automat acel utilizator cu contul de utilizator Windows corespunzător.

Schannel va încerca să mapeze fiecare metodă de mapare a certificatului pe care ați activat-o până când reușește una. Schannel încearcă să mapeze mai întâi mapările Service-For-User-To-Self (S4U2Self). Mapările de certificate Subiect/Emitent, Emitent și UPN sunt considerate slabe și au fost dezactivate în mod implicit. Suma cu mască de biți a opțiunilor selectate determină lista de metode de mapare a certificatelor disponibile.

Cheia de registry SChannel implicită a fost 0x1F și este acum 0x18. Dacă întâmpinați erori de autentificare cu aplicațiile server bazate pe Schannel, vă sugerăm să efectuați un test. Adăugați sau modificați valoarea cheii de registry CertificateMappingMethods de pe controlerul de domeniu și setați-o la 0x1F și vedeți dacă aceasta tratează problema. Căutați erorile listate în acest articol în jurnalele de evenimente de sistem de pe controlerul de domeniu pentru mai multe informații. Rețineți că modificarea valorii cheii de registry SChannel înapoi la valoarea implicită anterioară (0x1F) va reveni la utilizarea metodelor slabe de mapare a certificatelor.

Subcheie de registry	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Valoare	CertificateMappingMethods
Tip de date	DWORD
Date	0x0001 - maparea certificatului subiect/emitent (slabă - dezactivată în mod implicit) 0x0002 - maparea certificatului emitentului (slabă - dezactivată în mod implicit) 0x0004 - maparea certificatelor UPN (slabă - dezactivată în mod implicit) 0x0008 - S4U2Self certificate mapping (strong) 0x0010 - S4U2Self maparea explicită a certificatului (strong)
Repornire necesară?	Nu

Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".

După ce instalați actualizările care adresă CVE-2022-26931 și CVE-2022-26923, autentificarea poate să nu reușească în cazurile în care certificatele de utilizator sunt mai vechi decât timpul de creare a utilizatorilor. Această cheie de registry permite autentificarea reușită atunci când utilizați mapări slabe ale certificatelor în mediul dvs., iar timpul certificatului este înainte de ora creării utilizatorului într-un interval setat. Această cheie de registry nu afectează utilizatorii sau mașinile cu mapări puternice de certificate, deoarece ora certificatului și ora creării utilizatorului nu sunt verificate cu mapări puternice ale certificatelor. Această cheie de registry nu are niciun efect atunci când StrongCertificateBindingEnforcement este setat la 2.

Utilizarea acestei chei de registry este o soluție temporară pentru mediile care o solicită și trebuie efectuată cu atenție. Utilizarea acestei chei de registry înseamnă următoarele pentru mediul dvs.:

• Această cheie de registry funcționează doar în modul compatibilitate , începând cu actualizările lansate pe 10 mai 2022. Autentificarea va fi permisă în compensarea cu backdating, dar un avertisment de jurnal de evenimente va fi înregistrat în jurnal pentru legarea slabă.

• Activarea acestei chei de registry permite autentificarea utilizatorului atunci când timpul certificatului este înainte de ora creării utilizatorului într-un interval setat, ca o mapare slabă. Mapările slabe nu vor fi acceptate după instalarea actualizărilor pentru Windows lansate pe 11 februarie 2025, ceea ce va activa modul Impunere completă.

Subcheie de registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valoare	CertificateBackdatingCompensation
Tip de date	REG_DWORD
Date	Valori pentru soluție de evitare în aproximativ ani: 50 de ani: 0x5E0C89C0 25 de ani: 0x2EFE0780 10 ani: 0x12CC0300 5 ani: 0x9660180 3 ani: 0x5A39A80 1 an: 0x1E13380 Notă Dacă știți durata de viață a certificatelor în mediul dvs., setați această cheie de registry la puțin mai lungă decât durata de viață a certificatului.  Dacă nu cunoașteți duratele de viață ale certificatelor pentru mediul dvs., setați această cheie de registry la 50 de ani. Implicit la 10 minute atunci când această cheie nu este prezentă, care se potrivește cu Active Directory Certificate Services (ADCS). Valoarea maximă este de 50 de ani (0x5E0C89C0). Această cheie setează diferența de timp, în secunde, pe care Centrul de distribuire a cheilor (KDC) o va ignora între ora emiterii unui certificat de autentificare și timpul de creare a contului pentru conturile de utilizator/computer. Important Setați această cheie de registry doar dacă mediul dvs. necesită acest lucru. Utilizarea acestei chei de registry dezactivează o verificare de securitate.
Repornire necesară?	Nu

Rulați următoarea comandă certutil pentru a exclude certificatele șablonului de utilizator de la obținerea noii extensii.

1. Conectați-vă la un server de autoritate de certificare sau la un client Windows 10 asociat la domeniu cu administratorul de întreprindere sau acreditările echivalente.

2. Deschideți o linie de comandă și alegeți Rulare ca administrator.

3. Rulați certutil -dstemplate utilizator msPKI-Enrollment-Flag +0x00080000. 

Dezactivarea adăugării acestei extensii va elimina protecția oferită de noua extensie. Luați în considerare acest lucru doar după una dintre următoarele:

1. Confirmați că certificatele corespunzătoare nu sunt acceptate pentru Criptografia cheilor publice pentru autentificarea inițială (PKINIT) în autentificările protocolului Kerberos la KDC

2. Certificatele corespunzătoare au configurate alte mapări puternice ale certificatelor

Mediile care au implementări non-Microsoft CA nu vor fi protejate utilizând noua extensie SID după instalarea actualizării Windows din 10 mai 2022. Clienții afectați ar trebui să lucreze cu distribuitorii ca corespunzători pentru a rezolva această problemă sau ar trebui să ia în considerare utilizarea altor mapări puternice de certificate descrise mai sus.

Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".

Nu, reînnoirea nu este necesară. Ca va fi livrată în modul Compatibilitate. Dacă doriți o mapare puternică utilizând extensia ObjectSID, veți avea nevoie de un certificat nou.